Ochrona interfejsów API za pomocą usługi Defender dla interfejsów API

  • Artykuł

Usługa Defender dla interfejsów API w usłudze Microsoft Defender dla Chmury oferuje pełną ochronę, wykrywanie i pokrycie odpowiedzi dla interfejsów API.

Usługa Defender dla interfejsów API ułatwia uzyskanie wglądu w interfejsy API krytyczne dla działania firmy. Możesz badać i ulepszać stan zabezpieczeń interfejsu API, ustalać priorytety poprawek luk w zabezpieczeniach i szybko wykrywać aktywne zagrożenia w czasie rzeczywistym.

W tym artykule opisano sposób włączania i dołączania planu interfejsów API usługi Defender for w portalu Defender dla Chmury. Alternatywnie możesz włączyć usługę Defender dla interfejsów API w wystąpieniu usługi API Management w witrynie Azure Portal.

Dowiedz się więcej na temat planu usługi Microsoft Defender dla interfejsów API w Microsoft Defender dla Chmury. Dowiedz się więcej o usłudze Defender dla interfejsów API.

Wymagania wstępne

  • Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.

  • Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.

  • Przed rozpoczęciem wdrażania zapoznaj się dokumentem Defender dla wsparcia, uprawnień i wymagań interfejsów API.

  • Usługa Defender dla interfejsów API jest włączona na poziomie subskrypcji.

  • Upewnij się, że interfejsy API, które chcesz zabezpieczyć, są publikowane w usłudze Azure API Management. Postępuj zgodnie z tymi instrukcjami, aby skonfigurować usługę Azure API Management.

  • Musisz wybrać plan, który przyznaje uprawnienia odpowiednie dla woluminu ruchu interfejsu API w ramach subskrypcji, aby otrzymać najbardziej optymalne ceny. Domyślnie subskrypcje są wybierane jako "Plan 1", co może prowadzić do nieoczekiwanych przewyżek, jeśli twoja subskrypcja ma większy ruch interfejsu API niż milion uprawnień wywołań interfejsu API.

Włączanie planu usługi Defender dla interfejsów API

Podczas wybierania planu należy wziąć pod uwagę następujące kwestie:

  • Usługa Defender dla interfejsów API chroni tylko te interfejsy API, które są dołączane do usługi Defender dla interfejsów API. Oznacza to, że możesz aktywować plan na poziomie subskrypcji i wykonać drugi krok dołączania, ustawiając zalecenie dotyczące dołączania. Aby uzyskać więcej informacji na temat dołączania, zobacz przewodnik dołączania.
  • Usługa Defender dla interfejsów API ma pięć planów cenowych, z których każdy ma inny limit uprawnień i miesięczną opłatę. Rozliczenia są wykonywane na poziomie subskrypcji.
  • Rozliczenia są stosowane do całej subskrypcji na podstawie całkowitej ilości ruchu interfejsu API monitorowanego w ciągu miesiąca dla subskrypcji.
  • Ruch interfejsu API wliczany do rozliczeń jest resetowany do wartości 0 na początku każdego miesiąca (każdy cykl rozliczeniowy).
  • Nadwyżki są obliczane na ruch interfejsu API przekraczający limit uprawnień na wybór planu w ciągu miesiąca dla całej subskrypcji.

Aby wybrać najlepszy plan dla subskrypcji na stronie cennika Microsoft Defender dla Chmury, wykonaj następujące kroki i wybierz plan zgodny z wymaganiami dotyczącymi ruchu interfejsu API subskrypcji:

  1. Zaloguj się do portalu, a następnie w Defender dla Chmury wybierz pozycję Ustawienia środowiska.

  2. Wybierz subskrypcję zawierającą zarządzane interfejsy API, które chcesz chronić.

    Zrzut ekranu pokazujący, gdzie wybrać pozycję Ustawienia środowiska.

  3. Wybierz pozycję Szczegóły w kolumnie cenowej dla planu interfejsów API.

    Zrzut ekranu pokazujący, gdzie wybrać szczegóły interfejsu API.

  4. Wybierz plan odpowiedni dla subskrypcji.

  5. Wybierz pozycję Zapisz.

Wybieranie optymalnego planu na podstawie historycznego użycia ruchu interfejsu API usługi Azure API Management

Musisz wybrać plan, który przyznaje uprawnienia odpowiednie dla woluminu ruchu interfejsu API w ramach subskrypcji, aby otrzymać najbardziej optymalne ceny. Domyślnie subskrypcje są wybierane do planu 1, co może prowadzić do nieoczekiwanych przewyżek, jeśli subskrypcja ma większy ruch interfejsu API niż milion uprawnień wywołań interfejsu API.

Aby oszacować miesięczny ruch interfejsu API w usłudze Azure API Management:

  1. Przejdź do portalu usługi Azure API Management i wybierz pozycję Metryki w obszarze pasek menu Monitorowanie.

    Zrzut ekranu pokazujący, gdzie wybrać metryki.

  2. Wybierz zakres czasu jako Ostatnie 30 dni.

  3. Wybierz i ustaw następujące parametry:

    1. Zakres: Nazwa usługi Azure API Management
    2. Przestrzeń nazw metryk: metryki standardowe usługi API Management
    3. Metryka = żądania
    4. Agregacja = Suma

  4. Po ustawieniu powyższych parametrów zapytanie zostanie uruchomione automatycznie, a łączna liczba żądań z ostatnich 30 dni pojawi się w dolnej części ekranu. Na zrzucie ekranu na zrzucie ekranu zapytanie daje 414 łączną liczbę żądań.

    Zrzut ekranu przedstawiający wyniki metryk.

    Uwaga

    Te instrukcje służą do obliczania użycia na usługę Azure API Management. Aby obliczyć szacowane użycie ruchu dla wszystkich usług API Management w ramach subskrypcji platformy Azure, zmień parametr Zakres na każdą usługę Azure API Management w ramach subskrypcji platformy Azure, ponownie uruchom zapytanie i zsumuj wyniki zapytania.

Jeśli nie masz dostępu do uruchamiania zapytania metryk, skontaktuj się z wewnętrznym administratorem usługi Azure API Management lub menedżerem kont Microsoft.

Uwaga

Po włączeniu usługi Defender dla interfejsów API dołączane interfejsy API mogą pojawić się na karcie Rekomendacje. Szczegółowe informacje o zabezpieczeniach są dostępne na pulpicie nawigacyjnym zabezpieczeń interfejsu API ochrony>obciążeń w ciągu 40 minut od dołączenia.

Dołączanie interfejsów API

  1. W portalu Defender dla Chmury wybierz pozycję Rekomendacje.

  2. Wyszukaj usługę Defender dla interfejsów API.

  3. W obszarze Włącz ulepszone funkcje zabezpieczeń wybierz zalecenie dotyczące zabezpieczeń Interfejsy API usługi Azure API Management powinny zostać dołączone do usługi Defender dla interfejsów API:

    Zrzut ekranu przedstawiający sposób włączania planu usługi Defender dla interfejsów API z zalecenia.

  4. Na stronie rekomendacji możesz przejrzeć ważność rekomendacji, interwał aktualizacji, opis i kroki korygowania.

  5. Przejrzyj zasoby w zakresie zaleceń:

    • Zasoby w złej kondycji: zasoby, które nie są dołączone do usługi Defender dla interfejsów API.
    • Zasoby w dobrej kondycji: zasoby interfejsu API dołączone do usługi Defender dla interfejsów API.
    • Nie dotyczy zasobów: zasoby interfejsu API, które nie mają zastosowania do ochrony.

  6. W obszarze Zasoby w złej kondycji wybierz interfejsy API, które chcesz chronić za pomocą usługi Defender dla interfejsów API.

  7. Wybierz pozycję Poprawka:

    Zrzut ekranu przedstawiający szczegóły rekomendacji dotyczące włączania planu.

  8. W obszarze Naprawianie zasobów przejrzyj wybrane interfejsy API i wybierz pozycję Napraw zasoby:

    Zrzut ekranu przedstawiający sposób naprawiania zasobów w złej kondycji.

  9. Sprawdź, czy korygowanie zakończyło się pomyślnie:

    Zrzut ekranu, który potwierdza, że korygowanie zakończyło się pomyślnie.

Śledzenie dołączonych zasobów interfejsów API

Po dołączeniu zasobów interfejsu API można śledzić ich stan w portalu Defender dla Chmury >Zabezpieczenia interfejsu API ochrony>obciążeń:

Zrzut ekranu przedstawiający sposób śledzenia dołączonych zasobów interfejsu API.

Możesz również przejść do innych kolekcji, aby dowiedzieć się, jakie typy szczegółowych informacji lub ryzyka mogą istnieć w spisie:

Zrzut ekranu przedstawiający przegląd kolekcji interfejsu API.

Następne kroki