適用於 Azure Cosmos DB 的 Microsoft Defender 概觀
在 適用於雲端的 Microsoft Defender 中,適用於 Azure Cosmos DB 的 Defender 方案會在適用於資料庫的 Defender 內,根據Microsoft威脅情報偵測潛在的 SQL 插入、已知的不良動作專案,以及可疑的存取模式。 它也會透過遭入侵的身分識別或惡意測試人員,識別資料庫的潛在惡意探索。
適用於 Azure Cosmos DB 的 Defender 會持續分析來自 Azure Cosmos DB 服務的個人資料串流。 當它偵測到潛在的惡意活動時,它會在 適用於雲端的 Defender 中產生安全性警示。 這些警示提供可疑活動的詳細數據,以及相關的調查步驟、補救動作和安全性建議,以防止未來的攻擊。
您可以 針對所有資料庫啟用適用於 Azure Cosmos DB 的 Microsoft Defender(建議),或者您可以在訂用帳戶層級或資源層級加以啟用。 重要的是,適用於 Azure Cosmos DB 的 Defender 不會存取 Azure Cosmos DB 帳戶數據,而且不會影響服務的效能。
如需適用於 Azure Cosmos DB 的 Defender 帳單資訊,請參閱 適用於雲端的 Defender 定價頁面。
下表列出適用於 Azure Cosmos DB 的 Defender 中支援和不支援的 Azure Cosmos DB API:
| 支援 | 不支援 |
|---|---|
| Azure Cosmos DB for NoSQL | 適用於 Apache Cassandra 的 Azure Cosmos DB 適用於 MongoDB 的 Azure Cosmos DB 適用於數據表的 Azure Cosmos DB Azure Cosmos DB for Apache Gremlin |
如需雲端可用性,請參閱 適用於雲端的 Defender Azure 商業/其他雲端的支援矩陣。
福利
適用於 Azure Cosmos DB 的 Defender 使用進階威脅偵測功能和Microsoft威脅情報數據。 它會持續監視 Azure Cosmos DB 帳戶是否有 SQL 插入、遭入侵的身分識別和數據外洩等威脅。
適用於雲端的 Defender 提供動作導向的安全性警示,其中包含可疑活動的詳細數據,以及如何減輕威脅的指引。 使用這項資訊快速補救安全性問題,並改善 Azure Cosmos DB 帳戶的安全性。
您可以將警示匯出至Microsoft Sentinel、任何合作夥伴安全性資訊和事件管理 (SIEM) 解決方案,或匯出至任何外部工具。 若要瞭解如何串流警示,請參閱 將警示串流至監視解決方案。
警示類型
觸發以威脅情報擴充之安全性警示的活動包括:
- 潛在的 SQL 插入式攻擊:由於 Azure Cosmos DB 查詢的結構和功能,許多已知的 SQL 插入式攻擊無法在 Azure Cosmos DB 中運作。 不過,SQL 插入的某些變化可能會成功,而且可能會導致從 Azure Cosmos DB 帳戶外洩數據。 適用於 Azure Cosmos DB 的 Defender 會偵測成功和失敗的嘗試,並協助您強化環境以防止這些威脅。
- 異常數據庫存取模式:例如從洋蔥路由器 (Tor) 結束節點、已知的可疑 IP 位址、不尋常的應用程式和非預期位置存取。
- 可疑的資料庫活動:例如可疑的索引鍵清單模式,類似於已知的惡意橫向移動技術和數據擷取模式。
提示
如需所有適用於 Azure Cosmos DB 的 Defender 警示的完整清單,請參閱 適用於 Azure Cosmos DB 的警示。 這項資訊適用於想要知道可以偵測到哪些威脅的工作負載擁有者。 它也可以協助安全性作業中心 (SOC) 小組在調查偵測之前熟悉偵測。 深入瞭解如何在 適用於雲端的 Microsoft Defender 中管理和回應安全性警示。