Panoramica di Microsoft Defender per Azure Cosmos DB
Microsoft Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, utenti malintenzionati noti in base all'intelligence sulle minacce Microsoft, modelli di accesso sospetti e potenziale sfruttamento del database tramite identità compromesse o utenti interni malintenzionati.
Defender per Azure Cosmos DB usa funzionalità avanzate di rilevamento delle minacce e dati di intelligence sulle minacce Microsoft per fornire avvisi di sicurezza contestuali. Questi avvisi includono anche i passaggi per mitigare le minacce rilevate e prevenire attacchi futuri.
È possibile abilitare la protezione per tutti i database (scelta consigliata) o abilitare Microsoft Defender per Azure Cosmos DB a livello di sottoscrizione o di risorsa.
Defender per Azure Cosmos DB analizza continuamente il flusso di telemetria generato dal servizio Azure Cosmos DB. Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi vengono visualizzati in Defender per il cloud con i dettagli dell'attività sospetta, insieme ai passaggi di indagine pertinenti, alle azioni di correzione e alle raccomandazioni sulla sicurezza.
Defender per Azure Cosmos DB non accede ai dati dell'account di Azure Cosmos DB e non ha alcun effetto sulle prestazioni.
Disponibilità
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Disponibilità generale (GA) |
| API di Azure Cosmos DB protetta |  Azure Cosmos DB per NoSQL  Azure Cosmos DB per Apache Cassandra Azure Cosmos DB per MongoDB Azure Cosmos DB per tabella Azure Cosmos DB per Apache Gremlin |
| Cloud: | Cloud commercialiAzure per enti pubblici Microsoft Azure gestito da 21Vianet |
Quali sono i vantaggi offerti da Microsoft Defender per Azure Cosmos DB
Microsoft Defender per Azure Cosmos DB usa funzionalità avanzate di rilevamento delle minacce e dati di intelligence sulle minacce Microsoft. Defender per Azure Cosmos DB monitora continuamente gli account di Azure Cosmos DB per rilevare minacce come SQL injection, identità compromesse ed esfiltrazione dei dati.
Questo servizio fornisce avvisi di sicurezza orientati all'azione in Defender per il cloud, con i dettagli dell'attività sospetta e indicazioni su come mitigare le minacce. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza degli account di Azure Cosmos DB.
Gli avvisi includono i dettagli dell'evento imprevisto che li ha attivati e raccomandazioni su come analizzare e risolvere le minacce. Gli avvisi possono essere esportati in Azure Sentinel o in qualsiasi altro sistema SIEM di terze parti o strumento esterno. Per informazioni su come trasmettere avvisi, vedere Trasmettere avvisi in una soluzione di distribuzione SIEM, SOAR o IT classica.
Suggerimento
Per un elenco completo di tutti gli avvisi di Defender per Azure Cosmos DB, vedere la pagina di riferimento degli avvisi. Ciò è utile per i proprietari del carico di lavoro che vogliono sapere quali minacce possono essere rilevate e aiutare i team SOC a acquisire familiarità con i rilevamenti prima di analizzarli. Altre informazioni su ciò che si trova in un avviso di sicurezza Defender per il cloud e su come gestire gli avvisi in Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender per il cloud.
Tipi di avviso
Gli avvisi di sicurezza basati sull'intelligence sulle minacce vengono attivati per:
Potenziali attacchi SQL injection:
a causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti non possono funzionare in Azure Cosmos DB. Esistono tuttavia alcune varianti di attacchi SQL injection che possono avere esito positivo e potrebbero causare l'esfiltrazione dei dati dagli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva sia i tentativi riusciti che quelli non riusciti e consente di proteggere l'ambiente per prevenire queste minacce.Modelli di accesso al database anomali:
ad esempio, l'accesso da un nodo di uscita TOR, indirizzi IP sospetti noti, applicazioni insolite e posizioni insolite.Attività del database sospetta:
ad esempio, modelli di elenco delle chiavi sospetti simili a tecniche di movimento laterale dannose e modelli di estrazione di dati sospetti.
Passaggio successivo
In questo articolo sono state fornite informazioni su Microsoft Defender per Azure Cosmos DB.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per