共用方式為


適用於 Azure Cosmos DB 的 Microsoft Defender 概觀

「適用於 Azure Cosmos DB 的 Microsoft Defender」偵測 SQL 插入、根據 Microsoft 威脅情報而得知的惡意執行者、可疑的存取模式,以及可能利用盜用身分識別或惡意內部人員而惡意探索資料庫。

適用於 Azure Cosmos DB 的 Defender 使用進階威脅偵測功能和 Microsoft 威脅情報資料,提供情境相關的安全性警示。 這些警示也包含步驟來減輕偵測到的威脅,並防止未來的攻擊。

您可以啟用所有資料庫的保護 (建議),或者在訂用帳戶層級或資源層級啟用適用於 Azure Cosmos DB 的 Microsoft Defender

適用於 Azure Cosmos DB 的 Defender 會持續分析 Azure Cosmos DB 服務所產生的遙測串流。 偵測到潛在的惡意活動時,系統會產生安全性警示。 這些警示會顯示在適用於雲端的 Defender 中,且會顯示可疑活動的詳細資料,以及相關的調查步驟、補救動作和安全性建議。

適用於 Azure Cosmos DB 的 Defender 不會存取 Azure Cosmos DB 帳戶資料,且不會影響其效能。

可用性

層面 詳細資料
版本狀態: 正式發行 (GA)
受保護的 Azure Cosmos DB API Azure Cosmos DB for NoSQL
Azure Cosmos DB for Apache Cassandra
Azure Cosmos DB for MongoDB
Azure Cosmos DB for Table
Azure Cosmos DB for Apache Gremlin
雲端: 商業雲端
Azure Government
由 21Vianet 營運的 Microsoft Azure

適用於 Azure Cosmos DB 的 Microsoft Defender 有哪些優點

適用於 Azure Cosmos DB 的 Microsoft Defender 使用進階威脅偵測功能和 Microsoft 威脅情報資料。 適用於 Azure Cosmos DB 的 Defender 會持續監視 Azure Cosmos DB 帳戶是否面臨 SQL 插入、遭入侵的身分識別和資料外流等威脅。

這項服務會在適用於雲端的 Microsoft Defender 中提供動作導向的安全性警示、可疑活動的詳細資料以及如何降低威脅的指引。 您可以使用這些資訊快速修復安全性問題並改善 Azure Cosmos DB 帳戶的安全性。

警示中包含事件觸發的詳細資料,以及關於如何調查和補救威脅的建議。 警示可以匯出至 Microsoft Sentinel 或任何其他第三方 SIEM 或任何其他外部工具。 若要了解如何串流警示,請參閱將警示串流至 SIEM、SOAR 或 IT 傳統部署模型解決方案

提示

如需所有適用於 Azure Cosmos DB 的 Defender 警示的完整清單,請參閱警示參考頁面。 這對於想要知道可以偵測到哪些威脅的工作負載擁有者很有用,並協助 SOC 小組在調查之前熟悉偵測。 深入了解適用於雲端的 Defender安全性警示中的內容,以及如何在管理及回應適用於雲端的 Microsoft Defender 中的安全性警示中管理警示。

警示類型

發生下列情況時,威脅情報的安全性警示便會觸發:

  • 潛在 SQL 插入式攻擊
    由於 Azure Cosmos DB 查詢的結構和功能,許多已知的 SQL 插入式攻擊無法在 Azure Cosmos DB 中發揮作用。 不過,有一些 SQL 插入式變種攻擊仍可以成功攻擊並可能會透過您的 Azure Cosmos DB 帳戶外洩資料。 適用於 Azure Cosmos DB 的 Defender 可偵測成功與失敗的嘗試,並協助您強化環境,以防止這些威脅。

  • 異常資料庫存取模式
    例如:存取自 TOR 結束節點、已知的可疑 IP 地址、不尋常的應用程式和位置等。

  • 可疑的資料庫活動
    例如:類似於已知惡意橫向移動技術的可疑金鑰清單模式,以及可疑的資料擷取模式。

後續步驟

在本文中,您已了解適用於 Azure Cosmos DB 的 Microsoft Defender。