Обзор Microsoft Defender для Azure Cosmos DB
Microsoft Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты и подозрительные шаблоны доступа на основе Microsoft Threat Intelligence. Он также определяет потенциальную эксплуатацию базы данных с помощью скомпрометированных удостоверений или вредоносных участников программы предварительной оценки. Это решение использует расширенные возможности обнаружения угроз и данные анализа угроз Майкрософт, предлагая на их основе контекстных оповещения о безопасности. Эти оповещения включают шаги по устранению обнаруженных угроз и предотвращению будущих атак. Вы можете включить защиту для всех баз данных (рекомендуется) или включить Microsoft Defender для Azure Cosmos DB на уровне подписки или на уровне ресурса.
Defender для Azure Cosmos DB постоянно анализирует поток персональных данных, созданный службой Azure Cosmos DB. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Defender для облака. Они предоставляют подробные сведения о подозрительной деятельности, а также соответствующие действия по расследованию, действия по исправлению и рекомендации по безопасности.
Важно, что Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB и не влияет на его производительность.
Плата за Defender для Cosmos DB взимается, как показано на странице цен.
Защищенный API Azure Cosmos DB:
| Поддерживается | Не поддерживается |
|---|---|
| Azure Cosmos DB for NoSQL | Azure Cosmos DB для Apache Cassandra Azure Cosmos DB для MongoDB Azure Cosmos DB для таблицы Azure Cosmos DB for Apache Gremlin |
Сведения о доступности облака см. в матрицах поддержки Defender для облака для коммерческих и других облаков Azure.
Каковы преимущества Microsoft Defender для Azure Cosmos DB?
Microsoft Defender для Azure Cosmos DB использует расширенные возможности обнаружения угроз и данные Microsoft Threat Intelligence. Defender для Azure Cosmos DB постоянно отслеживает учетные записи Azure Cosmos DB для угроз, таких как внедрение SQL, скомпрометированные удостоверения и утечка данных.
Эта служба предоставляет оповещения безопасности, ориентированные на действия, в Microsoft Defender для облака с подробными сведениями о подозрительной активности и руководстве по устранению угроз. Используйте эти сведения для быстрого устранения проблем безопасности и повышения безопасности учетных записей Azure Cosmos DB.
Оповещения включают сведения об инциденте, который активировал их и рекомендации по изучению и устранению угроз. Вы можете экспортировать оповещения в Microsoft Sentinel или любое решение для управления безопасностью и событиями партнера (SIEM) или внешнее средство. Дополнительные сведения о потоковой передаче оповещений см. в разделе Потоковая передача оповещений в SIEM, SOAR или решение классической модели развертывания ИТ.
Совет
Полный список всех оповещений Defender для Azure Cosmos DB см. на странице справки по оповещениям. Эти сведения пригодятся владельцам рабочих нагрузок, желающим узнать, какие угрозы могут быть обнаружены, и помогают командам SOC ознакомиться с механизмами их обнаружения перед изучением. Узнайте больше, как управлять оповещениями системы безопасности и реагировать на них в Microsoft Defender для облака.
Типы оповещений
Оповещения системы безопасности для анализа угроз срабатывают, если обнаруживается:
Потенциальные атаки на внедрение SQL:
Из-за структуры и возможностей запросов Azure Cosmos DB многие известные атаки на внедрение SQL не работают в Azure Cosmos DB. Однако некоторые варианты внедрения SQL могут быть успешными и могут привести к эксфильтрации данных из учетных записей Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает успешные и неудачные попытки и помогает защитить среду, чтобы предотвратить эти угрозы.Аномальные шаблоны доступа к базе данных:
Например, доступ к узлу выхода из узла маршрутизатора onion (TOR), известных подозрительных IP-адресов, необычных приложений и расположений.Подозрительное действие базы данных:
Например, подозрительные шаблоны перечисления ключей, похожие на известные методы бокового перемещения злоумышленников и шаблоны извлечения данных.