Condividi tramite

Microsoft Defender per Azure Cosmos DB

  • Articolo

SI APPLICA A: NoSQL

Microsoft Defender per Azure Cosmos DB offre un livello aggiuntivo di intelligence di sicurezza in grado di rilevare tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento di account Azure Cosmos DB. Questo livello di protezione consente di affrontare le minacce anche senza essere esperti di sicurezza e di integrarle con sistemi di monitoraggio della sicurezza di terze parti.

Gli avvisi di sicurezza vengono attivati quando si verifica un'anomalia nell'attività. Questi avvisi di sicurezza vengono visualizzati in Microsoft Defender per il cloud. Gli amministratori delle sottoscrizioni ricevono questi avvisi anche via e-mail, con informazioni dettagliate sull'attività sospetta e le raccomandazioni su come analizzare e correggere le minacce.

Nota

  • Microsoft Defender per Azure Cosmos DB è attualmente disponibile solo per l'API for NoSQL (SQL).
  • Microsoft Defender per Azure Cosmos DB non è attualmente disponibile nelle aree di cloud sovrano e Azure per enti pubblici.

Per un'analisi completa degli avvisi di sicurezza, è consigliabile abilitare la registrazione diagnostica in Azure Cosmos DB, che registra le operazioni effettuate nel database, incluse le operazioni CRUD su tutti i documenti, i contenitori e i database.

Tipi di minacce

Microsoft Defender per Azure Cosmos DB rileva le attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Può attualmente attivare gli avvisi seguenti:

  • Potenziali attacchi SQL injection: a causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti non possono funzionare in Azure Cosmos DB. Esistono tuttavia alcune varianti di SQL injection che possono avere esito positivo e possono causare l'esfiltrazione dei dati dagli account di Azure Cosmos DB. Defender per Azure Cosmos DB rileva sia i tentativi riusciti che quelli non riusciti e consente di proteggere l'ambiente per prevenire queste minacce.

  • Modelli di accesso al database anomali: ad esempio, l'accesso da un nodo di uscita TOR, indirizzi IP sospetti noti, applicazioni insolite e posizioni anomale.

  • Attività del database sospetta: ad esempio, modelli di elenco delle chiavi sospetti simili a tecniche di movimento laterale dannose e modelli di estrazione di dati sospetti.

Configurare Microsoft Defender per Azure Cosmos DB

Vedere Abilitare Microsoft Defender per Azure Cosmos DB.

Gestire gli avvisi di sicurezza

Quando si verificano anomalie dell'attività di Azure Cosmos DB, viene generato un avviso di sicurezza con informazioni sull'evento di sicurezza sospetto.

In Microsoft Defender per il cloud è possibile rivedere e gestire gli avvisi di sicurezza correnti. Fare clic su un avviso specifico in Defender per il cloud per visualizzare le possibili cause e le azioni consigliate per analizzare e ridurre il rischio di una potenziale minaccia. Viene inoltre inviata una notifica di posta elettronica con i dettagli dell'avviso e le azioni consigliate.

Avvisi di Azure Cosmos DB

Per visualizzare un elenco degli avvisi generati durante il monitoraggio di account Azure Cosmos DB, vedere la sezione sugli Avvisi di Azure Cosmos DB nella documentazione di Microsoft Defender per il cloud.

Passaggi successivi