你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用 Microsoft Defender for Azure Cosmos DB

Microsoft Defender for Azure Cosmos DB 保护在订阅级别和资源级别提供。 可以在订阅上启用 Microsoft Defender for Cloud，以保护订阅上的所有数据库类型，包括 Microsoft Defender for Azure Cosmos DB（建议）。 还可以选择在资源级别启用 Microsoft Defender for Azure Cosmos DB，以保护特定的 Azure Cosmos DB 帐户。

先决条件

• 一个 Azure 帐户。 如果还没有 Azure 帐户，可以立即创建 Azure 免费帐户。

在订阅级别启用数据库保护

通过订阅级别启用，可为订阅中的所有数据库类型启用 Microsoft Defender for Cloud 保护（建议）。

可以在订阅上启用 Microsoft Defender for Cloud 保护，以保护所有数据库类型，例如 Azure Cosmos DB、Azure SQL 数据库、计算机上的 Azure SQL 服务器和 OSS RDB。 还可以在配置计划时选择要保护的特定资源类型。

在订阅上启用 Microsoft Defender for Cloud 的增强安全功能时，系统将自动为所有 Azure Cosmos DB 帐户启用 Microsoft Defender for Azure Cosmos DB。

若要在订阅级别启用数据库保护：

1. 登录 Azure 门户。

2. 导航到“Microsoft Defender for Cloud”“环境设置”。

3. 选择相关订阅。

4. 找到“数据库”，并将开关切换为“启用”。

   

5. 选择“保存”。

若要在配置计划时选择要保护的特定资源类型：

1. 按照上述步骤 1 - 4 进行操作。

2. 选择“选择类型”

   

3. 将所需资源类型的开关切换为“启用”。

   

4. 选择“确认”。

在资源级别启用 Microsoft Defender for Azure Cosmos DB

可以通过 Azure 门户、PowerShell、Azure CLI、ARM 模板或 Azure Policy 在特定 Azure Cosmos DB 帐户上启用 Microsoft Defender for Cloud。

若要为特定 Azure Cosmos DB 帐户启用 Microsoft Defender for Cloud：

Azure 门户

1. 登录到 Azure 门户。

2. 导航到 Azure Cosmos DB 帐户>“设置”。

3. 选择“Microsoft Defender for Cloud”。

4. 选择“启用 Microsoft Defender for Azure Cosmos DB”。

   

PowerShell

1. 安装 Az.Security 模块。

2. 调用 Enable-AzSecurityAdvancedThreatProtection 命令。

   Enable-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<Your subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.DocumentDb/databaseAccounts/myCosmosDBAccount/" 
   

3. 通过 PowerShell 调用 Get-AzSecurityAdvancedThreatProtection 命令验证存储帐户的 Microsoft Defender for Azure Cosmos DB 设置。

   Get-AzSecurityAdvancedThreatProtection -ResourceId "/subscriptions/<Your subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.DocumentDb/databaseAccounts/myCosmosDBAccount/" 
   

ARM 模板

使用 Azure 资源管理器模板来部署启用了 Microsoft Defender for Azure Cosmos DB 的 Azure Cosmos DB 帐户。 有关详细信息，请参阅创建启用了 Microsoft Defender for Azure Cosmos DB 的 Azure Cosmos DB 帐户。

Azure CLI

若要通过 Azure CLI 在单个帐户上启用 Microsoft Defender for Azure Cosmos DB，请调用 az security atp cosmosdb update 命令。 请注意将尖括号中的值替换为你自己的值：

az security atp cosmosdb update \
    --resource-group <resource-group> \
    --cosmosdb-account <cosmosdb-account> \
    --is-enabled true

若要通过 Azure CLI 检查单个帐户的 Microsoft Defender for Azure Cosmos DB 设置，请调用 az security atp cosmosdb show 命令。 请注意将尖括号中的值替换为你自己的值：

az security atp cosmosdb show \
    --resource-group <resource-group> \
    --cosmosdb-account <cosmosdb-account>

Azure Policy

使用 Azure Policy 在某个特定订阅或资源组下的存储帐户中启用 Microsoft Defender for Cloud。

1. 启动 Azure Policy >“定义”页。

2. 搜索“将 Microsoft Defender for Azure Cosmos DB 配置为启用”策略，然后选择该策略以查看策略定义页面。

   

3. 为内置策略选择“分配”按钮。

   

4. 指定 Azure 订阅。

   

5. 选择“查看 + 创建”，查看并完成策略分配。

模拟来自 Microsoft Defender for Azure Cosmos DB 的安全警报

所有 Defender for Cloud 安全警报的参考表中提供了受支持警报的完整列表。

可以使用示例 Microsoft Defender for Azure Cosmos DB 警报来评估它们的值和功能。 示例警报还将验证你对安全警报所做的任何配置（例如 SIEM 集成、工作流自动化和电子邮件通知）。

若要从 Microsoft Defender for Azure Cosmos DB 创建示例警报：

1. 以订阅参与者用户身份登录 Azure 门户。

2. 导航到安全警报页。

3. 选择“示例警报”。

4. 选择订阅。

5. 选择相关 Microsoft Defender 计划。

6. 选择“创建示例警报”。

   

几分钟后，警报将出现在“安全警报”页中。 警报还会出现在配置为接收 Microsoft Defender for Cloud 安全警报的任何位置。 例如，连接的 SIEM 和电子邮件通知。

后续步骤

本文介绍了如何启用 Microsoft Defender for Azure Cosmos DB 以及如何模拟安全警报。

自动响应 Microsoft Defender for Cloud 触发器。