Microsoft Defender for APIs について

  • [アーティクル]

Microsoft Defender for APIs は、API のライフサイクルにおける保護、検出、対応を完全に網羅する、Microsoft Defender for Cloud で提供されているプランです。

Defender for APIs は、ビジネスクリティカルな API を可視化するのに役立ちます。 API のセキュリティ態勢の調査と改善、脆弱性の修正の優先度付け、アクティブなリアルタイムの脅威のすばやい検出を可能にします。

Defender for APIs は現在、Azure API Management で公開されている API のためのセキュリティを提供しています。 Defender for APIs は、Defender for Cloud ポータルで、またはAzure portal の API Management インスタンス内でオンボードできます。

Defender for APIs でできること

  • インベントリ: 1 つのダッシュボードで、すべてのマネージド API の集約ビューを表示できます。
  • セキュリティ検出事項: 外部、不使用、非認証の API に関する情報を含む、API セキュリティ検出事項を分析します。
  • セキュリティ態勢: セキュリティ推奨事項を確認して実装することで、API のセキュリティ態勢を改善し、危険な領域を強化します。
  • API データ分類: リスク優先度付けをサポートするために、機密データを伴う受信や応答を行う API を分類します。
  • 脅威検出: 機械学習とルールベースの分析を使って、API トラフィックを取り込み、実行時の異常検出を使用した監視を行います。これにより、OWASP API トップ 10 の重大な脅威を含む、API セキュリティの脅威を検出します。
  • Defender CSPM の統合: 組織全体の API の可視化とリスク評価のために、Defender クラウド セキュリティ態勢管理 (CSPM) のクラウド セキュリティ グラフと統合します。
  • Azure API Management の統合: Defender for APIs プランを有効にすると、Azure API Management ポータルで API セキュリティの推奨事項とアラートを受信できます。
  • SIEM の統合: セキュリティ情報イベント管理 (SIEM) システムと統合して、セキュリティ チームが既存の脅威対応ワークフローで容易に調査できるようにします。 詳細情報。

API セキュリティ検出事項の確認

Defender for Cloud の API セキュリティ ダッシュボードで、オンボードされた API のインベントリとセキュリティ検出事項を確認します。 ダッシュボードには、オンボードされたデバイスの数が、API コレクション、エンドポイント、Azure API Management サービス別に分類して表示されます。

オンボードされた API のインベントリを示すスクリーンショット。

API コレクションをドリルダウンして、オンボードされた API エンドポイントのセキュリティの調査結果を確認できます。

API エンドポイントの詳細を確認しているスクリーンショット。

API エンドポイント情報には、次のものが含まれます。

  • エンドポイント名: Azure API Management で定義されている API エンドポイント/操作の名前。
  • エンドポイント: API エンドポイントの URL パスと、HTTP メソッド。 最終呼び出し日 (UTC): API エンドポイントとの間を移動する API トラフィックが最後に観測された日付 (UTC タイム ゾーン)。
  • 30 日不使用: 過去 30 日間に API エンドポイントが API 呼び出しのトラフィックを受信したかどうかを示します。 過去 30 日間にトラフィックを受信していない API は、"非アクティブ" としてマークされます。
  • 認証: 監視対象の API エンドポイントに認証がない場合を示します。 Azure API Management で公開されている API では、これを適用すると、API の Azure API Management サブスクリプション キーまたはサブスクリプションが必要な製品の存在の検証と、JWT、クライアント証明書、Microsoft Entra トークンを検証するポリシーの実行を通して、認証が評価されます。 システム API 呼び出し中に、これらの認証メカニズムのいずれも実行されていない場合、API は "非認証" としてマークされます
  • 外部トラフィック観測日: API エンドポイントとの間を移動する外部 API トラフィックが観測された日付。
  • データ分類: サポートされているデータ型に基づいて、API 要求および応答本文を分類します。

Note

Defender for APIs へのオンボード以降にトラフィックを受信していない API エンドポイントは、API ダッシュボードで、状況が "データ待機中" として表示されます。

API に関する推奨事項の調査

推奨事項を使用して、セキュリティ態勢の改善、API 構成の強化、重大な API リスクの特定、問題の軽減をリスクの優先度別に行います。

Defender for API は、Defender for API プランへの API のオンボード、および不使用の API の無効化と削除を行うための推奨事項や、セキュリティ、認証、アクセス制御に関するベスト プラクティスの推奨事項など、さまざまな推奨事項を提供します。

推奨事項のリファレンスをご確認ください

脅威の検出

Defender for APIs は、実行時のトラフィックと脅威インテリジェンス フィードを監視し、脅威検出アラートを発行します。 API アラートは、OWASP API トップ 10 の脅威、データ流出、帯域幅消費型攻撃、異常および不審な API パラメーター、トラフィックおよび IP アクセスの異常、使用パターンを検出します。

セキュリティ アラートのリファレンスをご確認ください

脅威への対応

アラートに基づいて対応し、脅威とリスクを軽減します。 Defender for Cloud のアラートと推奨事項は Microsoft Sentinel などの SIEM システムにエクスポート可能であり、これにより既存の脅威対応ワークフロー内で調査し、迅速で効率的な修復を図ることができます。 こちらを参照してください。

クラウド セキュリティ グラフの分析情報の調査

Defender CSPM プランのクラウド セキュリティ グラフでは、組織全体の資産と接続を分析して、リスク、脆弱性、潜在する横移動パスを明らかにします。

Defender CSPM プランと共に Defender for APIs を有効にすると、クラウド セキュリティ エクスプローラーを使用して、組織の情報に対するクエリをプロアクティブかつ効率的に実行して、API 資産、セキュリティの問題、リスクの特定、識別、修復を行うことができます。

クラウド セキュリティ エクスプローラーを示すスクリーンショット。

クエリ テンプレート

リスクの高い API 資産を識別するために使用できる組み込みのクエリ テンプレートが 2 つあり、これらのテンプレートを使用すると 1 回のクリックで検索できます。

クエリ テンプレートの例を示すスクリーンショット。

次のステップ

Defender for APIs のデプロイのサポートと前提条件を確認します。