Microsoft Defender для Azure Cosmos DB

Статья
08/15/2024

ОБЛАСТЬ ПРИМЕНЕНИЯ: NoSQL

Microsoft Defender для Azure Cosmos DB обеспечивает дополнительный уровень безопасности для обнаружения необычных и потенциально опасных попыток использования учетных записей Azure Cosmos DB или получения доступа к ним. Этот уровень защиты позволяет устранять угрозы без необходимости в экспертных знаниях по безопасности или в интеграции с централизованными системами мониторинга безопасности.

Оповещения системы безопасности активируются при возникновении аномальных действий. Эти оповещения системы безопасности отображаются в Microsoft Defender для облака. Администраторы подписки также получают оповещения по электронной почте с информацией о подозрительных действиях и рекомендациями о том, как определить причину угроз и устранить их.

Примечание.

Microsoft Defender для Azure Cosmos DB в настоящее время доступен только для API для NoSQL.
Microsoft Defender для Azure Cosmos DB сейчас не предоставляется в регионах Azure для государственных организаций и национальных облаках.

Для полного исследования оповещений системы безопасности рекомендуется включить ведение журнала диагностики в Azure Cosmos DB, в котором регистрируются операции с самой базой данных, включая операции CRUD со всеми документами, контейнерами и базами данных.

Типы угроз

Microsoft Defender для Azure Cosmos DB обнаруживает аномальные операции, указывающие на необычные и потенциально вредоносные попытки получить доступ к базам данных или воспользоваться их уязвимостями. В настоящее время она может активировать перечисленные ниже оповещения.

Возможные атаки внедрения кода SQL. В связи со структурой и возможностями запросов Azure Cosmos DB многие известные атаки, осуществляемые путем внедрения кода SQL, не работают в Azure Cosmos DB. Однако существуют разновидности внедрения кода SQL, которые могут быть успешно реализованы и способны привести к утечке данных из учетных записей Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает как успешные, так и неудачные попытки и помогает вам защитить свою среду, чтобы предотвратить эти атаки.
Нетипичные особенности доступа к базе данных. Например, доступ из выходных узлов TOR, с известных подозрительных IP-адресов, из необычных приложений и мест.
Подозрительная активность в базе данных. Например, подозрительные шаблоны получения списков ключей, напоминающие известные методы вредоносного горизонтального перемещения, и подозрительные шаблоны извлечения данных.

Настройка Microsoft Defender для Azure Cosmos DB

Дополнительные сведения см. в статье Включение Microsoft Defender для Azure Cosmos DB.

Управление оповещениями системы безопасности

При возникновении аномальных операций с Azure Cosmos DB активируется оповещение системы безопасности с информацией о подозрительном событии безопасности.

В Microsoft Defender для облака можно просматривать текущие оповещения системы безопасности и управлять ими. Щелкните одно из оповещений в Microsoft Defender для облака, чтобы просмотреть возможные причины и рекомендуемые действия по поиску и устранению потенциальной угрозы. Кроме того, по электронной почте отправляется уведомление с подробными сведениями об оповещении и рекомендуемыми действиями.

Оповещения в Azure Cosmos DB

Список оповещений, создаваемых при наблюдении за учетными записями Azure Cosmos DB, см. в разделе Оповещения Azure Cosmos DB в документации по Microsoft Defender для облака.

Следующие шаги

Дополнительные сведения см. в статье Microsoft Defender для Azure Cosmos DB.
Узнайте больше о журнале ведения диагностики в Azure Cosmos DB.

Поделиться через