Omówienie usługi Microsoft Defender dla usługi Azure Cosmos DB
W Microsoft Defender dla Chmury plan usługi Defender for Azure Cosmos DB w usłudze Defender for Databases wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty i podejrzane wzorce dostępu na podstawie analizy zagrożeń firmy Microsoft. Identyfikuje również potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości z naruszonymi zagrożeniami lub złośliwych testerów.
Usługa Defender dla usługi Azure Cosmos DB stale analizuje strumień danych osobowych z usługi Azure Cosmos DB. Po wykryciu potencjalnie złośliwych działań generuje alerty zabezpieczeń w Defender dla Chmury. Te alerty zawierają szczegółowe informacje o podejrzanych działaniach wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń w celu zapobiegania przyszłym atakom.
Możesz włączyć usługę Microsoft Defender dla usługi Azure Cosmos DB dla wszystkich baz danych (zalecane) lub włączyć ją na poziomie subskrypcji lub na poziomie zasobu. Co ważne, usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB i nie wpływa na wydajność usługi.
Aby uzyskać informacje dotyczące rozliczeń usługi Defender dla usługi Azure Cosmos DB, zobacz stronę cennika Defender dla Chmury.
W poniższej tabeli wymieniono obsługiwane i nieobsługiwane interfejsy API usługi Azure Cosmos DB w usłudze Defender dla usługi Azure Cosmos DB:
| Obsługiwane | Nieobsługiwane |
|---|---|
| Azure Cosmos DB for NoSQL | Usługa Azure Cosmos DB dla bazy danych Apache Cassandra Usługa Azure Cosmos DB dla bazy danych MongoDB Usługa Azure Cosmos DB dla tabeli Usługa Azure Cosmos DB dla języka Apache Gremlin |
Aby uzyskać informacje na temat dostępności chmury, zobacz Defender dla Chmury obsługa macierzy dla platformy Azure komercyjnych/innych chmur.
Świadczenia
Usługa Defender dla usługi Azure Cosmos DB korzysta z zaawansowanych funkcji wykrywania zagrożeń i danych analizy zagrożeń firmy Microsoft. Stale monitoruje konta usługi Azure Cosmos DB pod kątem zagrożeń, takich jak wstrzyknięcie kodu SQL, naruszone tożsamości i eksfiltracja danych.
Defender dla Chmury udostępnia alerty zabezpieczeń zorientowane na działania ze szczegółowymi informacjami o podejrzanych działaniach i wskazówki dotyczące ograniczania zagrożeń. Skorzystaj z tych informacji, aby szybko rozwiązać problemy z zabezpieczeniami i poprawić bezpieczeństwo kont usługi Azure Cosmos DB.
Alerty można wyeksportować do usługi Microsoft Sentinel do dowolnego rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń partnera (SIEM) lub do dowolnego narzędzia zewnętrznego. Aby dowiedzieć się, jak przesyłać strumieniowo alerty, zobacz Stream alerts to monitoring solutions (Przesyłanie strumieniowe alertów do rozwiązań do monitorowania).
Typy alertów
Działania wyzwalające alerty zabezpieczeń wzbogacone o analizę zagrożeń obejmują:
- Potencjalne ataki polegających na wstrzyknięciu kodu SQL: ze względu na strukturę i możliwości zapytań usługi Azure Cosmos DB wiele znanych ataków polegających na wstrzyknięciu kodu SQL nie działa w usłudze Azure Cosmos DB. Jednak niektóre odmiany iniekcji SQL mogą zakończyć się powodzeniem i mogą spowodować eksfiltrację danych z kont usługi Azure Cosmos DB. Usługa Defender dla usługi Azure Cosmos DB wykrywa zarówno pomyślne, jak i nieudane próby, i pomaga zabezpieczyć środowisko, aby zapobiec tym zagrożeniom.
- Nietypowe wzorce dostępu do bazy danych: przykładem jest dostęp z węzła wyjścia routera jonowego (Tor), znanych podejrzanych adresów IP, nietypowych aplikacji i nieoczekiwanych lokalizacji.
- Podejrzane działanie bazy danych: przykładem są podejrzane wzorce listy kluczy, które przypominają znane złośliwe techniki przenoszenia bocznego i wzorce wyodrębniania danych.
Napiwek
Aby uzyskać kompleksową listę wszystkich alertów usługi Defender dla usługi Azure Cosmos DB, zobacz Alerty dla usługi Azure Cosmos DB. Te informacje są przydatne dla właścicieli obciążeń, którzy chcą wiedzieć, jakie zagrożenia można wykryć. Może również ułatwić zespołom centrum operacji zabezpieczeń (SOC) zapoznanie się z wykrywaniem przed ich zbadaniem. Dowiedz się więcej na temat zarządzania alertami zabezpieczeń i reagowania na nie w Microsoft Defender dla Chmury.