Sdílet prostřednictvím

Přehled služby Defender for App Service za účelem ochrany webových aplikací a rozhraní API služby Aplikace Azure Service

Požadavky

Defender pro cloud je nativně integrovaný se službou App Service a eliminuje potřebu nasazení a onboardingu – integrace je transparentní.

K ochraně plánu služby Aplikace Azure pomocí programu Microsoft Defender for App Service potřebujete:

Jaké jsou výhody služby Microsoft Defender for App Service?

Aplikace Azure Service je plně spravovaná platforma pro vytváření a hostování webových aplikací a rozhraní API. Vzhledem k tomu, že je platforma plně spravovaná, nemusíte se starat o infrastrukturu. Poskytuje přehledy o správě, monitorování a provozu, které splňují požadavky na výkon, zabezpečení a dodržování předpisů na podnikové úrovni. Další informace najdete v tématu Aplikace Azure Service.

Microsoft Defender for App Service používá škálu cloudu k identifikaci útoků, které cílí na aplikace spuštěné přes App Service. Útočníci testují webové aplikace za účelem vyhledání a zneužití slabých stránek. Před směrováním do konkrétních prostředí procházejí požadavky na aplikace spuštěné v Azure několika branami, kde se kontrolují a protokolují. Tato data se pak používají k identifikaci zneužití a útočníků a k seznámení s novými vzory, které je možné použít později.

Když povolíte Microsoft Defender for App Service, okamžitě získáte z následujících služeb nabízených tímto plánem Defenderu:

  • Zabezpečení – Defender for App Service vyhodnocuje prostředky, na které se vztahuje váš plán služby App Service, a na základě svých zjištění generuje doporučení zabezpečení. Pokud chcete posílit zabezpečení prostředků služby App Service, postupujte podle podrobných pokynů v těchto doporučeních.

  • Detekce – Defender for App Service detekuje celou řadu hrozeb pro vaše prostředky služby App Service monitorováním:

    • instance virtuálního počítače, ve které je spuštěná služba App Service, a její rozhraní pro správu
    • požadavky a odpovědi odeslané do a z vašich aplikací App Service
    • podkladové sandboxy a virtuální počítače
    • Interní protokoly služby App Service – dostupné díky viditelnosti, kterou Má Azure jako poskytovatel cloudu

Jako řešení nativní pro cloud může Defender for App Service identifikovat metodologie útoků, které se vztahují na více cílů. Například z jednoho hostitele by bylo obtížné identifikovat distribuovaný útok z malé podmnožiny IP adres a procházet podobné koncové body na více hostitelích.

Data protokolů a infrastruktura společně můžou vyprávět příběh: od nového útoku, který se pohybuje v divočině až po ohrožení počítačů zákazníků. Proto i v případě, že je Microsoft Defender for App Service nasazený po zneužití webové aplikace, může být schopen detekovat probíhající útoky.

Jaké hrozby může Defender for App Service rozpoznat?

Hrozby podle taktiky MITRE ATT&CK

Defender for Cloud monitoruje řadu hrozeb pro vaše prostředky služby App Service. Výstrahy pokrývají téměř celý seznam taktik MITRE ATT&CK od před útokem po velení a řízení.

  • Hrozby před útokem – Defender for Cloud dokáže detekovat provádění více typů skenerů ohrožení zabezpečení, které útočníci často používají k oskenování slabých stránek aplikací.

  • Hrozby - počátečního přístupuAnalýza hrozeb v programu Microsoft Defender tyto výstrahy využívá k aktivaci výstrahy, když se známá škodlivá IP adresa připojí k vašemu rozhraní FTP služby Azure App Service.

  • Hrozby spuštění – Defender for Cloud dokáže detekovat pokusy o spouštění příkazů s vysokými oprávněními, linuxové příkazy ve službě Windows App Service, chování při útoku bez souborů, nástroje pro dolování digitálních měn a mnoho dalších podezřelých a škodlivých aktivit provádění kódu.

Detekce dns s danglingem

Defender for App Service také identifikuje všechny položky DNS, které zůstanou ve vašem registrátorovi DNS, když se web služby App Service vyřadí z provozu – označují se jako neprotokolované položky DNS. Když odeberete web a neodstraníte jeho vlastní doménu ze svého registrátora DNS, položka DNS ukazuje na neexistující prostředek a vaše subdoména je zranitelná vůči podvržení. Defender for Cloud neskenuje vašeho registrátora DNS na existující nespojené položky DNS; upozorní vás, když je web služby App Service vyřazen z provozu a jeho vlastní doména (záznam DNS) není odstraněna.

Převzetí subdomény představují běžnou hrozbu s vysokou závažností pro organizace. Když útočník zjistí neaktivní záznam DNS, vytvoří svůj vlastní web na cílové adrese. Provoz, který je určen pro doménu organizace, je následně přesměrován na stránky hrozeb a útočníků, a ti mohou ho využít pro širokou škálu škodlivých činností.

Ochrana proti nefunkčním DNS je dostupná bez ohledu na to, zda jsou vaše domény spravovány pomocí Azure DNS nebo externího registrátora domén, a vztahuje se na App Service jak na Windows, tak na Linuxu.

Příklad výstrahy o zjištěném nepatřičném DNS záznamu. Povolte službě Microsoft Defender pro App Service přijímat toto a další upozornění pro vaše prostředí.

Přečtěte si další informace o nezabezpečeném DNS a hrozbě únosu subdomény v tématu Jak zabránit nezabezpečeným položkám DNS a vyhnout se únosu subdomény.

Úplný seznam výstrah služby App Service najdete v referenční tabulce výstrah.

Poznámka:

Pokud vaše vlastní doména neodkazuje přímo na prostředek služby App Service nebo pokud Defender for Cloud nemonitoroval provoz na vašem webu od chvíle, kdy byla povolena ochrana před dangling DNS (protože nebudou existovat protokoly, které by pomohly identifikovat vlastní doménu), nemusejí se vygenerovat upozornění na dangling DNS.

Další kroky

V tomto článku jste se dozvěděli o programu Microsoft Defender for App Service.

Povolit rozšířené ochrany

Související materiály najdete v následujících článcích:

  • Last updated on