Microsoft Defender for Cosmos DB

  • [アーティクル]

適用対象: NoSQL

Microsoft Defender for Azure Cosmos DB は、Azure Cosmos DB アカウントに対して通常と異なる潜在的に有害なアクセスまたは悪用が試行されたことを検出するセキュリティ インテリジェンスの追加レイヤーを提供します。 この保護レイヤーにより、セキュリティの専門家でなくても脅威に対処でき、中央のセキュリティ監視システムでそれらを統合管理できます。

セキュリティ アラートは、アクティビティで異常が発生したときにトリガーされます。 これらのセキュリティ アラートは、Microsoft Defender for Cloud で表示されます。 また、サブスクリプション管理者は不審なアクティビティの詳細や、脅威の調査および修復方法に関する推奨事項と共にアラートをメールで受信します。

Note

  • 現在、Microsoft Defender for Azure Cosmos DB は、NoSQL 用 API でのみ使用できます。
  • 現在、Microsoft Defender for Azure Cosmos DB は、Azure Government およびソブリン クラウド リージョンでは使用できません。

セキュリティ アラートの完全な調査エクスペリエンスでは、Azure Cosmos DB の診断ログを有効にすることをお勧めします。これにより、データベース自体に対する操作 (すべてのドキュメント、コンテナー、データベースに対する CRUD 操作を含む) がログに記録されます。

脅威の種類

Microsoft Defender for Azure Cosmos DBでは、データベースへの不正なアクセスや、データベースの悪用を試みる可能性がある異常なアクティビティを検出します。 現在、これにより次のアラートがトリガーされる場合があります。

  • 潜在的な SQL インジェクション攻撃: Azure Cosmos DB クエリの構造と機能により、多くの既知の SQL インジェクション攻撃は Azure Cosmos DB では動作しません。 ただし、成功する可能性がある SQL インジェクションの複数のバリエーションがあり、Azure Cosmos DB アカウントからデータが盗み出される可能性があります。 Defender for Azure Cosmos DB は成功した試行と失敗した試行の両方を検出し、これらの脅威を防ぐために環境を強化するのに役立ちます。

  • 異常なデータベース アクセス パターン: たとえば、TOR 出口ノード、既知の疑わしい IP アドレス、普通でないアプリケーション、通常とは異なる場所からのアクセスなどです。

  • 疑わしいデータベース アクティビティ: たとえば、既知の悪意のある横移動手法に似た疑わしいキーリスティング パターンや疑わしいデータ抽出パターンです。

Microsoft Defender for Azure Cosmos DB を構成する

Microsoft Defender for Azure Cosmos DB を有効にする」を参照してください。

セキュリティ アラートの管理

Azure Cosmos DB のアクティビティで異常が発生すると、セキュリティ アラートがトリガーされて不審なセキュリティ イベントに関する情報が表示されます。

Microsoft Defender for Cloud から、現在のセキュリティ アラートを確認して管理できます。 Defender for Cloud で特定のアラートをクリックすると、考えられる原因および潜在的な脅威を調査して緩和するための推奨アクションが表示されます。 アラートの詳細と推奨アクションを示すメール通知も送信されます。

Azure Cosmos DB アラート

Azure Cosmos DB アカウントの監視中に生成されるアラートの一覧については、Microsoft Defender for Cloud のドキュメントで 「Azure Cosmos DB のアラート」に関するセクションを参照してください。

次のステップ