Microsoft Defender for Azure Cosmos DB の概要
Microsoft Defender for Azure Cosmos DB は、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者を検出します。
Defender for Azure Cosmos DB は、高度な脅威検出機能と Microsoft の脅威インテリジェンス データを使用して、コンテキストに応じたセキュリティ アラートを提供します。 これらのアラートには、検出された脅威を軽減し、将来の攻撃を防ぐための手順も含まれます。
すべてのデータベースの保護を有効にする (推奨) か、サブスクリプション レベルまたはリソース レベルのいずれかで Microsoft Defender for Azure Cosmos DB を有効にすることができます。
Defender for Azure Cosmos DB は、Azure Cosmos DB サービスによって生成されるテレメトリ ストリームを継続的に分析します。 悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細と、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に、Microsoft Defender for Cloud に表示されます。
Defender for Azure Cosmos DB は、Azure Cosmos DB のアカウント データにアクセスせず、またそのパフォーマンスに影響を与えません。
可用性
| 側面 | 詳細 |
|---|---|
| リリース状態: | 一般提供 (GA) |
| 保護された Azure Cosmos DB API |  Azure Cosmos DB for NoSQL  Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
| クラウド: | 商用クラウド Azure Government 21Vianet によって運営される Microsoft Azure |
Microsoft Defender for Azure Cosmos DB の利点
Microsoft Defender for Azure Cosmos DB は、高度な脅威検出機能と Microsoft の脅威インテリジェンス データを使用します。 Defender for Azure Cosmos DB は、Azure Cosmos DB アカウントを継続的に監視して、SQL インジェクション、侵害された ID、データ流出などの脅威を検出します。
このサービスでは、不審なアクティビティの詳細と脅威を軽減する方法に関するガイダンスを含む、Microsoft Defender for Cloud のアクション指向のセキュリティ アラートが提供されます。 この情報を使用して、セキュリティの問題を迅速に修復し、Azure Cosmos DB アカウントのセキュリティを強化できます。
アラートには、それらをトリガーするインシデントの詳細と、脅威の調査や修復方法に関する推奨事項が含まれています。 アラートは、Microsoft Sentinel、他のサードパーティ製 SIEM、またはその他の外部ツールにエクスポートできます。 アラートをストリーミングする方法については、SIEM、SOAR、または IT クラシック デプロイ モデル ソリューションへのアラートのストリーミングに関する記事を参照してください。
ヒント
すべての Defender for Azure Cosmos DB アラートの包括的な一覧については、アラートのリファレンス ページを参照してください。 これは、検出可能な脅威を知りたいワークロード所有者に役立ち、SOC チームが検出対象を調査する前に理解しておくために役立ちます。 Defender for Cloud のセキュリティ アラートの内容と、アラートを管理する方法の詳細については、「Microsoft Defender for Cloud でセキュリティ アラートの管理と対応を行う」を参照してください。
アラートの種類
脅威インテリジェンスのセキュリティ アラートは、次についてトリガーされます。
潜在的な SQL インジェクション攻撃:
Azure Cosmos DB クエリの構造と機能により、多くの既知の SQL インジェクション攻撃は Azure Cosmos DB では動作しません。 ただし、成功する可能性がある SQL インジェクションの複数のバリエーションがあり、Azure Cosmos DB アカウントからデータが盗み出される可能性があります。 Defender for Azure Cosmos DB は成功した試行と失敗した試行の両方を検出し、これらの脅威を防ぐために環境を強化するのに役立ちます。異常なデータベース アクセス パターン:
たとえば、TOR 出口ノード、既知の疑わしい IP アドレス、普通でないアプリケーション、通常とは異なる場所からのアクセスなどです。疑わしいデータベース アクティビティ:
たとえば、既知の悪意のある横移動手法に似た疑わしいキーリスティング パターンや疑わしいデータ抽出パターンです。
次のステップ
この記事では、Microsoft Defender for Azure Cosmos DB について説明しました。