Condividi tramite

Abilitare il comportamento di sicurezza delle API con Defender CSPM

Il piano CsPM (Defender Cloud Security Posture Management) in Microsoft Defender per il cloud offre una visualizzazione completa delle API in Azure Gestione API. Consente di migliorare la sicurezza delle API individuando errori di configurazione e vulnerabilità. Questo articolo illustra come abilitare la gestione del comportamento di sicurezza delle API nel piano CSPM di Defender e valutare la sicurezza delle API. Defender CSPM esegue l'onboarding delle API senza un agente e verifica regolarmente i rischi e l'esposizione dei dati sensibili. Fornisce informazioni dettagliate e mitigazioni dei rischi con priorità tramite l'analisi del percorso di attacco api e le raccomandazioni sulla sicurezza.

Prerequisiti

Abilitare l'estensione gestione del comportamento di sicurezza API

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Microsoft Defender for Cloud.

  3. Passare a Impostazioni ambiente.

  4. Selezionare la sottoscrizione pertinente nell'ambito.

  5. Passare al piano CSPM di Defender e selezionare Impostazioni.

  6. Abilitare la gestione del comportamento di sicurezza api.

    Screenshot di Enable API security posture management (Abilita la gestione del comportamento di sicurezza api).

  7. Selezionare Salva.

Verrà visualizzato un messaggio di notifica che conferma che le impostazioni sono state salvate correttamente. Dopo l'abilitazione, le API avviano l'onboarding e vengono visualizzate nell'inventario Defender per il cloud entro poche ore.

Visualizzare l'inventario API

Le API inserite nel piano CSPM di Defender compaiono nella dashboard di sicurezza delle API sotto Protezione del carico di lavoro e Inventario di Microsoft Defender per Cloud.

  1. Passare alla sezione Sicurezza cloud del menu Defender for Cloud e selezionare Sicurezza API in Protezione avanzata dei carichi di lavoro.

    Screenshot del dashboard di sicurezza dell'API.

  2. Il dashboard mostra il numero di API di cui è stato eseguito l'onboarding, suddivise per raccolte API, endpoint e servizi di Azure Gestione API. Include un riepilogo delle API di cui è stato eseguito l'onboarding per la copertura della sicurezza del rilevamento delle minacce con il piano di protezione dei carichi di lavoro di Defender per le API.

  3. Per visualizzare le API integrate nel piano CSPM di Defender per la protezione dello stato, applicare il filtro Defender plan == Defender CSPM.

    Screenshot delle API filtrate per il piano CSPM di Defender per il comportamento.

  4. Approfondire nella pagina dei dettagli della raccolta API per esaminare i rapporti sulla sicurezza per operazioni API specifiche. Questi sono visibili nel riquadro del contesto laterale quando si seleziona un'operazione API di interesse.

    Screenshot della pagina dei dettagli della raccolta API.

Risultati dettagliati dell'endpoint API

  1. Tipo di informazioni riservate: fornisce informazioni dettagliate sulle informazioni riservate esposte nei percorsi URL dell'API, parametri di query, corpi delle richieste e corpi di risposta in base ai tipi di dati supportati, insieme all'origine del tipo di informazioni trovato.

  2. Informazioni aggiuntive: nel caso dei corpi di risposta api, vengono visualizzati i codici di risposta HTTP contenenti informazioni riservate(ad esempio 2xx, 3xx, 4xx).

Esaminare i risultati del comportamento di sicurezza delle API insieme all'inventario API nell'esperienza di inventario Microsoft Defender per il cloud.

Nota

L'esposizione ai dati sensibili non verrà analizzata se l'estensione per l'individuazione dei dati sensibili è disattivata. Abilitare l'individuazione dei dati sensibili per l'analisi delle informazioni riservate nelle API. Questa impostazione influisce solo sulle API caricate nel piano CSPM di Defender. Se il piano di protezione del carico di lavoro di Defender per LE API è abilitato nelle stesse API, questi verranno comunque analizzati per individuare i dati sensibili.

  1. Passare al menu Microsoft Defender for Cloud e selezionare Inventario.

  2. Nella pagina Inventario applicare filtri selezionando tipi di risorse e selezionare API Gestione API, Operazione gestioneAPI e Servizio Gestione API per visualizzare tutti gli asset API.

    Screenshot delle risorse di Gestione API nell'inventario.

Esaminare le raccomandazioni sulla sicurezza delle API

Gli endpoint API vengono valutati continuamente per errori di configurazione e vulnerabilità, inclusi errori di autenticazione e API inattive. Le raccomandazioni sulla sicurezza vengono generate con fattori di rischio associati, come l'esposizione esterna e i rischi di riservatezza dei dati. L'importanza delle raccomandazioni sulla sicurezza viene calcolata in base a questi fattori di rischio. Altre informazioni sulle raccomandazioni sulla sicurezza basate sui rischi.

Per esaminare le raccomandazioni relative al comportamento di sicurezza delle API:

  1. Passare al menu principale di Defender for Cloud e selezionare Raccomandazioni.

  2. Attiva Raggruppa per Titolo e applica il filtro Tipo di risorsa, selezionando Operazione Gestione API.

  3. Esaminare le raccomandazioni sulla sicurezza, le risorse interessate, i fattori di rischio e i livelli di rischio. Eseguire azioni per correggere i rischi di comportamento dell'API.

    Screenshot delle raccomandazioni per la sicurezza delle API.

Esplorare i rischi dell'API e correggere con l'analisi del percorso di attacco

Cloud Security Explorer consente di identificare i potenziali rischi per la sicurezza nell'ambiente cloud eseguendo una query sul grafico della sicurezza cloud.

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per Cloud>Esplora Sicurezza.

  3. Usare il modello di query predefinito per identificare rapidamente le API con informazioni dettagliate sulla sicurezza.

    Screenshot di Cloud Security Explorer con il modello di query di approfondimenti sulla sicurezza delle API.

  4. In alternativa, creare una query personalizzata con Cloud Security Explorer per individuare i rischi dell'API e visualizzare gli endpoint API connessi al calcolo back-end o agli archivi dati. Ad esempio, è possibile visualizzare gli endpoint API che instradano il traffico alle macchine virtuali con vulnerabilità del codice remoto.

    Screenshot della query personalizzata su Cloud Security Explorer.

L'analisi del percorso di attacco in Defender per il cloud risolve i problemi di sicurezza che rappresentano minacce immediate per le applicazioni e gli ambienti cloud. Identificare e correggere i percorsi di attacco guidati dall'API per affrontare i rischi più critici dell'API che possono minacciare significativamente l'organizzazione.

  1. Nel menu Defender for Cloud passare ad Analisi del percorso di attacco.

  2. Filtrare in base al tipo di risorsa Operazione di Gestione API per analizzare i percorsi di attacco correlati all'API.

    Screenshot dell'analisi del percorso di attacco filtrata in base all'operazione di Gestione API.

  3. Visualizzare le raccomandazioni di sicurezza per gli endpoint API nell'ambito e correggere le raccomandazioni per proteggere le API dalle superfici di attacco ad alto rischio.

    Screenshot delle raccomandazioni per la sicurezza delle API nell'analisi del percorso di attacco.

Protezione del comportamento di sicurezza dell'API offboard

Le API che fanno parte del piano CSPM di Defender non possono essere archiviate singolarmente. Se si vuole eseguire l'offboarding di tutte le API dal piano CSPM di Defender, passare alla pagina Impostazioni piano CSPM di Defender e disabilitare l'estensione per il comportamento dell'API.

Screenshot di Disabilita la gestione del comportamento di sicurezza dell'API.

Contenuto correlato