Delen via

Microsoft Defender voor Azure Cosmos DB

  • Artikel

VAN TOEPASSING OP: NoSQL

Microsoft Defender voor Azure Cosmos DB biedt een extra beveiligingslaag die ongebruikelijke en mogelijk schadelijke pogingen detecteert om Toegang te krijgen tot Of misbruik te maken van Azure Cosmos DB-accounts. Met deze beveiligingslaag kunt u bedreigingen aanpakken, zelfs zonder beveiligingsexpert te zijn, en deze integreren met centrale beveiligingsbewakingssystemen.

Beveiligingswaarschuwingen worden geactiveerd wanneer zich afwijkingen in de activiteit voordoen. Deze beveiligingswaarschuwingen worden weergegeven in Microsoft Defender voor Cloud. Abonnementsbeheerders ontvangen deze waarschuwingen ook via e-mail, met details van de verdachte activiteiten en aanbevelingen voor het onderzoeken en oplossen van de bedreigingen.

Notitie

  • Microsoft Defender voor Azure Cosmos DB is momenteel alleen beschikbaar voor de API voor NoSQL.
  • Microsoft Defender voor Azure Cosmos DB is momenteel niet beschikbaar in Azure Government- en soevereine cloudregio's.

Voor een volledig onderzoek van de beveiligingswaarschuwingen raden we u aan diagnostische logboekregistratie in Te schakelen in Azure Cosmos DB, waarmee bewerkingen op de database zelf worden geregistreerd, inclusief CRUD-bewerkingen voor alle documenten, containers en databases.

Bedreigingstypen

Microsoft Defender voor Azure Cosmos DB detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. De volgende waarschuwingen kunnen momenteel worden geactiveerd:

  • Mogelijke SQL-injectieaanvallen: vanwege de structuur en mogelijkheden van Azure Cosmos DB-query's kunnen veel bekende SQL-injectieaanvallen niet werken in Azure Cosmos DB. Er zijn echter enkele variaties van SQL-injecties die kunnen slagen en kunnen leiden tot exfiltratie van gegevens uit uw Azure Cosmos DB-accounts. Defender voor Azure Cosmos DB detecteert zowel geslaagde als mislukte pogingen en helpt u uw omgeving te beveiligen om deze bedreigingen te voorkomen.

  • Afwijkende databasetoegangspatronen: bijvoorbeeld toegang vanaf een TOR-afsluitknooppunt, bekende verdachte IP-adressen, ongebruikelijke toepassingen en ongebruikelijke locaties.

  • Verdachte databaseactiviteit: bijvoorbeeld verdachte patronen voor sleutelvermeldingen die lijken op bekende bekende technieken voor laterale verplaatsingen en verdachte patronen voor gegevensextractie.

Microsoft Defender voor Azure Cosmos DB configureren

Zie Microsoft Defender voor Azure Cosmos DB inschakelen.

Beveiligingswaarschuwingen beheren

Wanneer azure Cosmos DB-activiteitenafwijkingen optreden, wordt er een beveiligingswaarschuwing geactiveerd met informatie over de verdachte beveiligingsgebeurtenis.

Vanuit Microsoft Defender voor Cloud kunt u uw huidige beveiligingswaarschuwingen bekijken en beheren. Klik op een specifieke waarschuwing in Defender voor Cloud om mogelijke oorzaken en aanbevolen acties weer te geven om de mogelijke bedreiging te onderzoeken en te beperken. Er wordt ook een e-mailmelding verzonden met de waarschuwingsgegevens en aanbevolen acties.

Azure Cosmos DB-waarschuwingen

Zie de sectie Waarschuwingen van Azure Cosmos DB in de documentatie van Microsoft Defender voor Cloud voor een lijst met waarschuwingen die worden gegenereerd bij het bewaken van Azure Cosmos DB-accounts.

Volgende stappen