Microsoft Defender para Azure Cosmos DB

  • Artículo

SE APLICA A: NoSQL

Microsoft Defender para Azure Cosmos DB proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de Azure Cosmos DB o vulnerarlas. Esta capa de protección le permite afrontar las amenazas, incluso sin necesidad de ser un experto en seguridad, e integrarlas con sistemas centrales de supervisión de seguridad.

Las alertas de seguridad se desencadenan cuando se producen anomalías en una actividad. Estas alertas de seguridad se muestran en Microsoft Defender for Cloud. Los administradores de suscripciones también obtienen estas alertas por correo electrónico, con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas.

Nota:

  • Microsoft Defender para Azure Cosmos DB solo está disponible actualmente para la API para NoSQL.
  • Microsoft Defender para Azure Cosmos DB no está disponible actualmente en Azure Government ni en las regiones de nubes soberanas.

Para una experiencia de investigación completa de las alertas de seguridad, se recomienda habilitar el registro de diagnóstico en Azure Cosmos DB, que registra las operaciones en la base de datos, incluidas las operaciones CRUD en todos los documentos, contenedores y bases de datos.

Tipos de amenaza

Microsoft Defender para Azure Cosmos DB detecta actividades anómalas que indican intentos inusuales y potencialmente peligrosos de obtener acceso a las bases de datos o de vulnerar su seguridad. Actualmente, puede desencadenar las siguientes alertas:

  • Posible ataque por inyección de código SQL: debido a la estructura y las funcionalidades de las consultas de Azure Cosmos DB, muchos ataques por inyección de código SQL conocidos no funcionan en las cuentas de Azure Cosmos DB. Sin embargo, hay algunas variantes de los ataques por inyección de código SQL que se pueden realizar correctamente y pueden dar lugar a la filtración de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta tanto los intentos correctos como aquellos con errores, y ayuda a proteger su entorno para evitar estas amenazas.

  • Patrones anómalos de acceso a bases de datos: por ejemplo, el acceso desde un nodo de salida de TOR, direcciones IP sospechosas conocidas, aplicaciones inusuales y ubicaciones inusuales.

  • Actividad sospechosa de la base de datos: por ejemplo, patrones sospechosos de listas de claves que se parecen a técnicas conocidas de movimiento lateral malintencionadas y patrones de extracción de datos sospechosos.

Configuración de Microsoft Defender para Azure Cosmos DB

Consulte Habilitación de Microsoft Defender para Azure Cosmos DB.

Administración de alertas de seguridad

Cuando se producen anomalías en la actividad de Azure Cosmos DB, se desencadena una alerta de seguridad con información sobre el evento de seguridad sospechoso.

Desde Microsoft Defender for Cloud, puede revisar y administrar las alertas de seguridad actuales. Haga clic en una alerta específica en Defender for Cloud para ver las posibles causas y las medidas recomendadas para investigar y mitigar la potencial amenaza. También se envía una notificación por correo electrónico con los detalles de la alerta y las medidas recomendadas.

Alertas de Cosmos DB

Para ver una lista de las alertas generadas al supervisar cuentas de Azure Cosmos DB, consulte la sección Alertas de Azure Cosmos DB en la documentación de Microsoft Defender for Cloud.

Pasos siguientes