Обзор Microsoft Defender для Azure Cosmos DB
Microsoft Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации.
Defender для Azure Cosmos DB использует расширенные возможности обнаружения угроз и данные Microsoft Threat Intelligence, предлагая на их основе контекстных оповещения о безопасности. Эти оповещения также включают действия по устранению обнаруженных угроз и предотвращению атак в будущем.
Вы можете включить защиту для всех своих баз данных (рекомендуется) либо включить Microsoft Defender для Azure Cosmos DB на уровне подписки или на уровне ресурса.
Defender для Azure Cosmos DB непрерывно анализирует поток данных телеметрии, генерируемый службой Azure Cosmos DB. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Defender для облака вместе с подробными сведениями о подозрительной активности, а также о соответствующих шагах расследования, действиях по исправлению и рекомендациях по безопасности.
Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB и не влияет на ее производительность.
Availability
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Общедоступная версия |
| Защищенный API Azure Cosmos DB |  Azure Cosmos DB для NoSQL  Azure Cosmos DB для Apache Cassandra Azure Cosmos DB для MongoDB Azure Cosmos DB для таблицы Azure Cosmos DB для Apache Gremlin |
| Облако. | Коммерческие облакаAzure для государственных организаций Microsoft Azure, управляемый 21Vianet |
Каковы преимущества Microsoft Defender для Azure Cosmos DB?
Microsoft Defender для Azure Cosmos DB использует расширенные возможности обнаружения угроз и данные Microsoft Threat Intelligence. Defender для Azure Cosmos DB постоянно отслеживает учетные записи Azure Cosmos DB для таких угроз, как внедрение кода SQL, компрометация удостоверений и утечка данных.
Эта служба передает в Microsoft Defender для облака оповещения безопасности, которые содержат описания подозрительных действий и рекомендации по устранению этих угроз. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности учетных записей Azure Cosmos DB.
Оповещения содержат сведения об инциденте, который привел к их активации, а также рекомендации по определению причины угроз и их устранению. Оповещения можно экспортировать в Microsoft Sentinel, сторонние средства SIEM или любые другие внешние средства. Дополнительные сведения о потоковой передаче оповещений см. в разделе Потоковая передача оповещений в SIEM, SOAR или решение классической модели развертывания ИТ.
Совет
Полный список всех оповещений Defender для Azure Cosmos DB см. на странице справки по оповещениям. Эти сведения пригодятся владельцам рабочих нагрузок, желающим узнать, какие угрозы могут быть обнаружены, и помогают командам SOC ознакомиться с механизмами их обнаружения перед изучением. Узнайте больше о том, что содержится в оповещениях безопасности Defender для облака и как ими управлять, из раздела Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака.
Типы оповещений
Оповещения системы безопасности для анализа угроз срабатывают, если обнаруживается:
Потенциальные атаки на внедрение SQL:
В связи со структурой и возможностями запросов Azure Cosmos DB многие известные атаки, осуществляемые путем внедрения кода SQL, не работают в Azure Cosmos DB. Однако существуют некоторые варианты внедрения SQL, которые могут быть успешными и могут привести к эксфильтрации данных из учетных записей Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает как успешные, так и неудачные попытки и помогает вам защитить свою среду, чтобы предотвратить эти атаки.Аномальные шаблоны доступа к базе данных:
Например, доступ из выходных узлов TOR, с известных подозрительных IP-адресов, из необычных приложений и мест.Подозрительное действие базы данных:
Например, подозрительные шаблоны получения списков ключей, напоминающие известные методы вредоносного горизонтального перемещения, и подозрительные шаблоны извлечения данных.
Следующий шаг
Из этой статьи вы узнали о том, что такое Microsoft Defender для Azure Cosmos DB.