Visão geral do Defender for App Service para proteger seus aplicativos Web e APIs do Serviço de Aplicativo do Azure
Pré-requisitos
O Defender for Cloud é integrado nativamente ao Serviço de Aplicativo, eliminando a necessidade de implantação e integração - a integração é transparente.
Para proteger seu plano do Serviço de Aplicativo do Azure com o Microsoft Defender for App Service, você precisará:
Um plano do Serviço de Aplicativo compatível associado a máquinas dedicadas. Os planos suportados estão listados em Disponibilidade.
As proteções avançadas do Defender for Cloud ativadas na sua subscrição, conforme descrito em Ativar funcionalidades de segurança avançadas.
Gorjeta
Opcionalmente, você pode habilitar planos individuais do Microsoft Defender, como o Microsoft Defender for App Service.
Disponibilidade
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponibilidade geral (GA) |
| Preços: | O Microsoft Defender for App Service é cobrado conforme mostrado na página de preços O faturamento é de acordo com o total de instâncias de computação em todos os planos |
| Planos do Serviço de Aplicações suportados: | Os planos do Serviço de Aplicativo compatíveis são: • Plano gratuito • Plano de Serviço Básico • Plano de serviço padrão • Plano de Serviço Premium v2 • Plano de Serviço Premium v3 • Ambiente do Serviço de Aplicativo v1 • Ambiente do Serviço de Aplicativo v2 • Ambiente do Serviço de Aplicativo v3 |
| Nuvens: |  Nuvens comerciais Nacional (Azure Government, Microsoft Azure operado pela 21Vianet) |
Quais são os benefícios do Microsoft Defender for App Service?
O Serviço de Aplicativo do Azure é uma plataforma totalmente gerenciada para criar e hospedar seus aplicativos Web e APIs. Como a plataforma é totalmente gerenciada, você não precisa se preocupar com a infraestrutura. Ele fornece gerenciamento, monitoramento e insights operacionais para atender aos requisitos de desempenho, segurança e conformidade de nível empresarial. Para obter mais informações, consulte Serviço de Aplicativo do Azure.
O Microsoft Defender for App Service usa a escala da nuvem para identificar ataques direcionados a aplicativos executados no Serviço de Aplicativo. Os atacantes investigam aplicações Web para encontrar e explorar pontos fracos. Antes de serem encaminhadas para ambientes específicos, as solicitações para aplicativos em execução no Azure passam por vários gateways, onde são inspecionadas e registradas. Esses dados são usados para identificar exploits e invasores e para aprender novos padrões que podem ser usados posteriormente.
Ao habilitar o Microsoft Defender para Serviço de Aplicativo, você se beneficia imediatamente dos seguintes serviços oferecidos por este plano do Defender:
Seguro - O Defender for App Service avalia os recursos cobertos pelo seu plano do Serviço de Aplicativo e gera recomendações de segurança com base em suas descobertas. Para proteger os recursos do Serviço de Aplicativo, use as instruções detalhadas nestas recomendações.
Detetar - O Defender for App Service deteta uma infinidade de ameaças aos recursos do seu Serviço de Aplicativo monitorando:
- a instância da VM na qual o Serviço de Aplicativo está sendo executado e sua interface de gerenciamento
- as solicitações e respostas enviadas de e para seus aplicativos do Serviço de Aplicativo
- as sandboxes e VMs subjacentes
- Logs internos do Serviço de Aplicativo - disponíveis graças à visibilidade que o Azure tem como um provedor de nuvem
Como uma solução nativa da nuvem, o Defender for App Service pode identificar metodologias de ataque aplicáveis a vários alvos. Por exemplo, a partir de um único host seria difícil identificar um ataque distribuído a partir de um pequeno subconjunto de IPs, rastreando para pontos de extremidade semelhantes em vários hosts.
Os dados de log e a infraestrutura juntos podem contar a história: desde um novo ataque circulando na natureza até comprometimentos nas máquinas dos clientes. Portanto, mesmo que o Microsoft Defender for App Service seja implantado após a exploração de um aplicativo Web, ele poderá detetar ataques contínuos.
Quais ameaças o Defender for App Service pode detetar?
Ameaças por táticas MITRE ATT&CK
O Defender for Cloud monitora muitas ameaças aos recursos do seu Serviço de Aplicativo. Os alertas cobrem quase toda a lista de táticas MITRE ATT&CK, desde o pré-ataque até o comando e controle.
Ameaças pré-ataque - O Defender for Cloud pode detetar a execução de vários tipos de scanners de vulnerabilidade que os atacantes usam frequentemente para investigar os aplicativos em busca de fraquezas.
Ameaças - de acesso iniciais O Microsoft Threat Intelligence habilita esses alertas que incluem disparar um alerta quando um endereço IP mal-intencionado conhecido se conecta à interface FTP do Serviço de Aplicativo do Azure.
Ameaças de execução - O Defender for Cloud pode detetar tentativas de executar comandos de alto privilégio, comandos Linux em um Serviço de Aplicativo do Windows, comportamento de ataque sem arquivos, ferramentas de mineração de moeda digital e muitas outras atividades de execução de código suspeitas e maliciosas.
Deteção de DNS Dangling
O Defender for App Service também identifica quaisquer entradas DNS restantes no seu registrador de DNS quando um site do Serviço de Aplicativo é desativado - elas são conhecidas como entradas DNS pendentes. Quando você remove um site e não remove seu domínio personalizado do registrador de DNS, a entrada DNS está apontando para um recurso inexistente e seu subdomínio fica vulnerável a uma aquisição. O Defender for Cloud não verifica seu registrador de DNS em busca de entradas DNS pendentes existentes , ele alerta quando um site do Serviço de Aplicativo é desativado e seu domínio personalizado (entrada DNS) não é excluído.
As aquisições de subdomínios são uma ameaça comum e de alta gravidade para as organizações. Quando um agente de ameaça deteta uma entrada DNS pendente, ele cria seu próprio site no endereço de destino. O tráfego destinado ao domínio da organização é então direcionado para o site do agente de ameaça, e eles podem usar esse tráfego para uma ampla gama de atividades maliciosas.
A proteção DNS Dangling está disponível independentemente de seus domínios serem gerenciados com o DNS do Azure ou um registrador de domínios externo e se aplica ao Serviço de Aplicativo no Windows e no Linux.
Saiba mais sobre o DNS pendente e a ameaça de invasão de subdomínio, em Impedir entradas DNS pendentes e evitar a tomada de controle de subdomínio.
Para obter uma lista completa dos alertas do Serviço de Aplicativo, consulte a Tabela de alertas de referência.
Nota
O Defender for Cloud pode não acionar alertas DNS pendentes se seu domínio personalizado não apontar diretamente para um recurso do Serviço de Aplicativo ou se o Defender for Cloud não tiver monitorado o tráfego para seu site desde que a proteção DNS pendente foi habilitada (porque não haverá logs para ajudar a identificar o domínio personalizado).
Próximos passos
Neste artigo, você aprendeu sobre o Microsoft Defender for App Service.
Para material relacionado, consulte os seguintes artigos:
- Para exportar seus alertas para o Microsoft Sentinel, qualquer SIEM de terceiros ou qualquer outra ferramenta externa, siga as instruções em Transmitir alertas para soluções de monitoramento.
- Para obter uma lista dos alertas do Microsoft Defender for App Service, consulte a Tabela de alertas de referência.
- Para obter mais informações sobre planos do Serviço de Aplicativo, consulte Planos do Serviço de Aplicativo.