Schützen Ihrer APIs mit Defender for APIs

Defender for APIs in Defender for Cloud bietet vollständigen Lebenszyklusschutz, Erkennung und Antwortabdeckung für APIs.

Defender für APIs hilft Ihnen, Einblicke in unternehmenskritische APIs zu erhalten. Sie können den API-Sicherheitsstatus untersuchen und verbessern, Sicherheitskorrekturen priorisieren und aktive Echtzeitbedrohungen schnell erkennen.

In diesem Artikel wird beschrieben, wie Sie den Defender for APIs-Plan im Defender for Cloud-Portal aktivieren und integrieren. Alternativ können Sie Defender for APIs innerhalb einer API Management-Instanz im Azure-Portal aktivieren.

Erfahren Sie mehr über den Plan Microsoft Defender for APIs in Microsoft Defender for Cloud. Hier finden Sie weitere Informationen zu Defender für APIs.

Voraussetzungen

• Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.

• Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.

• Überprüfen Sie die Unterstützung, Berechtigungen und Anforderungen von Defender for APIs, bevor Sie mit der Bereitstellung beginnen.

• Sie aktivieren Defender for APIs auf Abonnementebene.

• Stellen Sie sicher, dass APIs, die Sie schützen möchten, in Azure API Management veröffentlicht werden. Befolgen Sie diese Anweisungen zum Einrichten von Azure API Management.

• Sie müssen einen Plan auswählen, der die geeignete Berechtigung für das API-Datenverkehrsvolumen in Ihrem Abonnement zuweist, um die optimalen Preise zu erhalten. Standardmäßig werden Abonnements in „Plan 1“ abonniert, was zu unerwarteten Überschreitungen führen kann, wenn Ihr Abonnement über API-Datenverkehr verfügt, der höher als die 1 Million API-Aufrufberechtigungen ist.

Aktivieren des Defender for APIs-Plans

Berücksichtigen Sie beim Auswählen eines Plans die folgenden Punkte:

• Defender for APIs schützt nur diejenigen APIs, für die in Defender for APIs ein Onboarding durchgeführt wird. Dies bedeutet, dass Sie den Plan auf Abonnementebene aktivieren und den zweiten Schritt des Onboardings abschließen können, indem Sie die Onboarding-Empfehlung beheben. Weitere Informationen zum Onboarding finden Sie im Onboarding-Leitfaden.
• Defender for APIs verfügt über fünf Preispläne, jeweils mit einem anderen Berechtigungslimit und einer anderen monatlichen Gebühr. Die Abrechnung erfolgt auf Abonnementebene.
• Die Abrechnung wird auf das gesamte Abonnement angewendet, basierend auf der Gesamtmenge des API-Datenverkehrs, der über den Monat für das Abonnement überwacht wird.
• Der für die Abrechnung gezählte API-Datenverkehr wird zu Beginn jedes Monats (jedes Abrechnungszyklus) auf 0 (null) zurückgesetzt.
• Die Überschreitungen werden für API-Datenverkehr berechnet, der die Berechtigungsgrenze pro Planauswahl während des Monats für Ihr gesamtes Abonnement überschreitet.

Um den besten Plan für Ihr Abonnement auf der Preisseite von Microsoft Defender for Cloud auszuwählen, führen Sie die folgenden Schritte aus, und wählen Sie den Plan aus, der den API-Datenverkehrsanforderungen Ihrer Abonnements entspricht:

1. Melden Sie sich beim Portal an, und wählen Sie in Defender for Cloud Umgebungseinstellungen aus.

2. Wählen Sie das Abonnement aus, das die verwalteten APIs enthält, die Sie schützen möchten.

   

3. Wählen Sie unter der Preisspalte für den Defender for APIs-Plan Details aus.

   

4. Wählen Sie den Plan aus, der für Ihr Abonnement geeignet ist.

5. Wählen Sie Speichern.

Auswählen des optimalen Plans basierend auf dem historischen Datenverkehrsverbrauch der Azure API Management-API

Sie müssen einen Plan auswählen, der die geeignete Berechtigung für das API-Datenverkehrsvolumen in Ihrem Abonnement zuweist, um die optimalen Preise zu erhalten. Standardmäßig werden Abonnements in Plan 1 abonniert, was zu unerwarteten Überschreitungen führen kann, wenn Ihr Abonnement über API-Datenverkehr verfügt, der höher als die 1 Million API-Aufrufberechtigungen ist.

So schätzen Sie den monatlichen API-Datenverkehr in Azure API Management:

1. Navigieren Sie zum Azure API Management-Portal, und wählen Sie Metriken im Menüleistenelement „Überwachung“ aus.

   

2. Wählen Sie den Zeitbereich als Letzte 30 Tage aus.

3. Wählen Sie die folgenden Parameter aus und legen ihn fest:

   1. Bereich: Name des Azure API Management-Diensts
   2. Metrik-Namespace: Standardmetriken des API Management-Diensts
   3. Metrik = Anforderungen
   4. Aggregation = Summe

4. Nach dem Festlegen der obigen Parameter wird die Abfrage automatisch ausgeführt, und die Gesamtanzahl der Anforderungen der letzten 30 Tage wird unten auf dem Bildschirm angezeigt. Im Beispiel im Screenshot ergibt die Abfrage insgesamt 414 Anforderungen.

   

   Hinweis

   Diese Anweisungen dienen zur Berechnung des Verbrauchs pro Azure API Management-Dienst. Um den geschätzten Datenverkehrsverbrauch für alle API Management-Dienste innerhalb des Azure-Abonnements zu berechnen, ändern Sie den Parameter Bereich in jeden Azure API Management-Dienst innerhalb des Azure-Abonnements, führen Sie die Abfrage erneut aus, und summieren Sie die Abfrageergebnisse.

Wenn Sie keinen Zugriff auf die Ausführung der Metrikabfrage haben, wenden Sie sich an Ihren internen Azure API Management-Administrator oder Ihren Microsoft-Kontomanager.

Hinweis

Nach dem Aktivieren von Defender for APIs dauert es bis zu 50 Minuten, bis die integrierten APIs auf der Registerkarte Empfehlungen angezeigt werden. Sicherheitserkenntnisse sind innerhalb von 40 Minuten nach der Integration im Dashboard Workloadschutz>API-Sicherheit verfügbar.

Integrieren von APIs

1. Wählen Sie im Defender for Cloud-Portal die Option Empfehlungen aus.

2. Suchen sie nach Defender for APIs.

3. Wählen Sie unter Erweiterte Sicherheitsfeatures aktivieren die Sicherheitsempfehlung Für Azure API Management-APIs sollten ein Onboarding in Defender for APIs durchgeführt werden aus:

   

4. Auf der Empfehlungsseite können Sie den Schweregrad der Empfehlung, das Updateintervall, die Beschreibung und die Wartungsschritte überprüfen.

5. Gehen Sie die Ressourcen durch, die für die Empfehlungen in Frage kommen:

   • Fehlerhafte Ressourcen: Ressourcen, die nicht in Defender for APIs integriert sind.
   • Fehlerfreie Ressourcen: API-Ressourcen, die in Defender for APIs integriert sind.
   • Nicht anwendbare Ressourcen: API-Ressourcen, die nicht für den Schutz geeignet sind.

6. Wählen Sie unter Fehlerhafte Ressourcen die APIs aus, die Sie mit Defender for APIs schützen möchten.

7. Wählen Sie Korrigieren aus:

   

8. Prüfen Sie unter Ressourcen korrigieren die ausgewählten APIs, und wählen Sie Ressourcen korrigieren aus:

   

9. Überprüfen Sie, ob die Korrektur erfolgreich war:

   

Nachverfolgen von integrierten API-Ressourcen

Nach der Integration der API-Ressourcen können Sie deren Status im Defender for Cloud-Portal unter >Workloadschutz>API-Sicherheit verfolgen:

Sie können auch zu anderen Sammlungen navigieren, um zu erfahren, welche Arten von Erkenntnissen oder Risiken im Bestand vorhanden sein können:

Nächste Schritte

• Überprüfen Sie API-Bedrohungen und Sicherheitsstatus.
• Untersuchen von API-Ergebnissen, Empfehlungen und Warnungen.