Översikt över Microsoft Defender för Azure Cosmos DB
I Microsoft Defender för molnet identifierar Defender for Azure Cosmos DB-planen i Defender for Databases potentiella SQL-inmatningar, kända dåliga aktörer och misstänkta åtkomstmönster baserat på Microsoft Threat Intelligence. Den identifierar också potentiellt utnyttjande av databasen via komprometterade identiteter eller skadliga insiders.
Defender för Azure Cosmos DB analyserar kontinuerligt den personliga dataströmmen från Azure Cosmos DB-tjänsten. När den identifierar potentiellt skadliga aktiviteter genereras säkerhetsaviseringar i Defender för molnet. Dessa aviseringar innehåller information om den misstänkta aktiviteten, tillsammans med relevanta undersökningssteg, reparationsåtgärder och säkerhetsrekommendationer för att förhindra framtida attacker.
Du kan aktivera Microsoft Defender för Azure Cosmos DB för alla dina databaser (rekommenderas) eller så kan du aktivera det på prenumerationsnivå eller resursnivå. Viktigt är att Defender för Azure Cosmos DB inte kommer åt Azure Cosmos DB-kontodata och påverkar inte tjänstens prestanda.
Faktureringsinformation om Defender för Azure Cosmos DB finns på sidan Defender för molnet prissättning.
I följande tabell visas azure Cosmos DB-API:er som stöds och inte stöds i Defender för Azure Cosmos DB:
| Stöds | Stöds inte |
|---|---|
| Azure Cosmos DB för NoSQL | Azure Cosmos DB för Apache Cassandra Azure Cosmos DB för MongoDB Azure Cosmos DB för tabell Azure Cosmos DB för Apache Gremlin |
Information om molntillgänglighet finns i Defender för molnet stödmatriser för kommersiella Azure-moln/andra moln.
Förmåner
Defender för Azure Cosmos DB använder avancerade funktioner för hotidentifiering och Microsoft Threat Intelligence-data. Den övervakar kontinuerligt dina Azure Cosmos DB-konton för hot som SQL-inmatning, komprometterade identiteter och dataexfiltrering.
Defender för molnet tillhandahåller åtgärdsorienterade säkerhetsaviseringar med information om misstänkt aktivitet och vägledning om hur du kan minimera hot. Använd den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina Azure Cosmos DB-konton.
Du kan exportera aviseringar till Microsoft Sentinel, till valfri siem-lösning (partnersäkerhetsinformation och händelsehantering) eller till ett externt verktyg. Information om hur du strömmar aviseringar finns i Stream-aviseringar för övervakningslösningar.
Aviseringstyper
Aktiviteter som utlöser säkerhetsaviseringar som är berikade med hotinformation är:
- Potentiella SQL-inmatningsattacker: På grund av strukturen och funktionerna i Azure Cosmos DB-frågor fungerar inte många kända SQL-inmatningsattacker i Azure Cosmos DB. Vissa varianter av SQL-inmatningar kan dock lyckas och kan resultera i exfiltrering av data från dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar både lyckade och misslyckade försök och hjälper dig att härda din miljö för att förhindra dessa hot.
- Avvikande databasåtkomstmönster: Ett exempel är åtkomst från en lökrouter (Tor), kända misstänkta IP-adresser, ovanliga program och oväntade platser.
- Misstänkt databasaktivitet: Ett exempel är misstänkta nyckellistningsmönster som liknar kända metoder för skadlig lateral förflyttning och mönster för dataextrahering.
Dricks
En omfattande lista över alla Aviseringar om Defender för Azure Cosmos DB finns i Aviseringar för Azure Cosmos DB. Den här informationen är användbar för arbetsbelastningsägare som vill veta vilka hot som kan identifieras. Det kan också hjälpa SOC-team (Security Operations Center) att bekanta sig med identifieringar innan de undersökas. Läs mer om hur du hanterar och svarar på säkerhetsaviseringar i Microsoft Defender för molnet.