Protégez vos API avec Defender pour les API

Defender pour les API dans Microsoft Defender pour le cloud offre une protection complète du cycle de vie, la détection et la couverture de réponse pour des API.

Defender pour les API vous permet d’obtenir une visibilité sur des API vitales pour l’entreprise. Vous pouvez examiner et améliorer votre posture de sécurité des API, hiérarchiser des correctifs de vulnérabilité et détecter rapidement des menaces actives en temps réel.

Cet article explique comment activer et intégrer le plan Defender pour les API dans le portail Defender pour le cloud. Vous pouvez également activer Defender pour les API au sein d’un Gestion des API instance dans le Portail Azure.

En savoir plus sur le plan Microsoft Defender pour les API dans Microsoft Defender pour le cloud. Si vous souhaitez en savoir plus sur Defender pour les API.

Prérequis

• Cette opération nécessite un abonnement Microsoft Azure . Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour obtenir un abonnement gratuit.

• Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.

• Avant de commencer le déploiement , consultez La prise en charge, les autorisations et les exigences de Defender pour les API .

• Vous activez Defender pour les API au niveau de l’abonnement.

• Assurez-vous que les API que vous souhaitez sécuriser sont publiées dans Gestion des API Azure. Suivez ces instructions pour configurer l’API Management Azure.

• Vous devez sélectionner un plan qui accorde le droit d’utilisation approprié pour le volume de trafic d’API de votre abonnement afin de bénéficier du meilleur prix. Par défaut, les abonnements sont choisis dans le « Plan 1 », ce qui peut entraîner des dépassements inattendus si votre abonnement a un trafic d’API supérieur au million d’appels d’API autorisé.

Activer le plan Defender pour les API

Quand vous sélectionnez un plan, tenez compte de ces points :

• Defender pour les API protège uniquement les API intégrées à Defender pour les API. Cela signifie que vous pouvez activer le plan au niveau de l’abonnement et effectuer la deuxième étape de l’intégration en corrigeant la recommandation d’intégration. Pour plus d’informations sur l’intégration, consultez le guide d’intégration.
• Defender pour les API a cinq plans tarifaires, chacun avec une limite de droit d’utilisation différente et des frais mensuels différents. La facturation est effectuée au niveau de l’abonnement.
• La facturation est appliquée à l’ensemble de l’abonnement en fonction de la quantité totale de trafic d’API monitoré au cours du mois pour l’abonnement.
• Le trafic d’API comptabilisé dans la facturation est réinitialisé à 0 au début de chaque mois (chaque cycle de facturation).
• Les dépassements sont calculés sur le trafic d’API dépassant la limite du droit d’utilisation par sélection de plan pendant le mois pour l’ensemble de votre abonnement.

Pour sélectionner le meilleur plan pour votre abonnement dans la page de tarifs de Microsoft Defender pour le cloud, suivez ces étapes et choisissez le plan qui correspond aux exigences de trafic d’API de vos abonnements :

1. Connectez-vous au portail, puis dans Defender pour le cloud, sélectionnez Paramètres d’environnement.

2. Sélectionnez l’abonnement qui contient les API managées que vous souhaitez protéger.

   

3. Sélectionnez Détails sous la colonne de prix du plan des API.

   

4. Sélectionnez le plan adapté à votre abonnement.

5. Sélectionnez Enregistrer.

Sélection du meilleur plan en fonction de l’utilisation historique du trafic de l’API Gestion des API Azure

Vous devez sélectionner un plan qui accorde le droit d’utilisation approprié pour le volume de trafic d’API de votre abonnement afin de bénéficier du meilleur prix. Par défaut, les abonnements sont choisis dans le Plan 1, ce qui peut entraîner des dépassements inattendus si votre abonnement a un trafic d’API supérieur au million d’appels d’API autorisé.

Pour estimer le trafic d’API mensuel dans Gestion des API Azure :

1. Accédez au portail Gestion des API Azure et sélectionnez Métriques sous l’élément Monitoring de la barre de menus.

   

2. Sélectionnez l’intervalle de temps 30 derniers jours.

3. Sélectionnez et définissez les paramètres suivants :

   1. Étendue : nom du service Gestion des API Azure
   2. Espace de noms des métriques : métriques standard du service Gestion des API
   3. Métrique = Demandes
   4. Agrégation = Somme

4. Après avoir défini les paramètres ci-dessus, la requête s’exécute automatiquement, et le nombre total de demandes pour les 30 derniers jours s’affiche en bas de l’écran. Dans l’exemple de capture d’écran, la requête génère 414 demandes au total.

   

   Remarque

   Ces instructions concernent le calcul de l’utilisation par service de gestion des API Azure. Pour calculer l’utilisation estimée du trafic pour tous les services de gestion des API au sein de l’abonnement Azure, définissez le paramètre Étendue sur chaque service de gestion des API Azure au sein de l’abonnement Azure, réexécutez la requête et additionnez les résultats de la requête.

Si vous ne pouvez pas exécuter la requête des métriques, contactez votre administrateur de Gestion des API Azure interne ou votre responsable de compte Microsoft.

Remarque

Après avoir activé Defender pour les API, l’affichage des API intégrées prend jusqu’à 50 minutes dans l’onglet Recommandations. Les insights de sécurité sont disponibles dans Protections de charge de travail>Sécurité de l’API dans les 40 minutes suivant l’intégration.

Intégrer des API

1. Dans le portail Defender pour le cloud, sélectionnez Recommandations.

2. Chercher Defender pour les API.

3. Sous Activer les fonctionnalités de sécurité renforcée, sélectionnez la recommandation de sécurité Les API Gestion des API Azure doivent être intégrées à Defender pour les API :

   

4. Dans la page de recommandation, vous pouvez passer en revue la gravité, l’intervalle de mise à jour, la description et les étapes de correction de la recommandation.

5. Passez en revue les ressources dans l’étendue des recommandations :

   • Ressources non saines : ressources qui ne sont pas intégrées à Defender pour les API.
   • Ressources saines : ressources API qui sont intégrées à Defender pour les API.
   • Ressources non applicables : ressources d’API qui ne sont pas applicables à la protection.

6. Dans Ressources non saines, sélectionnez les API à protéger avec Defender pour les API.

7. Sélectionnez Corriger :

   

8. Dans Correction des ressources, passez en revue les API sélectionnées, puis sélectionnez Corriger les ressources :

   

9. Vérifiez que la correction a réussi :

   

Suivre des ressources d’API intégrées

Après l’intégration des ressources d’API, vous pouvez suivre leur statut dans le portail Defender pour le cloud >protection de la charge de travail>sécurité de l’API :

Vous pouvez également accéder à d’autres collections pour en savoir plus sur les types d’insights ou de risques susceptibles d’exister dans l’inventaire :

Étapes suivantes

• Examen Menaces d’API et posture de sécurité.
• Investiguez les résultats, les recommandations et les alertes d’API.