Omówienie usługi Microsoft Defender dla usługi Azure Cosmos DB
Usługa Microsoft Defender dla usługi Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złośliwe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości, których bezpieczeństwo jest naruszone, lub złośliwych testerów.
Usługa Defender dla usługi Azure Cosmos DB używa zaawansowanych funkcji wykrywania zagrożeń i danych analizy zagrożeń firmy Microsoft w celu zapewnienia kontekstowych alertów zabezpieczeń. Te alerty obejmują również kroki w celu wyeliminowania wykrytych zagrożeń i zapobiegania przyszłym atakom.
Możesz włączyć ochronę wszystkich baz danych (zalecane) lub włączyć usługę Microsoft Defender dla usługi Azure Cosmos DB na poziomie subskrypcji lub na poziomie zasobu.
Usługa Defender dla usługi Azure Cosmos DB stale analizuje strumień telemetrii wygenerowany przez usługę Azure Cosmos DB. Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Defender dla Chmury wraz ze szczegółami podejrzanych działań wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.
Usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB i nie ma żadnego wpływu na jej wydajność.
Dostępność
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Ogólna dostępność |
| Chroniony interfejs API usługi Azure Cosmos DB |  Azure Cosmos DB for NoSQL  Usługa Azure Cosmos DB dla bazy danych Apache Cassandra Usługa Azure Cosmos DB dla bazy danych MongoDB Usługa Azure Cosmos DB dla tabeli Usługa Azure Cosmos DB dla języka Apache Gremlin |
| Chmury: | Chmury komercyjne Azure Government Platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Jakie są zalety usługi Microsoft Defender dla usługi Azure Cosmos DB
Usługa Microsoft Defender dla usługi Azure Cosmos DB korzysta z zaawansowanych funkcji wykrywania zagrożeń i danych analizy zagrożeń firmy Microsoft. Usługa Defender dla usługi Azure Cosmos DB stale monitoruje konta usługi Azure Cosmos DB pod kątem zagrożeń, takich jak wstrzyknięcie kodu SQL, naruszone tożsamości i eksfiltracja danych.
Ta usługa udostępnia alerty zabezpieczeń zorientowane na działania w Microsoft Defender dla Chmury ze szczegółowymi informacjami o podejrzanych działaniach i wskazówkami dotyczącymi ograniczania zagrożeń. Te informacje umożliwiają szybkie korygowanie problemów z zabezpieczeniami i poprawianie zabezpieczeń kont usługi Azure Cosmos DB.
Alerty zawierają szczegółowe informacje o zdarzeniu, które je wywołały, oraz zalecenia dotyczące sposobu badania i korygowania zagrożeń. Alerty można eksportować do usługi Microsoft Sentinel lub dowolnego innego rozwiązania SIEM innej firmy lub dowolnego innego narzędzia zewnętrznego. Aby dowiedzieć się, jak przesyłać strumieniowo alerty, zobacz Stream alerts to a SIEM, SOAR lub IT classic deployment model solution (Przesyłanie alertów strumieniowych do rozwiązania SIEM, SOAR lub klasycznego modelu wdrażania IT).
Napiwek
Aby uzyskać pełną listę wszystkich alertów usługi Defender dla usługi Azure Cosmos DB, zobacz stronę referencyjną alertów. Jest to przydatne w przypadku właścicieli obciążeń, którzy chcą wiedzieć, jakie zagrożenia można wykryć, i pomóc zespołom SOC zapoznać się z wykrywaniem przed ich zbadaniem. Dowiedz się więcej o tym, co znajduje się w Defender dla Chmury alertach zabezpieczeń oraz jak zarządzać alertami w temacie Zarządzanie alertami zabezpieczeń i reagowanie na nie w Microsoft Defender dla Chmury.
Typy alertów
Alerty zabezpieczeń analizy zagrożeń są wyzwalane dla:
Potencjalne ataki polegających na wstrzyknięciu kodu SQL:
Ze względu na strukturę i możliwości zapytań usługi Azure Cosmos DB wiele znanych ataków polegających na wstrzyknięciu kodu SQL nie może działać w usłudze Azure Cosmos DB. Istnieją jednak pewne odmiany iniekcji SQL, które mogą zakończyć się powodzeniem i mogą spowodować eksfiltrację danych z kont usługi Azure Cosmos DB. Usługa Defender dla usługi Azure Cosmos DB wykrywa zarówno pomyślne, jak i nieudane próby, i pomaga zabezpieczyć środowisko, aby zapobiec tym zagrożeniom.Nietypowe wzorce dostępu do bazy danych:
Na przykład dostęp z węzła wyjścia TOR, znane podejrzane adresy IP, nietypowe aplikacje i nietypowe lokalizacje.Podejrzane działanie bazy danych:
Na przykład podejrzane wzorce list kluczy przypominające znane złośliwe techniki przenoszenia bocznego i podejrzane wzorce wyodrębniania danych.
Następny krok
W tym artykule przedstawiono informacje o usłudze Microsoft Defender dla usługi Azure Cosmos DB.