Microsoft Defender for Cloud を使用して高度な API セキュリティ機能を有効にする

  • [アーティクル]

適用対象: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium

Microsoft Defender for Cloud の機能である Defender for API は、Azure API Management で管理されている API の完全なライフサイクル保護、検出、応答カバレッジを提供します。 このサービスを使用すると、セキュリティ担当者は、ビジネスクリティカルな API を可視化し、セキュリティ態勢を把握し、脆弱性の修正に優先順位を付け、アクティブなランタイムの脅威を数分で検出できます。

Defender for API の機能は次のとおりです。

  • 外部、未使用、または認証されていない API を特定する
  • 機密データを受信または応答する API を分類する
  • 構成に関する推奨事項を適用して、API と API Management サービスのセキュリティ態勢を強化する
  • 異常で疑わしい API トラフィック パターンと OWASP API の上位 10 個の脆弱性の悪用を検出する
  • 脅威の修復に優先順位を付ける
  • SIEM システムおよび Defender クラウド セキュリティ態勢管理と統合する

この記事では、Azure portal を使用して、API Management インスタンスから Defender for API を有効にし、オンボードされた API のセキュリティに関する推奨事項とアラートの概要を表示する方法について説明します。

プランの制限事項

  • 現在、Defender for API は REST API のみを検出して分析します。
  • 現在、Defender for API では、API Management のセルフホステッド ゲートウェイを使用して公開される API や、API Management のワークスペースを使用して管理される API はオンボードされません。
  • 一部の ML ベースの検出とセキュリティ分析情報 (データ分類、認証チェック、未使用および外部の API) は、マルチリージョン デプロイのセカンダリ リージョンではサポートされていません。 Defender for API は、ローカル データ パイプラインに依存して、リージョンのデータ所在地を確保し、このようなデプロイのパフォーマンスを向上させます。 

前提条件

  • Azure サブスクリプション内の少なくとも 1 つの API Management インスタンス。 Defender for API は、Azure サブスクリプションのレベルで有効になります。
  • サポートされている 1 つ以上の API を API Management インスタンスにインポートする必要があります。
  • Defender for API プランを有効にするロールの割り当て。
  • セキュリティで保護する関連する Azure サブスクリプション、リソース グループ、または API Management インスタンスに対する共同作成者または所有者のロールの割り当て。

Defender for API にオンボードする

API の Defender for API へのオンボードは、サブスクリプションに対して Defender for API プランを有効にし、API Management インスタンスで保護されていない API をオンボードする 2 段階のプロセスです。  

ヒント

Defender for Cloud インターフェイスで Defender for API に直接オンボードすることもできます。このインターフェイスでは、より多くの API セキュリティ分析情報とインベントリ エクスペリエンスを利用できます。

サブスクリプションで Defender for API のプランを有効にする

  1. ポータルにサインインし、API Management インスタンスに移動します。

  2. 左側のメニューで、[Microsoft Defender for Cloud] を選択します。

  3. [サブスクリプションで Defender を有効にする] を選びます。

    ポータルで Defender for API を有効にする方法を示すスクリーンショット。

  4. [Defender プラン] ページで、API プランの [オン] を選択します。

  5. [保存] を選択します。

保護されていない API を Defender for API にオンボードする

注意事項

Defender for API に API をオンボードすると、API Management インスタンスのコンピューティング、メモリ、ネットワーク使用率が増加する可能性があり、極端なケースでは、API Management インスタンスが停止する可能性があります。 API Management インスタンスが高い使用率で実行されている場合は、一度にすべての API をオンボードしないでください。 インスタンスの使用率を監視し (容量メトリックなどを使用)、必要に応じてスケールアウトしながら、慎重に API を段階的にオンボードしてください。

  1. ポータルで、API Management インスタンスに戻ります。

  2. 左側のメニューで、[Microsoft Defender for Cloud] を選択します。

  3. [推奨事項] で、[Azure API Management API を Defender for API にオンボードする必要がある] を選択します。 ポータルの Defender for API の推奨事項のスクリーンショット。

  4. 次の画面で、推奨事項の詳細を確認します。

    • 重大度
    • セキュリティに関する検出内容の更新間隔
    • 説明と修復の手順
    • [正常] (Defender for API にオンボード済み)、[異常] (オンボードされていない)、または [適用不可] として分類された影響を受けるリソースと、API Management からの関連付けられたメタデータ

    Note

    影響を受けるリソースには、サブスクリプションのすべての API Management インスタンスからの API コレクション (API) が含まれます。

  5. [異常] リソースの一覧から、Defender for API にオンボードする API を選択します。

  6. [修正] を選択し、[リソースの修正] を選択します。 ポータルでの異常な API のオンボードのスクリーンショット。

  7. [通知] でオンボードされたリソースの状態を追跡します。

Note

Defender for API では、API のオンボード後に最初のセキュリティ分析情報を生成するのに 30 分かかります。 その後、セキュリティ分析情報は 30 分ごとに更新されます。

セキュリティ カバレッジを表示する

API Management から API をオンボードすると、Defender for API は、セキュリティの分析情報を構築し、脅威を監視するために使用される API トラフィックを受け取ります。 Defender for API により、危険で脆弱な API のセキュリティに関する推奨事項が生成されます。

オンボードされた API のすべてのセキュリティに関する推奨事項とアラートの概要を表示するには、API Management インスタンスのメニューで [Microsoft Defender for Cloud] を選択します。

  1. ポータルで、API Management インスタンスに移動し、左側のメニューから [Microsoft Defender for Cloud] を選択します。

  2. [推奨事項][セキュリティ インシデントとアラート] を確認します。

    ポータルの API セキュリティ分析情報のスクリーンショット。

受信したセキュリティ アラートについて、Defender for API から、必要な分析を実行し、API に関連付けられている潜在的な悪用または異常を検証するために必要な手順が提案されます。 セキュリティ アラートの手順に従って、API を修正し、正常な状態に戻します。

Defender for API から保護された API をオフボードする

ポータルで Defender for Cloud を使用して、Defender for API による保護から API を削除できます。 詳細については、「Defender for API のデプロイを管理する」を参照してください。

次のステップ