你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft Defender for Azure Cosmos DB

适用范围： NoSQL

Microsoft Defender for Azure Cosmos DB 提供一个附加的安全智能层，用于检测是否有人试图以异常且可能有害的方式访问或恶意利用 Azure Cosmos DB 帐户。无需成为安全专家，就能利用此保护层来应对威胁，并将威胁与中央安全监视系统集成。

当活动出现异常时，会触发安全警报。这些安全警报显示在 Microsoft Defender for Cloud 中。订阅管理员还通过电子邮件获取这些警报，其中详述了可疑活动以及有关如何调查和修正威胁的建议。

注意

为了获取安全警报的完整调查体验，建议启用 Azure Cosmos DB 中的诊断日志记录，它会记录对数据库本身执行的操作，包括对所有文档、容器和数据库执行的 CRUD 操作。

威胁类型

Microsoft Defender for Azure Cosmos DB 会检测异常活动，这些活动表示异常和可能有害的数据库访问或攻击尝试。它可以触发以下警报：

潜在的 SQL 注入攻击：由于 Azure Cosmos DB 查询的结构和功能，许多已知的 SQL 注入攻击无法在 Azure Cosmos DB 中发挥作用。不过，SQL 注入的某些变体可能会成功，并可能导致从 Azure Cosmos DB 帐户中泄漏数据。 Defender for Azure Cosmos DB 检测成功和失败的尝试，并帮助你强化环境以防止这些威胁。
异常数据库访问模式：例如，从 TOR 出口节点访问、已知的可疑 IP 地址、异常应用程序和异常位置。
可疑的数据库活动：例如，类似于已知的恶意横向移动技术和可疑的数据提取模式的可疑密钥列表模式。

当 Azure Cosmos DB 活动出现异常时，会触发安全警报，其中包含有关可疑安全事件的信息。

可从 Microsoft Defender for Cloud 查看和管理当前的安全警报。单击 Defender for Cloud 中的特定警报可查看可能的原因以及用于调查和缓解潜在威胁的建议操作。电子邮件通知还会随警报详细信息和建议的操作一起发送。

若要查看在监视 Azure Cosmos DB 帐户时生成的警报的列表，请参阅 Microsoft Defender for Cloud 文档中的 Azure Cosmos DB 警报部分。