Acerca de Microsoft Defender para API

  • Artículo

Microsoft Defender para API es un plan proporcionado por Microsoft Defender for Cloud que ofrece cobertura de protección, detección y respuesta durante todo el ciclo de vida para las API.

Defender para API le ayuda a obtener visibilidad de las API críticas para la empresa. Puede investigar y mejorar la posición de seguridad de una API, priorizar las correcciones de vulnerabilidades y detectar rápidamente amenazas activas en tiempo real.

Actualmente, Defender para API ofrece seguridad para las API publicadas en Azure API Management. Defender para API se puede incorporar en el portal de Defender for Cloud o en la instancia de API Management de Azure Portal.

¿Qué puedo hacer con Defender para API?

  • Inventario: En un único panel, obtenga una vista agregada de todas las API administradas.
  • Resultados de seguridad: Analice los resultados de seguridad de las API, incluida la información sobre las API externas, sin usar o sin autenticar.
  • Posición de seguridad: Revise e implemente recomendaciones de seguridad para mejorar la posición de seguridad de las API y proteger las superficies en riesgo.
  • Clasificación de datos de API: Clasifique las API que reciben o responden datos confidenciales para admitir la priorización de riesgos.
  • Detección de amenazas: Ingiera el tráfico de las API y supervíselo con detección de anomalías en tiempo de ejecución, mediante el aprendizaje automático y el análisis basado en reglas, para detectar amenazas de seguridad de las API, incluidas las 10 principales amenazas críticas de API OWASP.
  • Integración en CSPM de Defender: Integre el grafo de seguridad en la nube en la Administración de la posición de seguridad en la nube (CSPM) de Defender para la visibilidad y la evaluación de riesgos de las API en toda la organización.
  • Integración de Azure API Management: Con el plan Defender para API habilitado, puede recibir recomendaciones y alertas de seguridad de API en el portal de Azure API Management.
  • Integración de SIEM: Intégrese en sistemas de Administración de eventos e información de seguridad (SIEM), lo que permite que los equipos de seguridad investiguen con mayor facilidad los flujos de trabajo de respuesta a amenazas existentes. Más información.

Revisión de los resultados de seguridad de las API

Revise los resultados de inventario y seguridad de las API incorporadas en el panel Seguridad de API de Defender for Cloud. El panel muestra el número de dispositivos incorporados, desglosados por colecciones de API, puntos de conexión y servicios de Azure API Management:

Captura de pantalla que muestra el inventario de API incorporadas.

Puede explorar en profundidad la colección de API para examinar los resultados de seguridad de los puntos de conexión de API incorporados:

Captura de pantalla para revisar los detalles de los puntos de conexión de API.

La información de los puntos de conexión de las API incluye:

  • Nombre del punto de conexión: Nombre del punto de conexión o la operación de API tal y como se define en Azure API Management.
  • Punto de conexión: Ruta de acceso URL de los puntos de conexión de API y método HTTP. Fecha de la última llamada (UTC): Fecha en la que se observó por última vez el tráfico de API hacia o desde los puntos de conexión de API (en la zona horaria UTC).
  • 30 días sin usar: Nuestra si los puntos de conexión de API han recibido algún tráfico de llamadas API en los últimos 30 días. Las API que no han recibido ningún tráfico en los últimos 30 días se marcan como inactivas.
  • Autenticación: Aparece cuando un punto de conexión de API supervisado no está autenticado. En el caso de las API publicadas en Azure API Management, esto evalúa la autenticación comprobando la presencia de claves de suscripción de Azure API Management para las API o productos en los que se requiere la suscripción, y la ejecución de directivas para validar tokens JWT, certificados de cliente y Microsoft Entra. Si ninguno de estos mecanismos de autenticación se ejecuta durante la llamada API, la API se marca como sin autenticar
  • Fecha observada del tráfico externo: Fecha en la que se observó que el tráfico de API externo va o viene desde el punto de conexión de la API.
  • Clasificación de datos: Clasifica los cuerpos de solicitud y respuesta de API en función de los tipos de datos admitidos.

Nota:

Los puntos de conexión de API que no han recibido tráfico desde la incorporación en Defender para API muestran el estado Esperando datos en el panel API.

Investigación de recomendaciones de API

Use recomendaciones para mejorar la posición de seguridad, proteger las configuraciones de API, identificar riesgos críticos para las API y mitigar los problemas por prioridad de riesgo.

Defender for API ofrece una serie de recomendaciones, incluidas recomendaciones para incorporar API al plan Defender para API, deshabilitar y quitar las API sin usar, así como recomendaciones de procedimientos recomendados para la seguridad, la autenticación y el control de acceso.

Consulte la referencia sobre recomendaciones.

Detección de amenazas

Defender para API supervisa el tráfico en tiempo de ejecución y las fuentes de inteligencia sobre amenazas y emite alertas de detección de amenazas. Las alertas de API detectan las 10 principales amenazas de API OWASP, filtración de datos, ataques volumétricos, parámetros de API anómalos y sospechosos, anomalías de tráfico y de acceso de IP, y patrones de uso.

Consulte la referencia sobre alertas de seguridad.

Tutorial: Configuración de respuestas automatizadas frente a amenazas en Azure Sentinel

Actúe en función de las alertas para mitigar las amenazas y el riesgo. Las alertas y recomendaciones de Defender for Cloud se pueden exportar a sistemas SIEM, como Microsoft Sentinel, para la investigación dentro de los flujos de trabajo de respuesta a amenazas existentes para una corrección rápida y eficaz. Obtenga más información aquí.

Investigación de la información del grafo de seguridad en la nube

El grafo de seguridad en la nube en el plan de CSPM de Defender analiza los recursos y conexiones dentro de su organización para exponer riesgos, vulnerabilidades y posibles rutas de desplazamiento lateral.

Cuando Defender para API está habilitado junto con el plan Defender CSPM, puede usar Cloud Security Explorer para consultar de forma proactiva y eficaz la información de la organización, con el fin de buscar, identificar y corregir recursos de API, problemas de seguridad y riesgos:

Captura de pantalla que muestra el explorador de seguridad en la nube.

Plantillas de consulta

Hay dos plantillas de consulta integradas disponibles para identificar los recursos de API en riesgo que puede usar para buscar con un solo clic:

Captura de pantalla que muestra plantillas de consulta de ejemplo.

Pasos siguientes

Consulte la compatibilidad y los requisitos previos para la implementación de Defender para API.