Condividi tramite

Informazioni su Microsoft Defender per le API

  • Articolo

Microsoft Defender per API è un piano fornito da Microsoft Defender per il cloud che offre protezione completa del ciclo di vita, rilevamento e copertura delle risposte per le API.

Defender per le API consente di ottenere visibilità sulle API critiche per l'azienda. È possibile analizzare e migliorare la postura di sicurezza delle API, assegnare priorità alle correzioni delle vulnerabilità e rilevare rapidamente minacce attive in tempo reale.

Defender per le API offre attualmente la sicurezza per le API pubblicate in Gestione API di Azure. È possibile eseguire l'onboarding di Defender per API nel portale di Defender per il cloud o nell'istanza di Gestione API nel portale di Azure.

Cosa posso fare con Defender per le API?

  • Inventario: in un singolo dashboard ottenere una visualizzazione aggregata di tutte le API gestite.
  • Risultati della sicurezza: analizzare i risultati della sicurezza delle API, incluse le informazioni sulle API esterne, inutilizzate o non autenticate.
  • Postura di sicurezza: esaminare e implementare raccomandazioni di sicurezza per migliorare la postura di sicurezza delle API e rafforzare le superfici a rischio.
  • Classificazione dei dati API: classificare le API che ricevono o rispondono con dati sensibili per supportare la definizione delle priorità dei rischi.
  • Rilevamento delle minacce: inserire il traffico dell'API e monitorarlo con il rilevamento delle anomalie di runtime per mezzo dell'apprendimento automatico e dell'analisi basata su regole, per rilevare le minacce alla sicurezza delle API, incluse le principali 10 minacce critiche dell'API OWASP.
  • Integrazione di Defender CSPM: integrazione con Cloud Security Graph in Defender Cloud Security Posture Management (CSPM) per la visibilità e la valutazione dei rischi delle API nell'organizzazione.
  • Integrazione di Gestione API di Azure: con il piano Defender per le API abilitato, è possibile ricevere raccomandazioni e avvisi sulla sicurezza delle API nel portale di Gestione API di Microsoft Azure.
  • Integrazione SIEM: integrare con sistemi Information and Event Management (SIEM), semplificando l'analisi dei team di sicurezza con i flussi di lavoro di risposta alle minacce esistenti. Altre informazioni.

Revisione dei risultati della sicurezza dell'API

Esaminare i risultati dell'inventario e della sicurezza per le API di cui è stato eseguito l'onboarding nel dashboard di Defender per il cloud - Sicurezza API. Il dashboard mostra il numero di dispositivi di cui è stato eseguito l'onboarding, suddivisi per raccolte API, endpoint e servizi di Gestione API di Azure:

Screenshot che mostra l'inventario delle API di cui è stato eseguito l'onboarding.

È possibile eseguire il drill-down nella raccolta di API per esaminare i risultati della sicurezza per gli endpoint API di cui è stato eseguito l'onboarding:

Screenshot per la revisione dei dettagli dell'endpoint API.

Le informazioni sull'endpoint API includono:

  • Nome endpoint: nome dell'endpoint/operazione API definito in Gestione API di Azure.
  • Endpoint: percorso URL degli endpoint API e del metodo HTTP. Ultimo chiamato dati (UTC): data dell'ultima osservazione del traffico DELL'API verso/dagli endpoint API (fuso orario UTC).
  • 30 giorni senza utilizzo: indica se gli endpoint API hanno ricevuto traffico di chiamate API negli ultimi 30 giorni. Le API che non hanno ricevuto traffico negli ultimi 30 giorni sono contrassegnate come Inattive.
  • Autenticazione: mostra quando un endpoint API monitorato non ha autenticazione. Per le API pubblicate in Gestione API di Azure, questa valuta l'autenticazione tramite la verifica della presenza di chiavi di sottoscrizione di Gestione API di Azure per le API o i prodotti in cui è necessaria la sottoscrizione e l'esecuzione di criteri per la convalida di token JWT, certificati client e token Microsoft Entra. Se nessuno di questi meccanismi di autenticazione viene eseguito durante la chiamata API, l'API viene contrassegnata come Non autenticata
  • Data di osservazione del traffico esterno: data in cui traffico dell'API esterno è stato osservato verso/dall'endpoint API.
  • Classificazione dei dati: classifica i corpi di richiesta e risposta dell'API in base ai tipi di dati supportati.

Nota

Gli endpoint API che non hanno ricevuto traffico dopo l'onboarding in Defender per le API visualizzano lo stato In attesa dei dati nel dashboard dell'API.

Analisi delle raccomandazioni sulle API

Usare le raccomandazioni per migliorare la postura di sicurezza, rafforzare le configurazioni dell'API, identificare i rischi critici dell'API e attenuare i problemi in base alla priorità dei rischi.

Defender per API offre una serie di raccomandazioni, tra cui raccomandazioni per eseguire l'onboarding delle API nel piano di Defender per API, disabilitare e rimuovere le API inutilizzate e consigli sulle procedure consigliate per la sicurezza, l'autenticazione e il controllo di accesso.

Rilevamento delle minacce

Defender per le API monitora il traffico di runtime e i feed di intelligence sulle minacce e genera avvisi di rilevamento delle minacce. Gli avvisi API rilevano le prime 10 minacce API OWASP, esfiltrazione di dati, attacchi volumetrici, parametri API anomali e sospetti, traffico e anomalie di accesso IP e modelli di utilizzo.

Esaminare le informazioni di riferimento sugli avvisi di sicurezza.

Risposta alle minacce

Intervenire sugli avvisi per attenuare minacce e rischi. Gli avvisi e le raccomandazioni di Defender per il cloud possono essere esportati in sistemi SIEM come Microsoft Sentinel, per l'analisi all'interno dei flussi di lavoro di risposta alle minacce esistenti per una correzione rapida ed efficiente. Fare clic qui per altre informazioni.

Analisi dei dati analitici di Cloud Security Graph

Cloud Security Graph nel piano Defender CSPM analizza gli asset e le connessioni all'interno dell'organizzazione, per esporre rischi, vulnerabilità e possibili percorsi di spostamento laterale.

Quando Defender per le API è abilitato insieme al piano CSPM di Defender, è possibile usare Cloud Security Explorer per eseguire query proattive ed efficienti sulle informazioni dell'organizzazione per individuare, identificare e correggere asset API, problemi di sicurezza e rischi:

Screenshot che mostra Cloud Security Explorer.

Modelli di query

Sono disponibili due modelli di query predefiniti per identificare gli asset dell'API rischiosa, che è possibile usare per eseguire la ricerca con un solo clic:

Screenshot che mostra modelli di query di esempio.

Passaggi successivi

Esaminare il supporto e i prerequisiti per la distribuzione di Defender per API.