Proteggere le API con Defender per le API

Defender per LE API in Microsoft Defender per il cloud offre protezione completa del ciclo di vita, rilevamento e copertura delle risposte per le API.

Defender per LE API consente di ottenere visibilità sulle API critiche per l'azienda. È possibile analizzare e migliorare il comportamento di sicurezza delle API, assegnare priorità alle correzioni delle vulnerabilità e rilevare rapidamente minacce attive in tempo reale.

Questo articolo descrive come abilitare ed eseguire l'onboarding del piano di Defender per le API nel portale di Defender per il cloud. In alternativa, è possibile abilitare Defender per le API all'interno di un'istanza di Gestione API nel portale di Azure.

Altre informazioni sul piano delle API di Microsoft Defender per l'Microsoft Defender per il cloud. Altre informazioni su Defender per le API.

Prerequisiti

• È necessaria una sottoscrizione di Microsoft Azure . Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.

• È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.

• Verificare il supporto, le autorizzazioni e i requisiti di Defender per API prima di iniziare la distribuzione.

• A livello di sottoscrizione si abilita Defender per le API.

• Verificare che le API da proteggere siano presenti nella gestione API di Azure. Seguire queste istruzioni per impostare Gestione API di Azure.

• È necessario selezionare un piano che concede il diritto appropriato per il volume di traffico API nella sottoscrizione per ricevere i prezzi più ottimali. Per impostazione predefinita, le sottoscrizioni vengono acconsentite a "Piano 1", che possono causare eccedenze impreviste se la sottoscrizione ha traffico API superiore a un milione di chiamate API entitlement.

Abilitare il piano di Defender per le API

Quando si seleziona un piano, considerare questi punti:

• Defender per LE API protegge solo le API di cui è stato eseguito l'onboarding in Defender per le API. Ciò significa che è possibile attivare il piano a livello di sottoscrizione e completare il secondo passaggio dell'onboarding correggendo la raccomandazione di onboarding. Per altre informazioni sull'onboarding, vedere la guida all'onboarding.
• Defender per le API ha cinque piani tariffari, ognuno con un limite di entitlement diverso e una tariffa mensile. La fatturazione viene eseguita a livello di sottoscrizione.
• La fatturazione viene applicata all'intera sottoscrizione in base alla quantità totale di traffico dell'API monitorata nel mese per la sottoscrizione.
• Il traffico dell'API conteggiato verso la fatturazione viene reimpostato su 0 all'inizio di ogni mese (ogni ciclo di fatturazione).
• Le eccedenze vengono calcolate sul traffico DELL'API che supera il limite di diritti per ogni selezione del piano durante il mese per l'intera sottoscrizione.

Per selezionare il piano migliore per la sottoscrizione dalla pagina dei prezzi Microsoft Defender per il cloud, seguire questa procedura e scegliere il piano corrispondente ai requisiti di traffico api delle sottoscrizioni:

1. Accedere al portale e in Defender per il cloud selezionare Impostazioni ambiente.

2. Selezionare la sottoscrizione che contiene le API gestite da proteggere.

   

3. Selezionare Dettagli nella colonna dei prezzi per il piano API.

   

4. Selezionare il piano adatto per la sottoscrizione.

5. Seleziona Salva.

Selezione del piano ottimale in base all'utilizzo cronologico del traffico dell'API Gestione API di Azure

È necessario selezionare un piano che concede il diritto appropriato per il volume di traffico API nella sottoscrizione per ricevere i prezzi più ottimali. Per impostazione predefinita, le sottoscrizioni vengono acconsentite al piano 1, che possono causare eccedenze impreviste se la sottoscrizione ha traffico API superiore a un milione di chiamate API entitlement.

Per stimare il traffico dell'API mensile in Azure Gestione API:

1. Passare al portale di Azure Gestione API e selezionare Metriche nella voce della barra dei menu Monitoraggio.

   

2. Selezionare l'intervallo di tempo come Ultimi 30 giorni.

3. Selezionare e impostare i parametri seguenti:

   1. Ambito: Nome servizio di Azure Gestione API
   2. Spazio dei nomi della metrica: metriche standard del servizio Gestione API
   3. Metrica = Richieste
   4. Aggregazione = Somma

4. Dopo aver impostato i parametri precedenti, la query verrà eseguita automaticamente e il numero totale di richieste degli ultimi 30 giorni viene visualizzato nella parte inferiore della schermata. Nell'esempio di screenshot la query restituisce 414 numero totale di richieste.

   

   Nota

   Queste istruzioni sono per calcolare l'utilizzo per ogni servizio di gestione API di Azure. Per calcolare l'utilizzo stimato del traffico per tutti i servizi di Gestione API all'interno della sottoscrizione di Azure, modificare il parametro Scope in ogni servizio di Gestione API di Azure all'interno della sottoscrizione di Azure, eseguire nuovamente la query e sommare i risultati della query.

Se non si ha accesso per eseguire la query sulle metriche, contattare l'amministratore interno di Azure Gestione API o il proprio account manager Microsoft.

Nota

Dopo aver abilitato Defender per le API, le API di cui è stato eseguito l'onboarding richiedono fino a 50 minuti nella scheda Consigli. Le informazioni dettagliate sulla sicurezza dei carichi di lavoro sono disponibili nel dashboard sicurezza api protezione carico di lavoro>entro 40 minuti dall'onboarding.

API di onboarding

1. Nel portale di Defender per il cloud selezionare Consigli.

2. Cercare Defender per le API.

3. In Abilita funzionalità di sicurezza avanzate selezionare la raccomandazione per la sicurezza di Azure Gestione API API da caricare in Defender per le API:

   

4. Nella pagina dei consigli è possibile esaminare la gravità della raccomandazione, l'intervallo di aggiornamento, la descrizione e i passaggi di correzione.

5. Esaminare le risorse nell'ambito per le raccomandazioni:

   • Risorse non integre: risorse non caricate in Defender per le API.
   • Risorse integre: risorse API di cui viene eseguito l'onboarding in Defender per le API.
   • Risorse non applicabili: risorse API non applicabili per la protezione.

6. In Risorse non integre selezionare le API da proteggere con Defender per le API.

7. Selezionare Correzione:

   

8. In Correzione delle risorse esaminare le API selezionate e selezionare Correggi risorse:

   

9. Verificare che la correzione sia riuscita:

   

Tenere traccia delle risorse API di cui è stato eseguito l'onboarding

Dopo aver eseguito l'onboarding delle risorse DELL'API, è possibile tenere traccia dello stato nel portale >di Defender per il cloud La sicurezza api per la protezione dei>carichi di lavoro:

È anche possibile passare ad altre raccolte per informazioni sui tipi di informazioni dettagliate o sui rischi presenti nell'inventario:

Passaggi successivi

• Esaminare le minacce api e il comportamento di sicurezza.
• Esaminare i risultati, le raccomandazioni e gli avvisi dell'API.