適用於 Azure Cosmos DB 的 Microsoft Defender 概觀
「適用於 Azure Cosmos DB 的 Microsoft Defender」偵測 SQL 插入、根據 Microsoft 威脅情報而得知的惡意執行者、可疑的存取模式,以及可能利用盜用身分識別或惡意內部人員而惡意探索資料庫。
適用於 Azure Cosmos DB 的 Defender 使用進階威脅偵測功能和 Microsoft 威脅情報資料,提供情境相關的安全性警示。 這些警示也包含步驟來減輕偵測到的威脅,並防止未來的攻擊。
您可以啟用所有資料庫的保護 (建議),或者在訂用帳戶層級或資源層級啟用適用於 Azure Cosmos DB 的 Microsoft Defender。
適用於 Azure Cosmos DB 的 Defender 會持續分析 Azure Cosmos DB 服務所產生的遙測串流。 偵測到潛在的惡意活動時,系統會產生安全性警示。 這些警示會顯示在適用於雲端的 Defender 中,且會顯示可疑活動的詳細資料,以及相關的調查步驟、補救動作和安全性建議。
適用於 Azure Cosmos DB 的 Defender 不會存取 Azure Cosmos DB 帳戶資料,且不會影響其效能。
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 正式發行 (GA) |
| 受保護的 Azure Cosmos DB API |  Azure Cosmos DB for NoSQL  Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
| 雲端: | 商業雲端 Azure Government 由 21Vianet 營運的 Microsoft Azure |
適用於 Azure Cosmos DB 的 Microsoft Defender 有哪些優點
適用於 Azure Cosmos DB 的 Microsoft Defender 使用進階威脅偵測功能和 Microsoft 威脅情報資料。 適用於 Azure Cosmos DB 的 Defender 會持續監視 Azure Cosmos DB 帳戶是否面臨 SQL 插入、遭入侵的身分識別和資料外流等威脅。
這項服務會在適用於雲端的 Microsoft Defender 中提供動作導向的安全性警示、可疑活動的詳細資料以及如何降低威脅的指引。 您可以使用這些資訊快速修復安全性問題並改善 Azure Cosmos DB 帳戶的安全性。
警示中包含事件觸發的詳細資料,以及關於如何調查和補救威脅的建議。 警示可以匯出至 Microsoft Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。 若要了解如何串流警示,請參閱將警示串流至 SIEM、SOAR 或 IT 傳統部署模型解決方案。
提示
如需所有適用於 Azure Cosmos DB 的 Defender 警示的完整清單,請參閱警示參考頁面。 這對於想要知道可以偵測到哪些威脅的工作負載擁有者很有用,並協助 SOC 小組在調查之前熟悉偵測。 深入了解適用於雲端的 Defender安全性警示中的內容,以及如何在管理及回應適用於雲端的 Microsoft Defender 中的安全性警示中管理警示。
警示類型
發生下列情況時,威脅情報的安全性警示便會觸發:
潛在 SQL 插入式攻擊:
由於 Azure Cosmos DB 查詢的結構和功能,許多已知的 SQL 插入式攻擊無法在 Azure Cosmos DB 中發揮作用。 不過,有一些 SQL 插入式變種攻擊仍可以成功攻擊並可能會透過您的 Azure Cosmos DB 帳戶外洩資料。 適用於 Azure Cosmos DB 的 Defender 可偵測成功與失敗的嘗試,並協助您強化環境,以防止這些威脅。異常資料庫存取模式:
例如:存取自 TOR 結束節點、已知的可疑 IP 地址、不尋常的應用程式和位置等。可疑的資料庫活動:
例如:類似於已知惡意橫向移動技術的可疑金鑰清單模式,以及可疑的資料擷取模式。
後續步驟
在本文中,您已了解適用於 Azure Cosmos DB 的 Microsoft Defender。