Přehled služby Microsoft Defender pro Azure Cosmos DB
Microsoft Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider.
Defender for Azure Cosmos DB používá pokročilé možnosti detekce hrozeb a data Microsoft Threat Intelligence k poskytování kontextových výstrah zabezpečení. Tyto výstrahy také zahrnují kroky ke zmírnění zjištěných hrozeb a zabránění budoucím útokům.
Ochranu můžete povolit pro všechny databáze (doporučeno) nebo povolit Microsoft Defender pro Službu Azure Cosmos DB na úrovni předplatného nebo na úrovni prostředku.
Defender pro Azure Cosmos DB průběžně analyzuje stream telemetrie vygenerovaný službou Azure Cosmos DB. Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tyto výstrahy se zobrazují v defenderu pro cloud společně s podrobnostmi o podezřelé aktivitě spolu s příslušnými kroky šetření, nápravnými akcemi a doporučeními zabezpečení.
Defender pro Azure Cosmos DB nemá přístup k datům účtu služby Azure Cosmos DB a nemá žádný vliv na jeho výkon.
Dostupnost
Aspekt | Detaily |
---|---|
Stav vydání: | Obecná dostupnost (GA) |
Chráněné rozhraní API služby Azure Cosmos DB | Azure Cosmos DB for NoSQL Azure Cosmos DB pro Apache Cassandra Azure Cosmos DB pro MongoDB Azure Cosmos DB pro tabulku Azure Cosmos DB pro Apache Gremlin |
Mraky: | Komerční cloudy Azure Government Microsoft Azure provozovaný společností 21Vianet |
Jaké jsou výhody Microsoft Defenderu pro Azure Cosmos DB
Microsoft Defender pro Azure Cosmos DB používá rozšířené možnosti detekce hrozeb a data analýzy hrozeb Microsoftu. Defender for Azure Cosmos DB nepřetržitě monitoruje vaše účty Služby Azure Cosmos DB pro hrozby, jako je injektáž SQL, ohrožené identity a exfiltrace dat.
Tato služba poskytuje výstrahy zabezpečení orientované na akce v Programu Microsoft Defender pro cloud s podrobnostmi o podezřelé aktivitě a doprovodných materiálech, jak tyto hrozby zmírnit. Tyto informace můžete použít k rychlé nápravě problémů se zabezpečením a zlepšení zabezpečení účtů služby Azure Cosmos DB.
Výstrahy zahrnují podrobnosti o incidentu, který je aktivoval, a doporučení, jak vyšetřovat a opravovat hrozby. Výstrahy je možné exportovat do Microsoft Sentinelu nebo jakéhokoli jiného externího nástroje SIEM nebo jiného externího nástroje. Informace o tom, jak streamovat výstrahy, najdete v tématu Upozornění streamu na řešení modelu nasazení SIEM, SOAR nebo IT Classic.
Tip
Úplný seznam všech výstrah Defenderu pro službu Azure Cosmos DB najdete na stránce s referenčními informacemi o upozorněních. To je užitečné pro vlastníky úloh, kteří chtějí vědět, jaké hrozby je možné detekovat, a pomoci týmům SOC seznámit se s detekcemi předtím, než je prošetřuje. Přečtěte si další informace o tom, co je v programu Defender for Cloud Security Alert a jak spravovat výstrahy ve správě a odpovídání na výstrahy zabezpečení v programu Microsoft Defender for Cloud.
Typy výstrah
Výstrahy zabezpečení analýzy hrozeb se aktivují pro:
Potenciální útoky prostřednictvím injektáže SQL:
Vzhledem ke struktuře a možnostem dotazů Azure Cosmos DB nefunguje mnoho známých útoků prostřednictvím injektáže SQL ve službě Azure Cosmos DB. Existují však určité varianty injektáže SQL, které můžou být úspěšné a mohou vést k exfiltraci dat z účtů služby Azure Cosmos DB. Defender for Azure Cosmos DB detekuje úspěšné i neúspěšné pokusy a pomáhá posílit vaše prostředí, aby se těmto hrozbám zabránilo.Neobvyklé vzory přístupu k databázi:
Například přístup z výstupního uzlu TOR, známých podezřelých IP adres, neobvyklých aplikací a neobvyklých umístění.Podezřelá aktivita databáze:
Například podezřelé vzory výpisu klíčů, které se podobají známým technikám laterálního pohybu se zlými úmysly a vzorům pro extrakci podezřelých dat.
Další krok
V tomto článku jste se dozvěděli o programu Microsoft Defender pro Azure Cosmos DB.