Udostępnij za pośrednictwem

Usługa Microsoft Defender dla usługi Azure Cosmos DB

  • Artykuł

DOTYCZY: NoSQL

Usługa Microsoft Defender dla usługi Azure Cosmos DB udostępnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont usługi Azure Cosmos DB lub wykorzystania ich. Ta warstwa ochrony umożliwia rozwiązywanie problemów z zagrożeniami, nawet bez bycia ekspertem w zakresie zabezpieczeń i integrowanie ich z centralnymi systemami monitorowania zabezpieczeń.

Alerty zabezpieczeń są wyzwalane, gdy wystąpią anomalie w aktywności. Te alerty zabezpieczeń są wyświetlane w Microsoft Defender dla Chmury. Administratorzy subskrypcji otrzymują również te alerty pocztą e-mail ze szczegółowymi informacjami o podejrzanych działaniach i zaleceniach dotyczących sposobu badania i korygowania zagrożeń.

Uwaga

  • Usługa Microsoft Defender dla usługi Azure Cosmos DB jest obecnie dostępna tylko dla interfejsu API dla programu NoSQL.
  • Usługa Microsoft Defender dla usługi Azure Cosmos DB nie jest obecnie dostępna w regionach platformy Azure dla instytucji rządowych i suwerennej chmury.

W celu przeprowadzenia pełnego badania alertów zabezpieczeń zalecamy włączenie rejestrowania diagnostycznego w usłudze Azure Cosmos DB, które rejestruje operacje w samej bazie danych, w tym operacje CRUD na wszystkich dokumentach, kontenerach i bazach danych.

Typy zagrożeń

Usługa Microsoft Defender dla usługi Azure Cosmos DB wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Obecnie może wyzwalać następujące alerty:

  • Potencjalne ataki polegających na wstrzyknięciu kodu SQL: ze względu na strukturę i możliwości zapytań usługi Azure Cosmos DB wiele znanych ataków polegających na wstrzyknięciu kodu SQL nie może działać w usłudze Azure Cosmos DB. Istnieją jednak pewne odmiany iniekcji SQL, które mogą zakończyć się powodzeniem i mogą spowodować eksfiltrację danych z kont usługi Azure Cosmos DB. Usługa Defender dla usługi Azure Cosmos DB wykrywa zarówno pomyślne, jak i nieudane próby, i pomaga zabezpieczyć środowisko, aby zapobiec tym zagrożeniom.

  • Nietypowe wzorce dostępu do bazy danych: na przykład dostęp z węzła wyjścia TOR, znane podejrzane adresy IP, nietypowe aplikacje i nietypowe lokalizacje.

  • Podejrzane działanie bazy danych: na przykład podejrzane wzorce list kluczy, które przypominają znane techniki przenoszenia bocznego złośliwego i podejrzane wzorce wyodrębniania danych.

Konfigurowanie usługi Microsoft Defender dla usługi Azure Cosmos DB

Zobacz Włączanie usługi Microsoft Defender dla usługi Azure Cosmos DB.

Zarządzanie alertami zabezpieczeń

Gdy wystąpią anomalie aktywności usługi Azure Cosmos DB, zostanie wyzwolony alert zabezpieczeń z informacjami o podejrzanym zdarzeniu zabezpieczeń.

W Microsoft Defender dla Chmury możesz przeglądać bieżące alerty zabezpieczeń i zarządzać nimi. Kliknij konkretny alert w Defender dla Chmury, aby wyświetlić możliwe przyczyny i zalecane działania w celu zbadania i ograniczenia potencjalnego zagrożenia. Powiadomienie e-mail jest również wysyłane ze szczegółami alertu i zalecanymi akcjami.

Alerty usługi Azure Cosmos DB

Aby wyświetlić listę alertów generowanych podczas monitorowania kont usługi Azure Cosmos DB, zobacz sekcję Alerty usługi Azure Cosmos DB w dokumentacji Microsoft Defender dla Chmury.

Następne kroki