可用性とオンボード
[推奨事項] ページから Defender for API への API のオンボード中にエラーが発生します。
"アクセスが拒否"、"禁止"、"ロールの割り当てが見つかりません"、"認可失敗" などのエラーが発生した場合は、Azure API Management サービスと Microsoft Defender for Cloud に対する適切なレベルのアクセス許可があることを確認してください。 必要なアクセス許可のセットについては、こちらを参照してください。 "要求ヘッダーまたは Cookie が大きすぎる" というエラーは、通常、すべての Cookie をクリアすることで解決できます。ブラウザーの Cookie をクリアし、もう一度操作を試してください。
Defender for API への API のオンボードは、Azure API Management サービスに影響しますか?
Defender for API の監視対象を有効にするには、Azure API Management サービスでのコンピューティングとメモリ使用量が必要です。 API のオンボード中に Azure API Management サービスのパフォーマンスを監視し、必要に応じて Azure API Management リソースをスケールアウトします。
Azure API Management 従量課金レベル オファリングを使用しています。 Defender for API を使用できますか?
いいえ。現在、Azure API Management 従量課金レベルのサポートは利用できません。
Defender for APIs では、Azure API Management の API リビジョンのサポートはどのように処理されますか?
Azure API Management の API リビジョンは、Defender for Cloud 内で個別の API エンドポイントとして扱われます。 これは、各リビジョンは一意であり、独自のセキュリティ分析情報を持っている可能性があるためです。 Defender for API へのオンボードとオフボード中は例外で、すべてのリビジョンが Azure API Management API レベルでグループ化されます。 オフライン API リビジョンはトラフィックを処理せず、セキュリティ上のリスクが発生しないため、Defender for Cloud へのオンボードの対象外です。
Defender for API は Azure API Management から API トラフィック ログを収集しますか?
Defender for API は、オンボードされたすべての API の API 管理サービスに送信されたすべての HTTP 要求と応答トラフィックのコピーを受け取ります。 これには、要求 URL、応答状態コード、要求と応答の HTTP ヘッダーのサブセットが含まれます。 また、Defender for API は、一部の HTTP 要求および応答本文のコピーを受け取ります。 Defender for API によって受信される要求および応答本文のサイズは、64 KB に制限されます。
複数のリソースを選択できないのはなぜですか?
API Management サービス リソースでは、メトリックを使用した複数選択は有効になりません。 この機能が重要であることを API Management サービス チームに知らせ、この要求を賛成投票することができます。
リージョン/geo に関する質問
Azure API Management サービス内の API を新しいリージョンに移動しました。 これらが更新されないのはなぜですか?
特定の Azure API Management サービス セットに対して Defender for API プランを有効にするにはどうすればいいですか?
Microsoft Defender for API プランは、サブスクリプション レベルで有効になります。 そのサブスクリプションから Azure API Management のどの API をセキュリティ カバレッジ用にオンボードするかを選択できます。
Azure API Management から Defender for API に API をオンボードしましたが、推奨事項ページの異常なリソースの下にまだ表示されています。オンボードした API のセキュリティに関する分析情報は表示されません。
Defender for API では、API のオンボード後に最初のセキュリティ分析情報を生成し、オンボードされた API を異常から正常な状態に移動するのに 30 分かかります。 その後、セキュリティ分析情報は 30 分ごとに更新されます。
API コレクションの詳細ページ内でセキュリティ分析情報が "データの待機中" と表示されるのはなぜですか?
Defender for API へのオンボード以降にトラフィックを受信していない API エンドポイントでは、セキュリティ分析情報の下に "データの待機中" というメッセージが表示されます。 API エンドポイントでトラフィックが受信されるまで、セキュリティ分析情報の評価を行うことはできません。
API エンドポイントの分析情報とセキュリティに関する推奨事項が "データの待機中" と "適用できません" にリセットされたのはなぜですか?
認証/匿名アクセスの許可、機密データ分類、および外部トラフィックの監視/インターネット公開評価に関する API エンドポイントの状態を Defender for Cloud API Security ダッシュボードでは "データの待機中" に、関連するセキュリティの推奨事項 (該当する場合) では "適用できません" (トラフィックが一定期間受信されない場合) にリセットするロジックが用意されています。 この期間は通常 30 日間ですが、API エンドポイントの Azure API Management ポリシーが Azure API Management 内で変更された場合は、より早くリセットされる可能性があります。
セルフホステッド Azure API Management ゲートウェイがあります。 API をセキュリティで保護するために Defender for API を使用できますか?
現在、Defender for API のサポートは、Azure API Management ゲートウェイの、クラウドでホストされるインスタンスのみに制限されています。
Azure API Management サービスが仮想ネットワーク内にあります。 Defender for API 用に追加の接続を構成する必要がありますか?
いいえ。Defender for API では、仮想ネットワークの背後にある Azure API Management サービスから API データにアクセスするための特別な構成は必要ありません。
x-forwarded-for がネットワーク内に構成されている場合、Defender for API アラートの説明ページに表示される IP アドレスは何ですか?
Defender for API には、クライアント IP からの受信 IP アドレスの IP アドレスが表示されます。 x-forwarded-for が使用されている場合、Defender for API は、要求内で使用される x-forwarded-for の一部として IP ホップを検証し、受信要求の送信元である最も正確な IP を表示します。
Azure API Management 内でカスタム ドメイン URL を使用しています。Defender for API ではこの URL はエンドポイント URL として表示されますか?
カスタム ドメイン URL は、エンドポイント URL 内に表示されません。 Defender for API エンドポイント URL には、API Management API エンドポイントのベース URL が表示されます。
Defender for APIs では、マルチリージョンの Azure API Management デプロイで公開される API はサポートされていますか?
はい。Azure API Management のマルチリージョン デプロイでは、セキュリティ体制や脅威検出を含むすべての API セキュリティ機能が完全にサポートされています。 これには、プライマリ リージョンとセカンダリ リージョンの両方のサポートが含まれます。
Defender for API のアラートに関する質問
異常な API に関するアラートを受け取れるまでにはどのくらいの時間がかかりますか?
API は、過去 30 日間のトラフィックを調査する動作に対して評価されます。 異常な API に関するアラートは、ML モデルがトラフィックの動作を学習するために API で大量のトラフィックが受信された場合に、より早く生成される可能性があります。
Defender for API および WAF に関する質問
API をセキュリティで保護するために Azure WAF で十分ですか?
Web アプリケーション ファイアウォール (WAF) はアプリケーションの保護に非常に役立つソリューションですが、API の完全なセキュリティを提供しない場合があります。 WAF は、一貫したトラフィック パターンを持つアプリケーションに効果がある、一般化された保護対策 (ディクショナリ、パターン、署名のマッピングなど) を適用するように設計されています。 しかし、API は各アプリケーションに固有であり、動的に変化する性質を持つため、WAF によって提供される抽象的な保護の効果を低下させます。
API にはさまざまな要求および応答のペイロードが含まれ、各コンシューマーは独自の方法でそれらのペイロードを操作します。 WAF で使用される一般的なディクショナリ、パターン、および署名のマッピングでは、独自性が原因で API の完全で徹底的な保護が適切に提供されない可能性があります。 SQL インジェクション攻撃の検出と防止など、重複が存在する場合もありますが、API には、より詳細なセキュリティ対策が必要になることが多々あります。
API に必要なセキュリティ レベルを実現するには、Microsoft Defender for APIs などのソリューションがお勧めです。 Defender for APIs は、機械学習アルゴリズムを使用して API ロジックを学習および理解することで、より正確で効果的なセキュリティ対策を可能にするコンテキスト理解を実現します。 この詳細なレベルの保護により、さまざまな脅威から API を保護でき、組織に対してより高いレベルのセキュリティが確保されます。