Обзор Microsoft Defender для Azure Cosmos DB
В Microsoft Defender для облака план Defender для Azure Cosmos DB в Defender для баз данных обнаруживает потенциальные внедрения SQL, известные плохие субъекты и подозрительные шаблоны доступа на основе Microsoft Threat Intelligence. Он также определяет потенциальную эксплуатацию базы данных с помощью скомпрометированных удостоверений или вредоносных участников программы предварительной оценки.
Defender для Azure Cosmos DB постоянно анализирует поток персональных данных из службы Azure Cosmos DB. При обнаружении потенциально вредоносных действий он создает оповещения системы безопасности в Defender для облака. Эти оповещения предоставляют подробные сведения о подозрительной активности, а также соответствующие действия по расследованию, действия по исправлению и рекомендации по безопасности для предотвращения будущих атак.
Вы можете включить Microsoft Defender для Azure Cosmos DB для всех баз данных (рекомендуется) или включить его на уровне подписки или на уровне ресурса. Важно, что Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB и не влияет на производительность службы.
Сведения о выставлении счетов в Defender для Azure Cosmos DB см. на странице цен на Defender для облака.
В следующей таблице перечислены поддерживаемые и неподдерживаемые API Azure Cosmos DB в Defender для Azure Cosmos DB:
| Поддерживается | Не поддерживается |
|---|---|
| Azure Cosmos DB for NoSQL | Azure Cosmos DB для Apache Cassandra Azure Cosmos DB для MongoDB Azure Cosmos DB для таблицы Azure Cosmos DB for Apache Gremlin |
Сведения о доступности облака см. в Defender для облака матрицы поддержки для коммерческих и других облаков Azure.
Льготы
Defender для Azure Cosmos DB использует расширенные возможности обнаружения угроз и данные Microsoft Threat Intelligence. Он постоянно отслеживает учетные записи Azure Cosmos DB для угроз, таких как внедрение SQL, скомпрометированные удостоверения и утечка данных.
Defender для облака предоставляет оповещения безопасности, ориентированные на действия, с подробными сведениями о подозрительной активности и руководстве по устранению угроз. Используйте эти сведения для быстрого устранения проблем безопасности и повышения безопасности учетных записей Azure Cosmos DB.
Вы можете экспортировать оповещения в Microsoft Sentinel, в любое решение для управления безопасностью партнера и событиями (SIEM) или в любое внешнее средство. Сведения о потоковой передаче оповещений см. в статье "Потоковая передача оповещений" для мониторинга решений.
Типы оповещений
Действия, которые активируют оповещения системы безопасности, обогащенные аналитикой угроз, включают:
- Потенциальные атаки на внедрение SQL: из-за структуры и возможностей запросов Azure Cosmos DB многие известные атаки на внедрение SQL не работают в Azure Cosmos DB. Однако некоторые варианты внедрения SQL могут быть успешными и могут привести к эксфильтрации данных из учетных записей Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает успешные и неудачные попытки, а также помогает защитить среду, чтобы предотвратить эти угрозы.
- Аномальные шаблоны доступа к базам данных: пример — доступ из узла выхода маршрутизатора лукиона (Tor), известных подозрительных IP-адресов, необычных приложений и непредвиденных расположений.
- Подозрительное действие базы данных. Примером являются подозрительные шаблоны перечисления ключей, которые похожи на известные методы бокового перемещения вредоносных объектов и закономерности извлечения данных.
Совет
Полный список всех оповещений Defender для Azure Cosmos DB см. в статье "Оповещения для Azure Cosmos DB". Эта информация полезна для владельцев рабочих нагрузок, которые хотят знать, какие угрозы можно обнаружить. Он также может помочь командам центра безопасности (SOC) получить знакомство с обнаружениями, прежде чем исследовать их. Узнайте больше о том, как управлять оповещениями системы безопасности и реагировать на них в Microsoft Defender для облака.