Panoramica di Defender per servizio app per proteggere le API e le app Web del servizio app Azure
Prerequisiti
Defender for Cloud è integrato in modo nativo con il servizio app, eliminando la necessità di eseguire la distribuzione e l'onboarding; l'integrazione è trasparente.
Per proteggere il piano di servizio app Azure con Microsoft Defender per servizio app, è necessario:
Piano di servizio app supportato associato ai computer dedicati. I piani supportati sono elencati in Disponibilità.
protezione avanzata di Defender per il cloud abilitata nella sottoscrizione, come descritto in Abilitare le funzionalità di sicurezza avanzate.
Suggerimento
Facoltativamente, è possibile abilitare singoli piani di Microsoft Defender, ad esempio Microsoft Defender per servizio app.
Disponibilità
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Disponibilità generale (GA) |
| Prezzi: | Microsoft Defender per servizio app viene fatturato come illustrato nella pagina dei prezzi La fatturazione è in base alle istanze di calcolo totali in tutti i piani |
| Piani di servizio app supportati: | I piani di servizio app supportati sono: • Piano gratuito • Piano di servizio di base • Piano di servizio Standard • Piano di servizio Premium v2 • Piano di servizio Premium v3 • ambiente del servizio app v1 • ambiente del servizio app v2 • ambiente del servizio app v3 |
| Cloud: |  Cloud commerciali Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet) |
Quali sono i vantaggi di Microsoft Defender per servizio app?
app Azure Service è una piattaforma completamente gestita per la creazione e l'hosting di app Web e API. Poiché la piattaforma è completamente gestita, non è necessario preoccuparsi dell'infrastruttura. Fornisce funzionalità di gestione e monitoraggio e informazioni operative dettagliate per soddisfare i requisiti di prestazioni, sicurezza e conformità di livello aziendale. Per altre informazioni, vedere Servizio app di Azure.
Microsoft Defender per il servizio app sfrutta la scalabilità del cloud per identificare gli attacchi alle applicazioni in esecuzione sul servizio app. Gli utenti malintenzionati mettono alla prova le applicazioni Web per individuare e sfruttare i punti deboli. Prima di essere instradate verso ambienti specifici, le richieste alle applicazioni in esecuzione in Azure passano attraverso diversi gateway, in cui vengono ispezionate e registrate. Questi dati vengono quindi usati per identificare exploit e utenti malintenzionati e per apprendere nuovi modelli che possono essere usati in un secondo momento.
Quando si abilita Microsoft Defender per il servizio app, si ottengono immediatamente i vantaggi dei servizi seguenti offerti da questo piano di Defender:
Proteggere: Defender per il servizio app valuta le risorse coperte dal piano di servizio app e genera raccomandazioni sulla sicurezza in base ai risultati ottenuti. Per rafforzare la protezione avanzata delle risorse servizio app, usare le istruzioni dettagliate riportate in queste raccomandazioni.
Rilevare: Defender per il servizio app rileva una moltitudine di minacce alle risorse del servizio app monitorando:
- l'istanza di macchina virtuale in cui è in esecuzione il servizio app e la relativa interfaccia di gestione
- le richieste e le risposte inviate da e verso le app del servizio app
- le macchine virtuali e le sandbox sottostanti
- i log interni del servizio app, disponibili grazie alla visibilità di cui Azure dispone come provider di servizi cloud
In quanto soluzione nativa del cloud, Defender per il servizio app è in grado di identificare le metodologie di attacco che si applicano a più destinazioni. Da un singolo host sarebbe ad esempio difficile identificare un attacco distribuito da un piccolo subset di indirizzi IP, che esegue una ricerca per indicizzazione in endpoint simili in più host.
I dati di log e l'infrastruttura, insieme, possono fornire indicazioni su ciò che accade, da un nuovo attacco in circolazione alle compromissioni nei computer dei clienti. Pertanto, anche se Microsoft Defender per il servizio app viene distribuito dopo che le vulnerabilità di un'app Web sono già state sfruttate, potrebbe essere in grado di rilevare gli attacchi in atto.
Quali minacce possono essere rilevate da Defender per servizio app?
Minacce da tattiche MITRE ATT&CK
Defender per il cloud monitora molte minacce alle risorse servizio app. Gli avvisi coprono quasi l'elenco completo delle tattiche MITRE ATT&CK dal pre-attacco al comando e al controllo.
Minacce preventive: Defender per il cloud può rilevare l'esecuzione di più tipi di scanner di vulnerabilità che gli utenti malintenzionati usano di frequente per verificare le vulnerabilità delle applicazioni.
Minacce di accesso iniziali - L'intelligence sulle minacce Microsoft supporta questi avvisi, che includono l'attivazione di un avviso quando un indirizzo IP dannoso noto si connette all'interfaccia FTP di Servizio app di Azure.
Minacce per l'esecuzione: Defender per il cloud può rilevare i tentativi di eseguire comandi con privilegi elevati, comandi Linux in un servizio app di Windows, comportament di attacco senza file, strumenti di data mining di valuta digitale e molte altre attività di esecuzione di codice sospette e dannose.
Rilevamento DNS dangling
Defender per servizio app identifica anche le voci DNS rimanenti nel registrar DNS quando un sito Web di servizio app viene rimosso. Queste voci sono note come voci DNS incerte. Quando si rimuove un sito Web e non si rimuove il dominio personalizzato dal registrar DNS, la voce DNS punta a una risorsa inesistente e il sottodominio è vulnerabile a un'acquisizione. Defender per il cloud non analizza il registrar DNS per individuare le voci DNS dangling esistenti. Segnala quando un sito Web servizio app viene rimosso e il relativo dominio personalizzato (voce DNS) non viene eliminato.
Le acquisizioni di sottodominio sono una minaccia comune e con gravità elevata per le organizzazioni. Quando un attore di minaccia rileva una voce DNS incerta, crea il proprio sito nell'indirizzo di destinazione. Il traffico destinato al dominio dell'organizzazione viene quindi indirizzato al sito dell'attore di minaccia e può usare tale traffico per un'ampia gamma di attività dannose.
La protezione DNS dangling è disponibile se i domini vengono gestiti con DNS di Azure o con un registrar di dominio esterno e si applicano a servizio app sia in Windows che in Linux.
Per altre informazioni, vedere Impedire l'acquisizione del dominio DNS dangling e la minaccia di acquisizione del sottodominio, in Impedire voci DNS incerte ed evitare l'acquisizione del sottodominio.
Per un elenco completo degli avvisi di servizio app, vedere la tabella di riferimento degli avvisi.
Nota
Defender per il cloud potrebbe non attivare avvisi DNS incerti se il dominio personalizzato non punta direttamente a una risorsa di servizio app o se Defender per il cloud non ha monitorato il traffico verso il sito Web perché la protezione DNS dangling è stata abilitata (perché non saranno presenti log per identificare il dominio personalizzato).
Passaggi successivi
In questo articolo sono state fornite informazioni su Microsoft Defender per servizio app.
Per i materiali correlati, vedere gli articoli seguenti:
- Per esportare gli avvisi in Microsoft Sentinel, qualsiasi siem di terze parti o qualsiasi altro strumento esterno, seguire le istruzioni riportate in Avvisi di Stream per monitorare le soluzioni.
- Per un elenco degli avvisi di Microsoft Defender per servizio app, vedere la tabella di riferimento degli avvisi.
- Per altre informazioni sui piani di servizio app, vedere Piani del servizio app.