Microsoft Defender para Azure Cosmos DB

  • Artigo

APLICA-SE A: NoSQL

O Microsoft Defender para Azure Cosmos DB fornece uma camada extra de inteligência de segurança que detecta tentativas incomuns e possivelmente prejudiciais de acessar ou explorar contas do Azure Cosmos DB. Essa camada de proteção permite que você resolva as ameaças, mesmo sem ser um especialista em segurança e integrá-las aos sistemas centrais de monitoramento de segurança.

Os alertas de segurança são acionados quando ocorrem anomalias na atividade. Esses alertas de segurança aparecem no Microsoft Defender para Nuvem. Os administradores de assinatura também receberão esses alertas por email, com detalhes das atividades suspeitas e recomendações de como investigar e corrigir as ameaças.

Observação

  • O Microsoft Defender para Azure Cosmos DB está disponível no momento apenas para a API do NoSQL.
  • O Microsoft Defender para Azure Cosmos DB não está disponível no momento em regiões de nuvem soberana e do Azure Government.

Para uma experiência de investigação completa dos alertas de segurança, recomendamos habilitar o log de diagnóstico no Azure Cosmos DB, que registra as operações no próprio banco de dados, incluindo operações CRUD em todos os documentos, contêineres e bancos de dados.

Tipos de ameaça

O Microsoft Defender para Azure Cosmos DB detecta atividades anômalas que indicam tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados. Ela pode disparar os alertas a seguir simultaneamente:

  • Possíveis ataques de injeção de SQL: devido à estrutura e às funcionalidades de consultas do Azure Cosmos DB, muitos ataques de injeção de SQL conhecidos não funcionam no Azure Cosmos DB. No entanto, há algumas variações de injeções de SQL que podem ser bem-sucedidas e resultar na exfiltração dos dados das suas contas do Azure Cosmos DB. O Defender para Azure Cosmos DB detecta as tentativas bem-sucedidas e com falha e ajuda você a proteger seu ambiente para evitar essas ameaças.

  • Padrões anormais de acesso ao banco de dados: por exemplo, acesso de um nó de saída TOR, endereços IP suspeitos conhecidos, aplicativos incomuns e localizações incomuns.

  • Atividade de banco de dados suspeita: por exemplo, padrões suspeitos de listagem de chaves que se assemelham a técnicas de movimentação lateral mal-intencionadas conhecidas e padrões de extração de dados suspeitos.

Configurar o Microsoft Defender para Azure Cosmos DB

Confira Habilitar o Microsoft Defender para Azure Cosmos DB.

Gerenciar alertas de segurança

Quando ocorrem anomalias de atividade no Azure Cosmos DB, um alerta de segurança é acionado com informações sobre o evento de segurança suspeito.

No Microsoft Defender para Nuvem, é possível revisar e gerenciar os alertas de segurança atuais. Clique em um alerta específico no Defender para Nuvem para exibir possíveis causas e ações recomendadas para investigar e atenuar a ameaça potencial. Uma notificação por email também é enviada com os detalhes do alerta e as ações recomendadas.

Alertas do Azure Cosmos DB

Para ver uma lista dos alertas gerados ao monitorar contas do Azure Cosmos DB, confira a seção Alertas do Azure Cosmos DB na documentação do Microsoft Defender para Nuvem.

Próximas etapas