Microsoft Defender pour Azure Cosmos DB

  • Article

S’APPLIQUE À : NoSQL

Microsoft Defender pour Azure Cosmos DB offre une couche supplémentaire d’intelligence de sécurité qui détecte les tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des comptes Azure Cosmos DB. Cette couche de protection vous permet de traiter efficacement les menaces sans pour autant être un expert en sécurité et de les intégrer aux systèmes centraux de supervision de la sécurité.

Les alertes de sécurité sont déclenchées lorsque des anomalies se produisent dans l’activité. Ces alertes de sécurité sont affichées dans Microsoft Defender pour le cloud. Les administrateurs d’abonnements reçoivent également ces alertes par e-mail avec les détails des activités suspectes et des suggestions sur la façon d’examiner et de corriger les menaces.

Notes

  • Microsoft Defender pour Azure Cosmos DB est actuellement disponible uniquement pour l’API pour NoSQL.
  • Microsoft Defender pour Azure Cosmos DB n’est pas disponible actuellement dans les régions de gouvernement Azure et de cloud souverain.

Pour une expérience d’investigation complète des alertes de sécurité, nous vous recommandons d’activer la journalisation des diagnostics dans Azure Cosmos DB, ce qui journalise les opérations sur la base de données elle-même, notamment les opérations CRUD sur l’ensemble des documents, conteneurs et bases de données.

Types de menaces

Microsoft Defender pour Azure Cosmos DB détecte les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses pour accéder à des bases de données ou les exploiter. Il peut actuellement déclencher les alertes suivantes :

  • Attaques potentielles par injection de code SQL : en raison de la structure et des fonctionnalités des requêtes Azure Cosmos DB, un grand nombre d’attaques par injection de code SQL parmi celles connues ne pourront pas fonctionner dans Azure Cosmos DB. Toutefois, certaines variantes d’injections de code SQL peuvent réussir et entraîner l’exfiltration des données de vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte à la fois les tentatives qui ont réussi et celles qui ont échoué. En outre, il vous aide à renforcer votre environnement pour éviter ces menaces.

  • Modèles d’accès anormal à la base de donnée : par exemple, les accès à partir d’un nœud de sortie TOR, les adresses IP suspectes, les applications inhabituelles et les emplacements inhabituels.

  • Activité de base de données suspecte : par exemple, des modèles de liste de clés suspects qui ressemblent à des techniques connues de mouvement latéral ou des modèles d’extraction de données suspects.

Configurer Microsoft Defender pour Azure Cosmos DB

Voir Activer Microsoft Defender pour Azure Cosmos DB.

Gérer les alertes de sécurité

Quand des anomalies d’activité Azure Cosmos DB sont détectées, une alerte est déclenchée. Elle contient des informations sur l’événement de sécurité suspect.

À partir de Microsoft Defender pour le cloud, vous pouvez consulter et gérer vos alertes de sécurité actuelles. Cliquez sur l’alerte spécifiée dans Defender pour le cloud pour voir les causes possibles et les actions recommandées afin d’examiner et d’atténuer la menace potentielle. Une notification par e-mail est également envoyée avec les détails de l’alerte et les actions recommandées.

Alertes Azure Cosmos DB

Pour afficher une liste des alertes générées lors de l’analyse des comptes Azure Cosmos DB, consultez la section Alertes Azure Cosmos DB dans la documentation Microsoft Defender pour le cloud.

Étapes suivantes