Panoramica di Defender per servizio app per proteggere le app Web e le API Servizio app di Azure

Prerequisiti

Defender for Cloud è integrato in modo nativo con il servizio app, eliminando la necessità di eseguire la distribuzione e l'onboarding; l'integrazione è trasparente.

Per proteggere il piano di Servizio app di Azure con Microsoft Defender per servizio app, è necessario:

  • Piano di servizio app supportato associato ai computer dedicati. I piani supportati sono elencati in Disponibilità.

  • Protezione avanzata di Defender for Cloud abilitata per la sottoscrizione, come descritto in Avvio rapido: Abilitare funzionalità di sicurezza avanzate.

    Suggerimento

    Facoltativamente, è possibile abilitare singoli piani di Microsoft Defender, ad esempio Microsoft Defender per servizio app.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Microsoft Defender per servizio app viene fatturata come illustrato nella pagina dei prezzi
La fatturazione è in base alle istanze di calcolo totali in tutti i piani
Piani di servizio app supportati: I piani di servizio app supportati sono:
• Piano gratuito
• Piano di servizio di base
• Piano di servizio standard
• Piano di servizio Premium v2
• Piano di servizio Premium v3
• ambiente del servizio app v1
• ambiente del servizio app v2
• ambiente del servizio app v3
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)

Quali sono i vantaggi di Microsoft Defender per servizio app?

Servizio app di Azure è una piattaforma completamente gestita per la creazione e l'hosting delle app Web e delle API. Poiché la piattaforma è completamente gestita, non è necessario preoccuparsi dell'infrastruttura. Fornisce funzionalità di gestione e monitoraggio e informazioni operative dettagliate per soddisfare i requisiti di prestazioni, sicurezza e conformità di livello aziendale. Per altre informazioni, vedere Servizio app di Azure.

Microsoft Defender per servizio app usa la scala del cloud per identificare gli attacchi destinati alle applicazioni in esecuzione in servizio app. Gli utenti malintenzionati mettono alla prova le applicazioni Web per individuare e sfruttare i punti deboli. Prima di essere instradate verso ambienti specifici, le richieste alle applicazioni in esecuzione in Azure passano attraverso diversi gateway, in cui vengono ispezionate e registrate. Questi dati vengono poi usati per identificare exploit e utenti malintenzionati, oltre che per apprendere nuovi modelli che verranno usati successivamente.

Quando si abilita Microsoft Defender per il servizio app, si ottengono immediatamente i vantaggi dei servizi seguenti offerti da questo piano di Defender:

  • Secure - Defender per servizio app valuta le risorse coperte dal piano di servizio app e genera raccomandazioni sulla sicurezza in base ai risultati. Usare le istruzioni dettagliate di queste raccomandazioni per una protezione avanzata delle risorse del servizio app.

  • Rileva - Defender per servizio app rileva una moltitudine di minacce alle risorse servizio app monitorando:

    • l'istanza di macchina virtuale in cui è in esecuzione il servizio app e la relativa interfaccia di gestione
    • le richieste e le risposte inviate da e verso le app del servizio app
    • le macchine virtuali e le sandbox sottostanti
    • i log interni del servizio app, disponibili grazie alla visibilità di cui Azure dispone come provider di servizi cloud

In quanto soluzione nativa del cloud, Defender per il servizio app è in grado di identificare le metodologie di attacco che si applicano a più destinazioni. Da un singolo host sarebbe ad esempio difficile identificare un attacco distribuito da un piccolo subset di indirizzi IP, che esegue una ricerca per indicizzazione in endpoint simili in più host.

I dati di log e l'infrastruttura insieme possono raccontare la storia: da un nuovo attacco che circola in natura per compromettere i computer dei clienti. Pertanto, anche se Microsoft Defender per servizio app viene distribuito dopo che un'app Web è stata sfruttata, potrebbe essere in grado di rilevare attacchi in corso.

Quali minacce possono essere rilevate da Defender per servizio app?

Minacce da tattiche MITRE ATT&CK

Defender for Cloud monitora molte minacce alle risorse servizio app. Gli avvisi coprono quasi l'elenco completo delle tattiche MITRE ATT&CK da pre-attacco al comando e al controllo.

  • Minacce pre-attacco : Defender for Cloud può rilevare l'esecuzione di più tipi di scanner di vulnerabilità che gli utenti malintenzionati usano spesso per eseguire il probe delle applicazioni per i punti deboli.

  • Minacce - di accesso inizialiMicrosoft Threat Intelligence attiva questi avvisi che includono l'attivazione di un avviso quando un indirizzo IP dannoso noto si connette all'interfaccia FTP Servizio app di Azure.

  • Minacce di esecuzione: Defender for Cloud può rilevare i tentativi di eseguire comandi con privilegi elevati, comandi Linux in un servizio app Windows, comportamento di attacco senza file, strumenti di data mining di valuta digitale e molte altre attività di esecuzione di codice sospette e dannose.

Rilevamento DNS in dangling

Defender per servizio app identifica anche le voci DNS rimanenti nel registrar DNS quando un sito Web di servizio app viene rimosso. Queste voci sono note come voci DNS in ingaggio. Quando si rimuove un sito Web e non si rimuove il dominio personalizzato dal registrar DNS, la voce DNS punta a una risorsa inesistente e il sottodominio è vulnerabile a un'acquisizione. Defender for Cloud non analizza il registrar DNS per le voci DNS esistenti; avvisa quando un sito Web di servizio app viene rimosso e il relativo dominio personalizzato (voce DNS) non viene eliminato.

Le acquisizioni di sottodominio sono una minaccia comune di gravità elevata per le organizzazioni. Quando un attore di minacce rileva una voce DNS in emergenza, crea il proprio sito all'indirizzo di destinazione. Il traffico destinato al dominio dell'organizzazione viene quindi indirizzato al sito dell'attore delle minacce e può usare tale traffico per un'ampia gamma di attività dannose.

La protezione DNS con estensione è disponibile se i domini vengono gestiti con DNS di Azure o con un registrar di dominio esterno e si applicano alle servizio app in Windows e Linux.

Esempio di avviso relativo a una voce DNS individuata. Abilitare Microsoft Defender per servizio app per ricevere questo e altri avvisi per l'ambiente.

Altre informazioni sulla creazione di dns e sulla minaccia dell'acquisizione del sottodominio, in Impedire l'inserimento di voci DNS in cubo ed evitare l'acquisizione del sottodominio.

Per un elenco completo degli avvisi servizio app, vedere la tabella Riferimenti degli avvisi.

Nota

Defender for Cloud potrebbe non attivare avvisi DNS ingrandanti se il dominio personalizzato non punta direttamente a una risorsa di servizio app oppure se Defender for Cloud non ha monitorato il traffico al sito Web poiché la protezione DNS ingrandante è stata abilitata (perché non saranno presenti log per identificare il dominio personalizzato).

Passaggi successivi

In questo articolo è stato illustrato Microsoft Defender per servizio app.

Per i materiali correlati, vedere gli articoli seguenti: