Vue d’ensemble de Microsoft Defender pour Azure Cosmos DB
Microsoft Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les acteurs malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’insiders malveillants.
Defender pour Azure Cosmos DB utilise des fonctionnalités avancées de détection des menaces et des données Microsoft Threat Intelligence pour fournir des alertes de sécurité contextuelles. Ces alertes comprennent également des étapes pour atténuer les menaces détectées et empêcher les futures attaques.
Vous pouvez activer la protection pour toutes vos bases de données (recommandé) ou activer Microsoft Defender pour Azure Cosmos DB au niveau de l’abonnement ou au niveau de la ressource.
Defender pour Azure Cosmos DB analyse continuellement le flux de données de télémétrie généré par le service Azure Cosmos DB. Quand des activités potentiellement malveillantes sont détectées, des alertes de sécurité sont générées. Ces alertes sont affichées dans Defender pour le cloud avec les détails de l’activité suspecte, ainsi que les étapes d’investigation, les actions correctives et les recommandations de sécurité correspondantes.
Defender pour Azure Cosmos DB n’accède pas aux données du compte Azure Cosmos DB et n’a aucun impact sur ses performances.
Disponibilité
| Aspect | Détails |
|---|---|
| État de sortie : | Disponibilité générale (GA) |
| API Azure Cosmos DB protégée |  Azure Cosmos DB for NoSQL  Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
| Clouds : | Clouds commerciaux Azure Government Microsoft Azure exploité par 21Vianet |
Quels sont les avantages de Microsoft Defender pour Azure Cosmos DB ?
Microsoft Defender pour Azure Cosmos DB utilise des fonctionnalités avancées de détection des menaces et des données Microsoft Threat Intelligence. Defender pour Azure Cosmos DB monitore en continu vos comptes Azure Cosmos DB pour détecter les menaces telles que l’injection de code SQL, les identités compromises et l’exfiltration de données.
Ce service fournit des alertes de sécurité orientées sur l’action dans Microsoft Defender pour le cloud avec des détails sur l’activité suspecte et des conseils sur l’atténuation des menaces. Vous pouvez utiliser ces informations pour remédier rapidement aux problèmes de sécurité et améliorer la sécurité de vos comptes Azure Cosmos DB.
Les alertes fournissent des détails sur l’incident qui les a déclenchées et des suggestions pour enquêter et contrer les menaces. Les alertes peuvent être exportées vers Microsoft Sentinel ou toute autre solution SIEM tierce ou tout autre outil externe. Pour savoir comment envoyer des alertes en streaming, consultez Envoyer des alertes en streaming vers un système SIEM, SOAR ou une solution de gestion de modèles de déploiement classique.
Conseil
Pour obtenir la liste complète de toutes les alertes Defender pour Azure Cosmos DB, consultez la page d’informations de référence des alertes. Cette liste est utile pour les propriétaires de charge de travail qui veulent savoir quelles sont les menaces qui peuvent être détectées et pour les équipes SOC qui veulent se familiariser avec les détections avant de les investiguer. Découvrez plus d’informations sur ce que contient une alerte de sécurité Defender pour le cloud et sur la gestion de vos alertes dans Gérer les alertes de sécurité et y répondre dans Microsoft Defender pour le cloud.
Types d’alertes
Les alertes de sécurité Threat Intelligence sont déclenchées pour les menaces suivantes :
Attaques potentielles par injection de code SQL :
En raison de la structure et des fonctionnalités des requêtes Azure Cosmos DB, un grand nombre d’attaques par injection de code SQL parmi celles connues ne pourront pas fonctionner dans Azure Cosmos DB. Toutefois, certaines variantes d’injections de code SQL peuvent réussir, ce qui pourrait entraîner l’exfiltration des données de vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte à la fois les tentatives qui ont réussi et celles qui ont échoué. En outre, il vous aide à renforcer votre environnement pour éviter ces menaces.Modèles d’accès anormal à la base de données :
Par exemple, les accès à partir d’un nœud de sortie TOR, les adresses IP suspectes, les applications inhabituelles et les emplacements inhabituels.Activité de base de données suspecte :
Par exemple, des modèles de liste de clés suspects qui ressemblent à des techniques connues de mouvement latéral ou des modèles d’extraction de données suspects.
Étape suivante
Dans cet article, vous avez découvert Microsoft Defender pour Azure Cosmos DB.