Megosztás a következőn keresztül:

Az Azure App Service webalkalmazások és API-k védelmére szolgáló Defender for App Service áttekintése

  • Cikk

Előfeltételek

Felhőhöz készült Defender natívan integrálva van az App Service-vel, így nincs szükség üzembe helyezésre és előkészítésre – az integráció transzparens.

A Azure-alkalmazás Service-csomagnak az App Service-hez készült Microsoft Defenderrel való védelméhez a következőkre van szüksége:

  • Dedikált gépekhez társított támogatott App Service-csomag.

  • A Defender for Cloud továbbfejlesztett védelmi funkciói engedélyezve vannak az előfizetésén, ahogy az a Fokozott biztonsági funkciók engedélyezése leírásban szerepel.

    Tipp.

    Opcionálisan engedélyezheti az egyes Microsoft Defender-csomagokat, például a Microsoft Defender for App Service-t.

  • Az App Service-hez készült Microsoft Defender számlázása a díjszabási oldalon látható módon történik. A költségeket a Defender for Cloud költségkalkulátorával is megbecsülheti. A számlázás az összes csomag összes számítási példánya alapján történik.

  • A támogatott App Service-csomagok a következők:

    • Standard szolgáltatási terv
    • Prémium v2 szintű szolgáltatáscsomag
    • Prémium v3 szintű szolgáltatáscsomag
    • App Service Environment v1
    • App Service-környezet v2
    • App Service-környezet v3

  • Tekintse meg az App Service-hez készült Defender felhőbeli elérhetőségét.

Milyen előnyökkel jár a Microsoft Defender for App Service?

Azure-alkalmazás szolgáltatás egy teljes mértékben felügyelt platform a webalkalmazások és API-k létrehozásához és üzemeltetéséhez. Mivel a platform teljes mértékben felügyelt, nem kell aggódnia az infrastruktúra miatt. Felügyeleti, monitorozási és üzemeltetési elemzéseket biztosít a nagyvállalati szintű teljesítményre, a biztonságra és a megfelelőségre vonatkozó követelményeknek való megfelelés érdekében. További információ: Azure-alkalmazás Szolgáltatás.

A Microsoft Defender for App Service a felhő mérete alapján azonosítja az App Service-en futó alkalmazásokat célzó támadásokat. A támadók webes alkalmazásokat próbálnak ki, hogy megtalálják és kihasználják a gyengeségeket. Mielőtt adott környezetekbe irányítanák, az Azure-ban futó alkalmazásokhoz érkező kérések több átjárón is áthaladnak, ahol a rendszer megvizsgálja és naplózza őket. Ezek az adatok ezután a biztonsági rések és a támadók azonosítására, valamint a később használható új minták megismerésére szolgálnak.

Ha engedélyezi a Microsoft Defender for App Service szolgáltatást, azonnal élvezheti a Defender-csomag által kínált alábbi szolgáltatásokat:

  • Biztonságos – Az App Service-hez készült Defender felméri az App Service-csomag által lefedett erőforrásokat, és az eredmények alapján biztonsági javaslatokat hoz létre. Az App Service-erőforrások megerősítéséhez használja az ajánlások részletes utasításait.

  • Detect – Az App Service-hez készült Defender számos fenyegetést észlel az App Service-erőforrásokra nézve a figyeléssel:

    • az App Service-t futtató virtuálisgép-példányt és annak felügyeleti felületét
    • az App Service-alkalmazásoknak küldött és onnan érkező kérések és válaszok
    • az alapul szolgáló tesztkörnyezetek és virtuális gépek
    • Belső App Service-naplók – az Azure felhőszolgáltatóként való láthatóságának köszönhetően érhetők el

Natív felhőalapú megoldásként az App Service-hez készült Defender képes azonosítani a több célra alkalmazott támadási módszereket. Például egyetlen gazdagépről nehéz lenne azonosítani egy elosztott támadást, amely az IP-címek egy kis részhalmazából indul, és több gazdagép hasonló végpontjait térképezi fel.

A naplóadatok és az infrastruktúra közösen mesélik el a történetet: a vadonban keringő új támadástól az ügyfélgépeken végzett biztonsági résekig. Ezért még ha a Microsoft Defender for App Service is üzembe van helyezve egy webalkalmazás kihasználása után, előfordulhat, hogy képes észlelni a folyamatban lévő támadásokat.

Milyen fenyegetéseket észlel a Defender for App Service?

A MITRE ATT&CK keretrendszer taktikái által okozott fenyegetések

Felhőhöz készült Defender figyeli az App Service-erőforrásokat fenyegető számos fenyegetést. A riasztások szinte teljes listát fednek le a MITRE ATT&CK-taktikákról a preattacktől a parancsig és az irányításig.

  • Támadás előtti fenyegetések – Felhőhöz készült Defender képes észlelni a biztonságirés-ellenőrzők különböző típusainak végrehajtását, amelyeket a támadók gyakran használnak az alkalmazások gyengeségeinek vizsgálatára.

  • Kezdeti hozzáférési fenyegetések - A Microsoft Defender Threat Intelligence működteti ezeket a riasztásokat, amelyek között riasztást is aktiválhat, ha egy ismert rosszindulatú IP-cím csatlakozik az Azure App Service FTP-felületéhez.

  • Végrehajtási fenyegetések – Felhőhöz készült Defender észlelheti a magas jogosultsági szintű parancsok, a Linux-parancsok Windows App Service-en való futtatására tett kísérleteket, a fájl nélküli támadási viselkedést, a digitális pénznembányászati eszközöket és sok más gyanús és rosszindulatú kódvégrehajtási tevékenységet.

Dangling DNS-észlelés

Az App Service-hez készült Defender azonosítja a DNS-regisztrálóban egy App Service-webhely leszerelésekor fennmaradó DNS-bejegyzéseket is – ezeket csonkoló DNS-bejegyzéseknek nevezzük. Amikor eltávolít egy webhelyet, és nem távolítja el az egyéni tartományát a DNS-regisztrálótól, a DNS-bejegyzés egy nem létező erőforrásra mutat, és az altartomány sebezhető az átvétellel szemben. Felhőhöz készült Defender nem ellenőrzi a DNS regisztrátorát a meglévő, függőben lévő DNS-bejegyzések után; riasztást küld, ha egy App Service-webhelyet megszüntetnek, és az egyéni tartománya (DNS-bejegyzése) nem törlődik.

Az altartomány-átvételek gyakori, nagy súlyosságú fenyegetést jelentenek a szervezetek számára. Amikor egy támadó észlel egy elárvult DNS-bejegyzést, saját webhelyet hoz létre a megcélzott címen. A szervezet tartományának szánt forgalom ezután a fenyegetést okozó szereplő webhelyére lesz irányítva, és ezt a forgalmat számos rosszindulatú tevékenységhez használhatják.

A Dangling DNS-védelem akkor érhető el, ha tartományait az Azure DNS-sel vagy egy külső tartományregisztrálóval kezelik, és windowsos és linuxos App Service-re is vonatkozik.

Példa egy észlelt dangling DNS-bejegyzésre vonatkozó riasztásra. Engedélyezze a Microsoft Defender for App Service számára, hogy megkapja ezt és a környezetére vonatkozó egyéb riasztásokat.

További információ a DNS-ről és az altartomány-átvétel veszélyéről a DNS-bejegyzések keveredésének megakadályozása és az altartomány-átvétel elkerülése című témakörben.

Az App Service-riasztások teljes listáját a riasztások referenciatáblázatában találja.

Feljegyzés

Defender for Cloud nem indít elárvult DNS-riasztásokat, ha az egyéni tartománynév nem mutat közvetlenül egy App Service-erőforrásra, vagy ha a Defender for Cloud nem figyelte a webhelyre érkező forgalmat, amióta az elárvult DNS-védelmet engedélyezte (mivel nem lesznek naplók, amelyek segítenek az egyéni tartomány azonosításában).

Következő lépések

Ebben a cikkben megismerkedett a Microsoft Defender for App Service szolgáltatással.

Fokozott védelem engedélyezése

A kapcsolódó anyagokért tekintse meg a következő cikkeket:

  • Ha a riasztásokat a Microsoft Sentinelbe, bármely partner SIEM-be vagy bármely más külső eszközbe szeretné exportálni, kövesse a Stream-riasztások utasításait a megoldások monitorozásához.
  • Az App Service-hez készült Microsoft Defender-riasztások listáját a riasztások referenciatáblázatában találja.
  • Az App Service-csomagokról további információt az App Service-csomagokban talál.