你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Azure Cosmos DB 概述
Microsoft Defender for Azure Cosmos DB 检测潜在的 SQL 注入、基于 Microsoft 威胁智能的已知恶意参与者、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。
Defender for Azure Cosmos DB 使用高级威胁检测功能和 Microsoft 威胁智能数据来提供上下文安全警报。 这些警报还包括用于缓解检测到的威胁并防止未来攻击的步骤。
可以为所有数据库启用保护(推荐),或在订阅级别或资源级别启用 Microsoft Defender for Azure Cosmos DB。
Defender for Azure Cosmos DB 不断分析 Azure Cosmos DB 服务生成的遥测流。 当检测到潜在的恶意活动时,将生成安全警报。 这些警报与可疑活动的详细信息以及相关的调查步骤、修补操作和安全建议一起显示在“Defender for Cloud”中。
Defender for Azure Cosmos DB 不会访问 Azure Cosmos DB 帐户数据,也不会对其性能产生任何影响。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 受保护的 Azure Cosmos DB API |  Azure Cosmos DB for NoSQL  Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
| 云: | 商用云 Azure 政府 由世纪互联运营的 Microsoft Azure |
Microsoft Defender for Azure Cosmos DB 有哪些优点
Microsoft Defender for Azure Cosmos DB 使用高级威胁检测功能和 Microsoft 威胁智能数据。 Defender for Azure Cosmos DB 持续监视 Azure Cosmos DB 帐户是否有威胁,如 SQL 注入、泄露的标识和数据外泄。
此服务在 Microsoft Defender for Cloud 提供面向操作的安全警报,其中包括可疑活动的详细信息,以及有关如何减少威胁的指导。 可以使用此信息快速修正安全问题,并提高 Azure Cosmos DB 帐户的安全性。
警报包含触发警报的事件的详细信息,并提供有关如何调查和消除威胁的建议。 警报可导出到 Microsoft Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。 若要了解如何流式传输警报,请参阅将警报流式传输到 SIEM、SOAR 或 IT 经典部署模型解决方案。
提示
有关 Defender for Azure Cosmos DB 的所有警报的完整列表,请参阅警报参考页面。 这适用于想要了解检测到哪些威胁的工作负载所有者,以及帮助 SOC 团队在调查检测之前熟悉检测。 如需详细了解 Defender for Cloud 安全警报内容以及如何管理警报,请参阅在 Microsoft Defender for Cloud 中管理和响应安全警报。
警报类型
以下情况会触发威胁智能安全警报:
潜在 SQL 注入攻击:
由于 Azure Cosmos DB 查询的结构和功能,许多已知的 SQL 注入攻击无法在 Azure Cosmos DB 中发挥作用。 不过,SQL 注入的某些变体可能会成功,并可能导致 Azure Cosmos DB 帐户泄漏数据。 Defender for Azure Cosmos DB 检测成功和失败的尝试,并帮助你强化环境以防止这些威胁。异常数据库访问模式:
例如,从 TOR 出口节点访问、已知的可疑 IP 地址、异常应用程序和异常位置。可疑的数据库活动:
例如,类似于已知的恶意横向移动技术和可疑的数据提取模式的可疑密钥列表模式。
下一步
本文介绍了 Microsoft Defender for Azure Cosmos DB。