Microsoft Defender per Azure Cosmos DB

  • Articolo

SI APPLICA A: NoSQL

Microsoft Defender per Azure Cosmos DB offre un livello aggiuntivo di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account Azure Cosmos DB. Questo livello di protezione consente di affrontare le minacce anche senza essere esperti di sicurezza e di integrarle con sistemi di monitoraggio della sicurezza di terze parti.

Gli avvisi di sicurezza vengono attivati quando si verifica un'anomalia nell'attività. Questi avvisi di sicurezza vengono visualizzati in Microsoft Defender per Cloud. Gli amministratori delle sottoscrizioni ricevono anche questi avvisi tramite posta elettronica, con i dettagli dell'attività sospetta e delle raccomandazioni su come analizzare e correggere le minacce.

Nota

  • Microsoft Defender per Azure Cosmos DB è attualmente disponibile solo per l'API per NoSQL.
  • Microsoft Defender per Azure Cosmos DB non è attualmente disponibile nelle aree cloud sovrane e per enti pubblici di Azure.

Per un'analisi completa degli avvisi di sicurezza, è consigliabile abilitare la registrazione diagnostica in Azure Cosmos DB, che registra le operazioni effettuate nel database, incluse le operazioni CRUD su tutti i documenti, i contenitori e i database.

Tipi di minacce

Microsoft Defender per Azure Cosmos DB rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Può attualmente attivare gli avvisi seguenti:

  • Potenziali attacchi di inserimento SQL: a causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi sql injection noti non possono funzionare in Azure Cosmos DB. Esistono tuttavia alcune varianti di SQL injection che possono avere esito positivo e possono causare l'esfiltrazione dei dati dagli account di Azure Cosmos DB. Defender per Azure Cosmos DB rileva sia i tentativi riusciti che quelli non riusciti e consente di proteggere l'ambiente per prevenire queste minacce.

  • Modelli di accesso al database anomali: ad esempio, l'accesso da un nodo di uscita TOR, gli indirizzi IP sospetti noti, le applicazioni insolite e le posizioni insolite.

  • Attività di database sospetta: ad esempio, modelli di elenco delle chiavi sospetti simili a tecniche di movimento laterale dannose e modelli di estrazione di dati sospetti.

Configurare Microsoft Defender per Azure Cosmos DB

Vedere Abilitare Microsoft Defender per Azure Cosmos DB.

Gestire avvisi di sicurezza

Quando si verificano anomalie dell'attività di Azure Cosmos DB, viene generato un avviso di sicurezza con informazioni sull'evento di sicurezza sospetto.

Da Microsoft Defender per Cloud è possibile esaminare e gestire gli avvisi di sicurezza correnti. Fare clic su un avviso specifico in Defender for Cloud per visualizzare possibili cause e azioni consigliate per analizzare e attenuare la potenziale minaccia. Viene inoltre inviata una notifica di posta elettronica con i dettagli dell'avviso e le azioni consigliate.

Avvisi di Azure Cosmos DB

Per visualizzare un elenco degli avvisi generati durante il monitoraggio degli account Azure Cosmos DB, vedere la sezione Avvisi di Azure Cosmos DB nella documentazione di Microsoft Defender for Cloud.

Passaggi successivi