Habilitar a configuração de segurança da API com GPSN do Defender

O plano Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) no Microsoft Defender para Nuvem fornece uma visão completa das suas APIs em Gerenciamento de API do Azure, Aplicativos de Funções e Aplicativos Lógicos. Ele ajuda você a melhorar a segurança da API encontrando configurações e vulnerabilidades incorretas. Este artigo explica como habilitar o gerenciamento de postura de segurança da API em seu plano de GPSN do Defender e avaliar a segurança da API. GPSN do Defender integra APIs sem um agente e verifica regularmente se há riscos e exposição de dados confidenciais. Ele fornece insights de risco priorizados e mitigação por meio da análise do caminho de ataque da API e das recomendações de segurança.

Observação

Os recursos de descoberta de API e postura de segurança no Microsoft Defender para Nuvem agora também são compatíveis com Aplicativos de Funções e Aplicativos Lógicos. Esse recurso está disponível no momento na Versão Prévia.

Pré-requisitos

Suporte à nuvem e região

O Gerenciamento de Postura de Segurança de API em GPSN do Defender está disponível na nuvem comercial Azure, nas seguintes regiões:

  • Ásia (Sudeste Asiático, Leste da Ásia)
  • Austrália (Leste da Austrália, Sudeste da Austrália, Austrália Central, Austrália Central 2)
  • Brasil (Sul do Brasil, Sudeste do Brasil)
  • Canadá (Canadá Central, Leste do Canadá)
  • Europa (Oeste da Europa, Norte da Europa)
  • França (França Central, Sul da França)
  • Alemanha (Centro-Oeste da Alemanha, Norte da Alemanha)
  • Índia (Índia Central, Sul da Índia, Oeste da Índia)
  • Itália (Norte da Itália)
  • Japão (Leste do Japão, Oeste do Japão)
  • Coreia (Coreia Central, Coreia do Sul)
  • Noruega (Leste da Noruega, Oeste da Noruega)
  • África do Sul (Norte da África do Sul, Oeste da África do Sul)
  • Suécia (Suécia Central, Sul da Suécia)
  • Suíça (Norte da Suíça, Oeste da Suíça)
  • Reino Unido (Sul do Reino Unido, Oeste do Reino Unido)
  • EUA (Leste dos EUA, Leste dos EUA 2, Oeste dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, EUA Central, Centro-Norte dos EUA, Centro-Sul dos EUA, Centro-Oeste dos EUA, Leste dos EUA 2 EUAP, EUA Central EUAP)

Examine as informações mais recentes de suporte à nuvem para planos e recursos do Defender para Nuvem na matriz de suporte à nuvem.

Suporte de API

Característica Supported
Disponibilidade Gerenciamento de API do Azure: Esse recurso está disponível nas camadas Premium, Standard, Basic e Developer de Gerenciamento de API do Azure. Ele não dá suporte a APIs expostas por meio do gateway auto-hospedado do Gerenciamento de API ou gerenciadas por meio de workspaces de Gerenciamento de API.

Azure App Services: as camadas de hospedagem do Aplicativo de Funções Azure com suporte incluem Premium, Elastic Premium, Dedicado (Serviço de Aplicativo) e Ambiente do Serviço de Aplicativo (ASE). Para Aplicativos Lógicos do Azure, as camadas com suporte incluem Standard (Single-Tenant) e Ambiente do Serviço de Aplicativo (ASE). Os aplicativos de funções da camada de consumo, os aplicativos lógicos da camada de consumo e os aplicativos lógicos habilitados para Azure Arc não são compatíveis.
Tipos de API Suporte somente para APIs REST.

Habilitar a extensão de gerenciamento da postura de segurança da API

  1. Entre no portal Azure.

  2. Vá para Microsoft Defender para Nuvem>Environment settings.

  3. Selecione a assinatura relevante.

  4. Localize o plano GPSN do Defender e selecione Settings.

  5. Habilitar o gerenciamento de postura de segurança da API.

    Captura de tela de Habilitar o gerenciamento da postura de segurança da API.

  6. Selecione Continuar.

  7. Clique em Salvar.

Uma mensagem de notificação confirmando que as configurações foram salvas com êxito é exibida. Depois de habilitadas, as APIs iniciam a integração e aparecem no inventário de Defender para Nuvem dentro de algumas horas.

Exibir inventário de APIs

As APIs integradas ao plano GPSN do Defender aparecem no painel de segurança da API em Workload protection e Microsoft Defender para Nuvem Inventory.

  1. Navegue até a seção Cloud Security do menu Defender para Nuvem e selecione Segurança de API em Proteções Avançadas de Carga de Trabalho.

    Captura de tela do painel de segurança de API.

  2. O painel mostra o número de APIs cadastradas, divididas por coleções de API, endpoints e serviços do Gerenciamento de API do Azure. Inclui um resumo das APIs integradas para cobertura de segurança na detecção de ameaças usando o plano de proteção de carga de trabalho do Defender para APIs.

  3. Aplique o filtro Plano do Defender == GPSN do Defender para exibir as APIs integradas ao plano GPSN do Defender.

Captura de tela das APIs filtradas para o plano GPSN do Defender para postura.

  1. Selecione OK.

  2. Selecione uma operação de API de interesse para examinar as descobertas de segurança para operações de API específicas.

    Captura de tela da página de detalhes da coleção de API.

Descobertas detalhadas do ponto de extremidade da API

  1. Tipo de informação confidencial: fornece detalhes sobre as informações confidenciais expostas em caminhos de URL de API, parâmetros de consulta, corpos de solicitação e corpos de resposta com base nos tipos de dados com suporte, juntamente com a fonte do tipo de informação encontrada.

  2. Informações adicionais: no caso de corpos de resposta à API, esse campo mostra quais códigos de resposta HTTP continham informações confidenciais (como 2xx, 3xx, 4xx).

Examine os resultados da postura de segurança da API juntamente com seu inventário de API na experiência de Inventário do Microsoft Defender para Nuvem.

Observação

A exposição de dados sensíveis não será verificada se a extensão de descoberta de dados sensíveis não estiver habilitada. Para verificar informações confidenciais em suas APIs, você deve habilitar a descoberta de dados confidenciais. Essa configuração afeta apenas as APIs integradas ao plano de GPSN do Defender. Se você habilitar o plano de proteção de carga de trabalho do Defender para APIs nas mesmas APIs, elas serão verificadas em busca de dados confidenciais.

Investigar recomendações de segurança de API

Defender para Nuvem avalia continuamente os endpoints de API para desconfigurações e vulnerabilidades, incluindo falhas de autenticação e APIs inativas. Ele gera recomendações de segurança com fatores de risco associados, como exposição externa e riscos de confidencialidade de dados. Defender para Nuvem calcula a importância das recomendações de segurança com base nesses fatores de risco. Saiba mais sobre recomendações de segurança baseadas em risco.

Para investigar suas recomendações de postura de segurança de API:

  1. Vá para o menu principal Defender para Nuvem e selecione Recomandos.

  2. Selecione a alternância Grupo por Título para organizar as recomendações.

  3. Filtre por tipo de recurso (por exemplo, Operação de Gerenciamento de API ou Ponto de Extremidade de API) ou filtre pelo Nome da Recomendação para restringir as recomendações relacionadas à API para direcionar problemas de segurança de API específicos.

Confira a seção APIs no guia de referência de recomendação Defender para Nuvem, para obter a lista completa de recomendações relacionadas à API.

Explorar os riscos da API e corrigir com a análise do caminho de ataque

O Cloud Security Explorer ajuda você a identificar possíveis riscos à segurança em seu ambiente de nuvem consultando o gráfico de segurança da nuvem.

  1. Entre no portal Azure.

  2. Vá para Microsoft Defender para Nuvem>Cloud Security Explorer.

  3. Use o modelo de consulta interno para identificar rapidamente as APIs com insights de segurança.

    Captura de tela do Cloud Security Explorer com o modelo de consulta de insights de segurança de API.

  4. Como alternativa, crie uma consulta personalizada com o Cloud Security Explorer para encontrar riscos de API e ver pontos de extremidade de API conectados a armazenamentos de dados ou computação de back-end. Por exemplo, você poderá ver pontos de extremidade de API roteando o tráfego para máquinas virtuais com vulnerabilidades de código remoto.

    Captura de tela da consulta personalizada no Cloud Security Explorer.

A análise do caminho de ataque no Defender para Nuvem resolve problemas de segurança que representam ameaças imediatas aos seus aplicativos e ambientes de nuvem. Identifique e corrija caminhos de ataque liderados por API para abordar os riscos mais críticos de API que podem ameaçar significativamente sua organização.

  1. No menu Defender para Nuvem, vá para A análise de caminho de ataque.

  2. Filtre pelo tipo de recurso Operação de Gerenciamento de API para investigar caminhos de ataque relacionados à API.

    Captura de tela da Análise do caminho de ataque filtrada pela operação de Gerenciamento de API.

  3. Exiba as recomendações de segurança para seus pontos de extremidade de API no escopo e corrija-as para proteger suas APIs contra superfícies de ataque de alto risco.

    Captura de tela das recomendações de segurança de API na Análise do caminho de ataque.

Remover a proteção de postura de segurança de API

Não é possível desativar APIs individuais que fazem parte do plano de GPSN do Defender. Para desativar todas as APIs do plano GPSN do Defender, acesse a página Configurações do plano GPSN do Defender e desative a extensão de postura de API.

Captura de tela de Desabilitar o gerenciamento da postura de segurança de API.

Selecione Continuar e , em seguida, Salvar para confirmar. Essa ação desativa todas as APIs do plano de GPSN do Defender e o gerenciamento de postura de segurança da API está desabilitado.

Conteúdo relacionado

  • Last updated on