你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Azure Cosmos DB 概述
在 Microsoft Defender for Cloud 中,Defender for Databases 内的 Defender for Azure Cosmos DB 计划基于 Microsoft 威胁情报检测潜在的 SQL 注入、已知不良行为者和可疑访问模式。 它还通过泄露的标识或恶意内部人员来识别对数据库的潜在利用。
Defender for Azure Cosmos DB 持续分析来自 Azure Cosmos DB 服务的个人数据流。 当它检测到潜在的恶意活动时,会在 Defender for Cloud 中生成安全警报。 这些警报提供可疑活动的详细信息以及相关的调查步骤、修正操作和安全建议,预防未来攻击。
你可以为所有数据库启用 Microsoft Defender for Azure Cosmos DB(建议做法),也可以在订阅级别或资源级别启用它。 重要的是,Defender for Azure Cosmos DB 不会访问 Azure Cosmos DB 帐户数据,也不会对服务性能产生影响。
有关 Defender for Azure Cosmos DB 的计费信息,请参阅 Defender for Cloud 定价页。
下表列出了 Defender for Azure Cosmos DB 中支持和不支持的 Azure Cosmos DB API:
| 支持 | 不支持 |
|---|---|
| Azure Cosmos DB for NoSQL | Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
有关云可用性,请参阅 Defender for Cloud 对 Azure 商业云/其他云的支持矩阵。
优点
Defender for Azure Cosmos DB 使用高级威胁检测功能和 Microsoft 威胁情报数据。 它持续监视 Azure Cosmos DB 帐户是否有威胁,如 SQL 注入、标识泄露和数据外泄。
Defender for Cloud 提供面向操作的安全警报,其中包括可疑活动的详细信息,以及有关如何缓解威胁的指导。 使用此信息快速修正安全问题,并提高 Azure Cosmos DB 帐户的安全性。
可以将警报导出到 Microsoft Sentinel、任何合作伙伴安全信息和事件管理 (SIEM) 解决方案或任何外部工具。 若要了解如何流式传输警报,请参阅将警报流式传输到监视解决方案。
警报类型
触发已扩充威胁情报的安全警报的活动包括:
- 潜在的 SQL 注入攻击:由于 Azure Cosmos DB 查询的结构和功能,许多已知的 SQL 注入攻击无法在 Azure Cosmos DB 中发挥作用。 不过,SQL 注入的某些变体可能会成功,并可能导致 Azure Cosmos DB 帐户泄漏数据。 Defender for Azure Cosmos DB 会检测成功和失败的攻击尝试,并帮助你强化环境以防止这些威胁。
- 异常数据库访问模式:例如源自洋葱路由 (TOR) 出口节点、已知的可疑 IP 地址、异常应用程序和异常位置的访问。
- 可疑的数据库活动:例如,类似于已知的恶意横向移动技术和数据提取模式的可疑密钥列表模式。
提示
有关 Defender for Azure Cosmos DB 的所有警报的完整列表,请参阅 Azure Cosmos DB 警报。 对于想要知道可以检测到哪些威胁的工作负载所有者,此信息非常有用。 它还可以帮助安全运营中心 (SOC) 团队在调查检测之前先熟悉检测。 详细了解如何在 Microsoft Defender for Cloud 中管理和响应安全警报。