Microsoft Defender para o Azure Cosmos DB

APLICA-SE A: NoSQL

O Microsoft Defender for Azure Cosmos DB fornece uma camada extra de inteligência de segurança que deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas do Azure Cosmos DB. Esta camada de proteção permite-lhe abordar ameaças, mesmo sem ser um especialista em segurança, e integrá-las com sistemas centrais de monitorização de segurança.

Os alertas de segurança são acionados quando ocorrem anomalias de atividade. Esses alertas de segurança aparecem no Microsoft Defender for Cloud. Os administradores de assinatura também recebem esses alertas por e-mail, com detalhes da atividade suspeita e recomendações sobre como investigar e remediar as ameaças.

Nota

  • O Microsoft Defender para Azure Cosmos DB está atualmente disponível apenas para a API para NoSQL.
  • O Microsoft Defender para Azure Cosmos DB não está atualmente disponível nas regiões de nuvem soberana e governamental do Azure.

Para obter uma experiência completa de investigação dos alertas de segurança, recomendamos habilitar o log de diagnóstico no Azure Cosmos DB, que registra operações no próprio banco de dados, incluindo operações CRUD em todos os documentos, contêineres e bancos de dados.

Tipos de ameaças

O Microsoft Defender for Azure Cosmos DB deteta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Atualmente, ele pode disparar os seguintes alertas:

  • Possíveis ataques de injeção de SQL: devido à estrutura e aos recursos das consultas do Azure Cosmos DB, muitos ataques conhecidos de injeção de SQL não podem funcionar no Azure Cosmos DB. No entanto, há algumas variações de injeções de SQL que podem ser bem-sucedidas e podem resultar na exfiltração de dados de suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta tentativas bem-sucedidas e fracassadas e ajuda você a proteger seu ambiente para evitar essas ameaças.

  • Padrões anômalos de acesso ao banco de dados: por exemplo, acesso a partir de um nó de saída TOR, endereços IP suspeitos conhecidos, aplicativos incomuns e locais incomuns.

  • Atividade suspeita do banco de dados: por exemplo, padrões suspeitos de listagem de chaves que se assemelham a técnicas conhecidas de movimentação lateral maliciosa e padrões suspeitos de extração de dados.

Configurar o Microsoft Defender para Azure Cosmos DB

Consulte Habilitar o Microsoft Defender para Azure Cosmos DB.

Gerir alertas de segurança

Quando ocorrem anomalias de atividade do Azure Cosmos DB, um alerta de segurança é acionado com informações sobre o evento de segurança suspeito.

A partir do Microsoft Defender for Cloud, pode rever e gerir os seus alertas de segurança atuais. Clique em um alerta específico no Defender for Cloud para visualizar possíveis causas e ações recomendadas para investigar e mitigar a ameaça potencial. Uma notificação por e-mail também é enviada com os detalhes do alerta e as ações recomendadas.

Alertas do Azure Cosmos DB

Para ver uma lista dos alertas gerados ao monitorar contas do Azure Cosmos DB, consulte a seção Alertas do Azure Cosmos DB na documentação do Microsoft Defender for Cloud.

Próximos passos