Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Előfeltételek
Defender for Cloud natívan integrálva van az App Service-vel, így nincs szükség üzembe helyezésre és előkészítésre – az integráció transzparens.
Ahhoz, hogy az Azure App Service csomagtervét Microsoft Defender for App Service szolgáltatással védje, a következőkre van szüksége:
Egy App Service-csomag bármely App Service díjszabási csomagban.
Az előfizetésen a Defender for Cloud továbbfejlesztett védelmi funkciói engedélyezve vannak, ahogyan az Továbbfejlesztett biztonsági funkciók engedélyezése című részben le van írva.
Tipp.
Opcionálisan engedélyezheti az egyes Microsoft Defender csomagokat, például a Microsoft Defender for App Service lehetőséget.
Microsoft Defender az App Service-hez a számlázási információk az árazási oldalon találhatók. A Defender for Cloud költségkalkulátorral is becsülheti a költségeket. A számlázás az App Service-csomagok összes szintjén használt összes számítási példány alapján történik.
Tekintse meg a Defender for App Service felhő-elérhetőségét.
App Service-diagnosztika riasztásvizsgálathoz
Az App Service Microsoft Defender által aktivált biztonsági riasztások vizsgálatához engedélyezze az App Service-erőforrás diagnosztikai beállításait. A diagnosztikai naplók http-forgalmat, alkalmazáseseményeket és platformszintű tevékenységeket rögzítenek, amelyek kritikus bizonyítékokat nyújtanak a gyanús viselkedés elemzésekor. E naplók nélkül az incidensvizsgálathoz rendelkezésre álló adatok korlátozottak lehetnek.
Important
A diagnosztikai beállítások engedélyezése további tárolási költségeket vonhat maga után a naplók mennyisége és a választott cél, például egy Log Analytics munkaterület vagy egy tárfiók alapján.
A Microsoft Defender for App Service előnyei?
Azure App Service egy teljes mértékben felügyelt platform a webalkalmazások és API-k létrehozásához és üzemeltetéséhez. Mivel a platform teljes mértékben felügyelt, nem kell aggódnia az infrastruktúra miatt. Felügyeleti, monitorozási és üzemeltetési elemzéseket biztosít a nagyvállalati szintű teljesítményre, a biztonságra és a megfelelőségre vonatkozó követelményeknek való megfelelés érdekében. További információ: Azure App Service.
Microsoft Defender az App Service a felhő skáláját használja az App Service-en futó alkalmazásokat célzó támadások azonosítására. A támadók webes alkalmazásokat próbálnak ki, hogy megtalálják és kihasználják a gyengeségeket. Mielőtt adott környezetekbe irányítanák, a Azure futó alkalmazásokhoz érkező kérelmek több átjárón is áthaladnak, ahol a rendszer megvizsgálja és naplózza őket. Ezek az adatok ezután a biztonsági rések és a támadók azonosítására, valamint a később használható új minták megismerésére szolgálnak.
Ha engedélyezi a Microsoft Defender app service-hez, azonnal igénybe veheti a Defender csomag által kínált alábbi szolgáltatásokat:
Secure – az App Service-hez készült Defender felméri az App Service-csomag által lefedett erőforrásokat, és az eredmények alapján biztonsági javaslatokat hoz létre. Az App Service-erőforrások megerősítéséhez használja az ajánlások részletes utasításait.
Detect – az App Service-hez készült Defender figyeléssel számos fenyegetést észlel az App Service-erőforrásokra:
- az App Service-t futtató virtuálisgép-példányt és annak felügyeleti felületét
- az App Service-alkalmazásoknak küldött és onnan érkező kérések és válaszok
- az alapul szolgáló tesztkörnyezetek és virtuális gépek
- Belső App Service-naplók – az Azure felhőszolgáltatóként elérhető láthatóságának köszönhetően
Natív felhőmegoldásként az App Service-hez készült Defender azonosítani tudja a több célra alkalmazott támadási módszereket. Például egyetlen gazdagépről nehéz lenne azonosítani egy elosztott támadást, amely az IP-címek egy kis részhalmazából indul, és több gazdagép hasonló végpontjait térképezi fel.
A naplóadatok és az infrastruktúra közösen mesélik el a történetet: a vadonban keringő új támadástól az ügyfélgépeken végzett biztonsági résekig. Még akkor is képes lehet észlelni a folyamatban lévő támadásokat, ha a Microsoft Defender az App Service-hez csak a webalkalmazás kihasználása után került telepítésre.
Milyen fenyegetéseket észlelhet az App Service Defender?
A MITRE ATT&CK keretrendszer taktikái által okozott fenyegetések
Defender for Cloud figyeli az App Service-erőforrásokat fenyegető számos fenyegetést. A riasztások a MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) taktikák szinte teljes listáját lefedik a preattacktől a parancsig és az irányításig.
Pre-attack threats – Defender for Cloud képes észlelni a különböző típusú sebezhetőségi szkennerek végrehajtását, amelyeket a támadók gyakran használnak az alkalmazások gyengeségeinek vizsgálatára.
Initial access threats - Microsoft Defender Intelligens veszélyforrás-felderítés által vezérelt riasztások, amelyek akkor aktiválódnak, amikor egy ismert rosszindulatú IP-cím csatlakozik az Azure App Service FTP interfészéhez.
Futtatási fenyegetések – A Defender for Cloud képes észlelni a magas jogosultságú parancsok futtatására tett kísérleteket, a Linux-parancsok Windows-alkalmazás szolgáltatáson való futtatását, a fájlnélküli támadási viselkedést, a kriptovaluta-bányászati eszközöket és sok más gyanús vagy rosszindulatú kódvégrehajtási tevékenységeket.
Dangling DNS-észlelés
Defender for App Service azonosítja azokat a DNS-bejegyzéseket is, amelyek az App Service-webhely leszerelése után a DNS-regisztrálóban maradnak – ezeket lógó DNS-bejegyzéseknek nevezzük. Amikor eltávolít egy webhelyet, és nem távolítja el az egyéni tartományát a DNS-regisztrálótól, a DNS-bejegyzés egy nem létező erőforrásra mutat, és az altartomány sebezhető az átvétellel szemben. Defender for Cloud nem ellenőrzi a DNS-regisztrálóját a létező függő DNS-bejegyzésekre; riasztást küld, ha egy App Service-webhely leállításra kerül, és az egyéni tartománya (DNS-bejegyzése) nincs törölve.
Az altartomány-átvételek gyakori, nagy súlyosságú fenyegetést jelentenek a szervezetek számára. Amikor egy támadó észlel egy elárvult DNS-bejegyzést, saját webhelyet hoz létre a megcélzott címen. A szervezet tartományának szánt forgalom ezután a fenyegetést okozó szereplő webhelyére lesz irányítva, és ezt a forgalmat számos rosszindulatú tevékenységhez használhatják.
A Dangling DNS-védelem akkor érhető el, ha tartományait Azure DNS vagy külső tartományregisztráló kezeli, és Windows és Linux rendszeren egyaránt érvényes az App Service-re.
További információ a DNS-ről és az altartomány-átvétel veszélyéről a DNS-bejegyzések keveredésének megakadályozása és az altartomány-átvétel elkerülése című témakörben.
Az App Service-riasztások teljes listáját a riasztások referenciatáblázatában találja.
Feljegyzés
Defender for Cloud nem aktiválhat csonkoló DNS-riasztásokat, ha az egyéni tartomány nem mutat közvetlenül egy App Service-erőforrásra, vagy ha Defender for Cloud nem figyelte a webhelyre érkező forgalmat a csonkoló DNS-védelem engedélyezése óta (mivel nem lesznek naplók az egyéni tartomány azonosításához).
Következő lépések
Ebben a cikkben megismerkedett a Microsoft Defender az App Service-hez.
A kapcsolódó anyagokért tekintse meg a következő cikkeket:
- Ha a riasztásokat Microsoft Sentinel, partner SIEM-be vagy bármely más külső eszközbe szeretné exportálni, kövesse a Stream-riasztások utasításait a monitorozási megoldásokhoz.
- A Microsoft Defender for App Service riasztások listáját a riasztások referenciatáblájában találja.
- Az App Service-csomagokról további információt Azure App Service csomagok talál.