Proteger suas APIs com o Defender para APIs

O Defender para APIs no Microsoft Defender para Nuvem oferece proteção completa do ciclo de vida, detecção e cobertura de resposta para APIs.

O Defender para APIs ajuda você a obter visibilidade das APIs comercialmente críticas. Você pode investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidade e detectar rapidamente ameaças ativas em tempo real.

Este artigo descreve como habilitar e integrar o plano do Defender para API no portal do Defender para Nuvem. Como alternativa, você pode habilitar o Defender para APIs em uma instância de Gerenciamento de API no portal do Azure.

Saiba mais sobre os benefícios do plano do Microsoft Defender para APIs no Microsoft Defender para Nuvem. Saiba mais sobre o Defender para APIs.

Pré-requisitos

• É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.

• Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.

• Examine o suporte, permissões e requisitos do Defender para APIs antes de começar a implantação.

• Você habilita o Defender para APIs no nível da assinatura.

• Verifique se as APIs que você deseja proteger foram publicadas no Gerenciamento de API do Azure. Siga estas instruções para configurar o Gerenciamento de API do Azure.

• Você deve selecionar um plano que conceda direitos apropriados para o volume de tráfego de API em sua assinatura para receber o preço mais otimizado. Por padrão, as assinaturas são incluídas no "Plano 1", o que pode levar a excessos inesperados se o tráfego de API em sua assinatura for maior que o direito de chamadas à API de um milhão.

Habilitar o plano Defender para APIs

Ao selecionar um plano, considere estes pontos:

• O Defender para APIs protege somente as APIs integradas ao Defender para APIs. Isso significa que você pode ativar o plano no nível da assinatura e concluir a segunda etapa do processo de integração corrigindo a recomendação de integração.
• O Defender para APIs tem cinco planos de preços, cada um com um limite de direitos e um valor mensal diferentes. A cobrança é feita no nível da assinatura.
• A cobrança é aplicada a toda a assinatura com base na quantidade total de tráfego de API monitorado ao longo do mês para a assinatura.
• O tráfego de API contado para a cobrança é redefinido para 0 no início de cada mês (cada período de cobrança).
• Os excedentes são calculados com base no tráfego de API que ultrapassa a cota permitida conforme a seleção do plano durante o mês para toda a sua assinatura.

Para selecionar o melhor plano para sua assinatura na página de preços do Microsoft Defender para Nuvem. Você também pode estimar os custos com a calculadora de custos do Defender para Nuvem. Siga estas etapas para escolher o plano que corresponde aos requisitos de tráfego da API de suas assinaturas:

1. Entre no portal e, no Defender para Nuvem, selecione Configurações de ambiente.

2. Selecione a assinatura que contém as APIs gerenciadas que você deseja proteger.

   

3. Selecione Detalhes na coluna de preços do plano de APIs.

   

4. Selecione o plano adequado para sua assinatura.

5. Selecione Salvar.

Selecione o plano ideal com base no uso histórico do tráfego da API de gerenciamento de API do Azure

Você deve selecionar um plano que conceda direitos apropriados para o volume de tráfego de API em sua assinatura para receber o preço mais otimizado. Por padrão, as assinaturas são incluídas no Plano 1, o que pode levar a excessos inesperados se sua assinatura tiver tráfego de API maior que o direito de chamadas à API de um milhão.

Para estimar o tráfego mensal de API no Gerenciamento de API do Azure:

1. Navegue até o portal do Gerenciamento de API do Azure e selecione Métricas no item da barra de menus Monitoramento.

   

2. Selecione o intervalo de tempo como Últimos 30 dias.

3. Selecione e defina os seguintes parâmetros:

   1. Escopo: Nome do Serviço no Gerenciamento de API do Azure
   2. Espaço de nome da métrica: Métricas padrão do serviço de gerenciamento de API
   3. Métrica = Solicitações
   4. Agregação = Soma

4. Depois de definir os parâmetros acima, a consulta será executada automaticamente e o número total de solicitações dos últimos 30 dias será exibido na parte inferior da tela. No exemplo de captura de tela, a consulta resulta no número total de solicitações 414.

   

   Observação

   Essas instruções são para calcular o uso por serviço de gerenciamento de API do Azure. Para calcular o uso estimado de tráfego para todos os serviços de gerenciamento de API na assinatura do Azure, altere o parâmetro Escopo para cada serviço de gerenciamento de API do Azure dentro da assinatura do Azure, execute novamente a consulta e some os resultados.

Se você não tiver acesso para executar a consulta de métricas, entre em contato com o administrador interno do Gerenciamento de API do Azure ou seu gerente de conta da Microsoft.

Observação

Depois de habilitar o Defender para APIs, as APIs integradas levam até 50 minutos para aparecer na guia Recomendações. Os insights de segurança estão disponíveis no painel Proteções de cargas de trabalho>Segurança da API dentro de 40 minutos após a integração.

Integrar APIs

1. No portal do Defender para Nuvem, selecione Recomendações.

2. Pesquisar por Defender para APIs.

3. Em Habilitar recursos de segurança aprimorados, selecione a recomendação de segurança As APIs do Gerenciamento de API do Azure devem ser integradas ao Defender para APIs:

   

4. Na página de recomendação, você pode examinar a severidade da recomendação, o intervalo de atualização e as etapas de correção.

5. Revise os recursos no escopo das recomendações:

   • Recursos não íntegros: Recursos que não são integrados ao Defender para APIs.
   • Recursos saudáveis: recursos de API incorporados ao Defender para APIs.
   • Recursos não aplicáveis: recursos de API que não são aplicáveis à proteção.

6. Em Recursos não íntegros, selecione as APIs que você deseja proteger com o Defender para APIs.

7. Selecione Corrigir:

   

8. Em Corrigir recursos, revise as APIs selecionadas e selecione Corrigir recursos:

   

9. Verifique se a correção foi bem-sucedida:

   

Acompanhe os recursos de API integrados

Depois de integrar os recursos de API, você pode acompanhar seus status em >Proteções de carga de trabalho>Segurança da API do portal do Defender para Nuvem:

Você também pode navegar até outras coleções para conhecer os diferentes tipos de insights ou riscos que podem estar presentes no estoque.

Próximas etapas

• Examinar Ameaças de API e postura de segurança.
• Investigue as descobertas, recomendações e alertas da API.