Share via

Microsoft Defender para o Azure Cosmos DB

  • Artigo

APLICA-SE A: NoSQL

Microsoft Defender para o Azure Cosmos DB fornece uma camada adicional de inteligência de segurança que deteta tentativas invulgares e potencialmente prejudiciais para aceder ou explorar contas do Azure Cosmos DB. Esta camada de proteção permite-lhe lidar com ameaças, mesmo sem ser um especialista em segurança, e integrá-las em sistemas de monitorização de segurança central.

Os alertas de segurança são acionados quando ocorrem anomalias de atividade. Estes alertas de segurança são apresentados no Microsoft Defender para a Cloud. Os administradores da subscrição também recebem estes alertas por e-mail, com detalhes da atividade suspeita e recomendações sobre como investigar e remediar as ameaças.

Nota

  • Microsoft Defender para o Azure Cosmos DB está atualmente disponível apenas para a API para NoSQL.
  • Microsoft Defender para o Azure Cosmos DB não está atualmente disponível nas regiões do Azure Government e da cloud soberana.

Para obter uma experiência de investigação completa dos alertas de segurança, recomendamos a ativação do registo de diagnósticos no Azure Cosmos DB, que regista operações na própria base de dados, incluindo operações CRUD em todos os documentos, contentores e bases de dados.

Tipos de ameaças

Microsoft Defender para o Azure Cosmos DB deteta atividades anómalas que indicam tentativas potencialmente prejudiciais e invulgares de aceder ou explorar bases de dados. Atualmente, pode acionar os seguintes alertas:

  • Potenciais ataques de injeção de SQL: devido à estrutura e às capacidades das consultas do Azure Cosmos DB, muitos ataques de injeção de SQL conhecidos não podem funcionar no Azure Cosmos DB. No entanto, existem algumas variações de injeções de SQL que podem ser bem-sucedidas e podem resultar na transferência de dados das suas contas do Azure Cosmos DB. O Defender para o Azure Cosmos DB deteta tentativas bem-sucedidas e falhadas e ajuda-o a proteger o seu ambiente para evitar estas ameaças.

  • Padrões anómalos de acesso à base de dados: por exemplo, acesso a partir de um nó de saída TOR, endereços IP suspeitos conhecidos, aplicações invulgares e localizações invulgares.

  • Atividade de base de dados suspeita: por exemplo, padrões suspeitos de listagem de chaves que se assemelham a técnicas de movimento lateral malicioso conhecidas e padrões de extração de dados suspeitos.

Configurar Microsoft Defender para o Azure Cosmos DB

Veja Ativar Microsoft Defender para o Azure Cosmos DB.

Gerir alertas de segurança

Quando ocorrem anomalias de atividade do Azure Cosmos DB, é acionado um alerta de segurança com informações sobre o evento de segurança suspeito.

A partir do Microsoft Defender para a Cloud, pode rever e gerir os alertas de segurança atuais. Clique num alerta específico no Defender para Cloud para ver possíveis causas e ações recomendadas para investigar e mitigar a ameaça potencial. Também é enviada uma notificação por e-mail com os detalhes do alerta e as ações recomendadas.

Alertas do Azure Cosmos DB

Para ver uma lista dos alertas gerados ao monitorizar contas do Azure Cosmos DB, veja a secção Alertas do Azure Cosmos DB na documentação do Microsoft Defender para a Cloud.

Passos seguintes