Freigeben über

Microsoft Defender für Azure Cosmos DB

  • Artikel

GILT FÜR: NoSQL

Microsoft Defender für Azure Cosmos DB bietet zusätzliche Sicherheitsanalysen für Daten zur Erkennung von ungewöhnlichen und möglicherweise schädlichen Versuchen, auf Azure Cosmos DB-Konten zuzugreifen oder diese unbefugt zu nutzen. Mit dieser Schutzebene können Sie Bedrohungen begegnen, ohne ein Sicherheitsexperte sein zu müssen, und diese in zentrale Sicherheitsüberwachungssysteme integrieren.

Bei Anomalien im Rahmen von Aktivitäten werden Sicherheitswarnungen ausgelöst. Diese Sicherheitswarnungen werden in Microsoft Defender für Cloud angezeigt. Außerdem werden diese Warnungen mit Informationen zu verdächtigen Aktivitäten und Empfehlungen zur Untersuchung und Beseitigung von Bedrohungen den Abonnementadministratoren per E-Mail gesendet.

Hinweis

  • Microsoft Defender für Azure Cosmos DB ist derzeit nur für die API für NoSQL verfügbar.
  • Microsoft Defender für Azure Cosmos DB ist derzeit nicht in Azure Government- und Sovereign Cloud-Regionen verfügbar.

Für eine vollständige Umgebung zur Untersuchung von Sicherheitswarnungen empfiehlt es sich, die Diagnoseprotokollierung in Azure Cosmos DB zu aktivieren, die Vorgänge für die Datenbank selbst protokolliert, einschließlich CRUD-Vorgänge für alle Dokumente, Container und Datenbanken.

Bedrohungstypen

Microsoft Defender für Azure Cosmos DB erkennt anomale Aktivitäten, die auf ungewöhnliche und möglicherweise schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu missbrauchen. Es kann die folgenden Warnungen auslösen:

  • Potenzielle Angriffe durch Einschleusung von SQL-Befehlen: Aufgrund der Struktur und Funktionen von Azure Cosmos DB-Abfragen können viele bekannte Angriffe durch Einschleusung von SQL-Befehlen in Azure Cosmos DB nicht funktionieren. Es gibt bei den Einschleusungen von SQL-Befehlen jedoch einige Varianten, die erfolgreich sein und dazu führen können, dass Daten aus Ihren Azure Cosmos DB-Konten exfiltriert werden. Defender für Azure Cosmos DB erkennt sowohl erfolgreiche als auch fehlgeschlagene Versuche und hilft Ihnen, Ihre Umgebung zu härten, um diese Bedrohungen zu verhindern.

  • Anomale Zugriffsmuster auf die Datenbank: Beispielsweise Zugriff von einem TOR-Ausgangsknoten, bekannte verdächtige IP-Adressen, ungewöhnliche Anwendungen und ungewöhnliche Standorte.

  • Verdächtige Datenbankaktivität: Beispielsweise verdächtige Schlüsselauflistungsmuster, die bekannten schädlichen Techniken für Lateral Movement und verdächtigen Datenextraktionsmustern ähnlich sind.

Konfigurieren von Microsoft Defender für Azure Cosmos DB

Siehe Aktivieren von Microsoft Defender für Azure Cosmos DB.

Verwalten von Sicherheitswarnungen

Wenn Anomalien bei Azure Cosmos DB-Aktivitäten auftreten, wird eine Sicherheitswarnung mit Informationen zum verdächtigen Sicherheitsereignis ausgelöst.

Von Microsoft Defender für Cloud aus können Sie Ihre aktuellen Sicherheitswarnungen überprüfen und verwalten. Klicken Sie auf eine bestimmte Warnung in Defender für Cloud, um für diese Warnung mögliche Ursachen und empfohlene Aktionen zur Untersuchung und Eindämmung der potenziellen Bedrohung anzuzeigen. Außerdem wird eine E-Mail-Benachrichtigung mit den Warnungsdetails und empfohlenen Aktionen gesendet.

Azure Cosmos DB-Warnungen

Eine Liste der Warnungen, die beim Überwachen von Azure Cosmos DB-Konten generiert werden, finden Sie im Abschnitt Azure Cosmos DB-Warnungen in der Microsoft Defender für Cloud-Dokumentation.

Nächste Schritte