Overzicht van Defender voor App Service om uw Azure App Service web-apps en API's te beveiligen
Vereisten
Defender voor Cloud is systeemeigen geïntegreerd met App Service, waardoor implementatie en onboarding niet meer nodig zijn. De integratie is transparant.
Als u uw Azure App Service-abonnement wilt beveiligen met Microsoft Defender voor App Service, hebt u het volgende nodig:
Een ondersteund App Service-abonnement dat is gekoppeld aan toegewezen machines. Ondersteunde abonnementen worden vermeld in Beschikbaarheid.
De verbeterde beveiligingen van Defender for Cloud die zijn ingeschakeld voor uw abonnement, zoals beschreven in Quickstart: Verbeterde beveiligingsfuncties inschakelen.
Tip
U kunt desgewenst afzonderlijke Microsoft Defender-abonnementen inschakelen, zoals Microsoft Defender voor App Service.
Beschikbaarheid
| Aspect | Details |
|---|---|
| Releasestatus: | Algemene beschikbaarheid (GA) |
| Prijzen: | Microsoft Defender voor App Service wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen Facturering is afhankelijk van het totale aantal rekeninstanties in alle abonnementen |
| Ondersteunde App Service-plannen: | De ondersteunde App Service abonnementen zijn: • Gratis abonnement • Basisserviceplan • Standaard serviceplan • Premium v2-serviceplan • Premium v3-serviceplan • App Service Environment v1 • App Service Environment v2 • App Service Environment v3 |
| Clouds: |  Commerciële clouds Nationaal (Azure Government, Azure China 21Vianet) |
Wat zijn de voordelen van Microsoft Defender voor App Service?
Azure App Service is een volledig beheerd platform voor het bouwen en hosten van uw web-apps en API's. Omdat het platform volledig wordt beheerd, hoeft u zich geen zorgen te maken over de infrastructuur. Het biedt beheer, bewaking en operationele inzichten om te voldoen aan de hoge vereisten voor prestaties, beveiliging en naleving van ondernemingen. Zie Azure App Service voor meer informatie.
Microsoft Defender voor App Service gebruikt de schaal van de cloud om aanvallen te identificeren die gericht zijn op toepassingen die worden uitgevoerd via App Service. Aanvallers testen voortdurend webtoepassingen om zwakke plekken te vinden en daar misbruik van te maken. Aanvragen voor toepassingen die in Azure worden uitgevoerd, gaan voordat ze naar specifieke omgevingen worden doorgestuurd door verschillende gateways, waar ze worden geïnspecteerd en geregistreerd. Deze gegevens worden vervolgens gebruikt om aanvallen en aanvallers te identificeren en om nieuwe patronen te leren die later worden gebruikt.
Wanneer u Microsoft Defender inschakelt voor App Service, profiteert u onmiddellijk van de volgende services die door dit Defender-abonnement worden aangeboden:
Veilig: Defender voor App Service beoordeelt de resources die onder uw App Service-plan vallen en genereert beveiligingsaanbevelingen op basis van de bevindingen. Gebruik de gedetailleerde instructies in deze aanbevelingen om uw App Service resources te beperken.
Detecteren: Defender voor App Service detecteert een groot aantal bedreigingen voor uw App Service resources door bewaking:
- het VM-exemplaar waarin uw App Service wordt uitgevoerd en de bijbehorende beheerinterface
- de aanvragen en antwoorden die worden verzonden naar en van uw App Service-apps
- de onderliggende sandboxes en VM's
- App Service interne logboeken - beschikbaar dankzij de zichtbaarheid die Azure heeft als cloudprovider
Als cloudeigen oplossing kan Defender for App Service aanvalsmethoden identificeren die op meerdere doelen worden toegepast. Vanaf één host zou het bijvoorbeeld moeilijk zijn om een gedistribueerde aanval te identificeren van een kleine subset van IP-adressen, die naar vergelijkbare eindpunten op meerdere hosts wordt verkend.
De logboekgegevens en de infrastructuur samen kunnen het verhaal vertellen: van een nieuwe aanval die in het wild circuleert tot inbreuk op klantmachines. Dus zelfs als Microsoft Defender voor App Service wordt geïmplementeerd nadat een web-app is misbruikt, kan deze mogelijk lopende aanvallen detecteren.
Welke bedreigingen kan Defender voor App Service detecteren?
Bedreigingen door MITRE ATT&CK-tactieken
Defender voor Cloud bewaakt op veel bedreigingen voor uw App Service resources. De waarschuwingen omvatten bijna de volledige lijst met MITRE ATT&CK-tactieken, van pre-aanval tot commando en controle.
Bedreigingen vóór aanvallen : Defender voor Cloud kan de uitvoering detecteren van meerdere typen scanners voor beveiligingsproblemen die aanvallers vaak gebruiken om toepassingen te testen op zwakke plekken.
Initiële toegangsbedreigingen - Microsoft Threat Intelligence stuurt deze waarschuwingen aan, waaronder het activeren van een waarschuwing wanneer een bekend schadelijk IP-adres verbinding maakt met uw Azure App Service FTP-interface.
Bedreigingen voor uitvoering: Defender for Cloud kan pogingen detecteren om opdrachten met hoge bevoegdheden uit te voeren, Linux-opdrachten op een Windows-App Service, gedrag van bestandsloze aanvallen, hulpprogramma's voor het analyseren van digitale valuta en vele andere verdachte en schadelijke activiteiten voor het uitvoeren van code.
Zwevende DNS-detectie
Defender voor App Service identificeert ook eventuele DNS-vermeldingen die in uw DNS-registrar achterblijven wanneer een App Service website buiten gebruik wordt gesteld. Dit worden zwevende DNS-vermeldingen genoemd. Wanneer u een website verwijdert en het aangepaste domein niet van uw DNS-registrar verwijdert, verwijst de DNS-vermelding naar een niet-bestaande resource en is uw subdomein kwetsbaar voor een overname. Defender voor Cloud scant uw DNS-registrar niet op bestaande zwevende DNS-vermeldingen; U krijgt een melding wanneer een App Service website buiten gebruik wordt gesteld en het aangepaste domein (DNS-vermelding) niet wordt verwijderd.
Overnames van subdomeinen zijn een veelvoorkomende bedreiging met hoge ernst voor organisaties. Wanneer een bedreigingsacteur een zwevende DNS-vermelding detecteert, maken ze hun eigen site op het doeladres. Het verkeer dat is bedoeld voor het domein van de organisatie, wordt vervolgens omgeleid naar de site van de bedreigingsacteur en deze kan dat verkeer gebruiken voor een breed scala aan schadelijke activiteiten.
Zwevende DNS-beveiliging is beschikbaar, ongeacht of uw domeinen worden beheerd met Azure DNS of een externe domeinregistrar en is van toepassing op App Service in zowel Windows als Linux.
Meer informatie over zwevende DNS en de dreiging van overname van subdomeinen vindt u in Voorkomen dat bengelende DNS-vermeldingen en overname van subdomeinen voorkomen.
Zie de referentietabel met waarschuwingen voor een volledige lijst van de App Service waarschuwingen.
Notitie
Defender voor Cloud activeert mogelijk geen zwevende DNS-waarschuwingen als uw aangepaste domein niet rechtstreeks verwijst naar een App Service resource, of als Defender voor Cloud het verkeer naar uw website niet heeft bewaakt sinds de zwevende DNS-beveiliging is ingeschakeld (omdat er geen logboeken zijn om het aangepaste domein te identificeren).
Volgende stappen
In dit artikel hebt u meer geleerd over Microsoft Defender voor App Service.
Raadpleeg de volgende artikelen voor gerelateerd materiaal:
- Als u uw waarschuwingen wilt exporteren naar Microsoft Sentinel, een SIEM van derden of een ander extern hulpprogramma, volgt u de instructies in Waarschuwingen streamen naar een SIEM-, SOAR- of IT-servicebeheeroplossing.
- Zie de referentietabel met waarschuwingen voor een lijst met de Microsoft Defender voor App Service waarschuwingen.
- Zie App Service-plannen voor meer informatie over App Service-plannen.