Azure Cosmos DB용 Microsoft Defender
적용 대상: NoSQL
Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 해로운 시도를 탐지하는 추가 보안 인텔리전스 계층을 제공합니다. 이 보호 계층을 통해 보안 전문가가 아니더라도 위협을 해결하고 중앙 보안 모니터링 시스템과 통합할 수 있습니다.
보안 경고는 활동의 비정상 현상이 발생할 때 트리거됩니다. 이러한 보안 경고는 클라우드용 Microsoft Defender에 표시됩니다. 구독 관리자는 의심스러운 작업의 세부 정보 및 위협을 조사하고 수정하는 방법에 대한 권장 사항과 함께 이메일을 통해 이러한 경고를 수신합니다.
참고 항목
- Azure Cosmos DB용 Microsoft Defender는 현재 API for NoSQL에만 사용할 수 있습니다.
- Azure Cosmos DB용 Microsoft Defender는 현재 Azure Government 및 소버린 클라우드 지역에서 사용할 수 없습니다.
보안 경고의 전체 조사 환경의 경우 모든 문서, 컨테이너 및 데이터베이스에 대한 CRUD 작업을 포함하여 데이터베이스 자체에 대한 작업을 기록하는 Azure Cosmos DB의 진단 로깅을 사용하는 것이 좋습니다.
위협 유형
Azure Cosmos DB용 Microsoft Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. 현재 다음과 같은 경고를 트리거할 수 있습니다.
잠재적 SQL 삽입 공격: Azure Cosmos DB 쿼리의 구조 및 기능으로 인해 알려진 많은 SQL 삽입 공격은 Azure Cosmos DB에서 작동할 수 없습니다. 그러나 성공하고 Azure Cosmos DB 계정에서 데이터를 유출할 수 있는 SQL 삽입의 몇 가지 변형이 있습니다. Azure Cosmos DB용 Defender는 성공적인 시도와 실패한 시도를 모두 감지하고 이러한 위협을 방지하기 위해 환경을 강화하는 데 도움이 됩니다.
비정상적인 데이터베이스 액세스 패턴: 예를 들어 TOR 종료 노드, 알려진 의심스러운 IP 주소, 비정상적인 애플리케이션, 비정상적인 위치에서 액세스합니다.
의심스러운 데이터베이스 활동: 예를 들어 알려진 악의적인 횡적 이동 기술 및 의심스러운 데이터 추출 패턴과 유사한 의심스러운 키 목록 패턴입니다.
Azure Cosmos DB용 Microsoft Defender 구성
Azure Cosmos DB용 Microsoft Defender 사용을 참조하세요.
보안 경고 관리
Azure Cosmos DB 작업 변칙이 발생한 경우 의심스러운 보안 이벤트에 대한 정보와 함께 보안 경고가 트리거됩니다.
클라우드용 Microsoft Defender에서 현재 보안 경고를 검토 및 관리할 수 있습니다. 클라우드용 Defender에서 특정 경고를 클릭하여 잠재적 위협을 조사하고 완화하기 위한 가능한 원인과 권장 조치를 확인합니다. 경고 세부 정보와 권장 조치가 포함된 이메일 알림도 전송됩니다.
Azure Cosmos DB 경고
Azure Cosmos DB 계정을 모니터링할 때 생성되는 경고 목록을 보려면 클라우드용 Microsoft Defender 문서의 Azure Cosmos DB 경고 섹션을 참조하세요.
다음 단계
- Azure Cosmos DB용 Microsoft Defender에 대해 자세히 알아보기
- Azure Cosmos DB의 진단 로깅에 대한 자세한 정보