Ative a postura de segurança da API com o GPSC do Defender

O plano Defender Cloud Security Posture Management (CSPM) no Microsoft Defender para a Cloud oferece-lhe uma visão completa das suas APIs em API Management do Azure, Function Apps e Logic Apps. Ele ajuda você a melhorar a segurança da API, encontrando configurações incorretas e vulnerabilidades. Este artigo explica como ativar a gestão da postura de segurança da API no seu plano GPSC do Defender e avaliar a segurança da sua API. O GPSC do Defender integra APIs sem agente e verifica regularmente riscos e exposição a dados sensíveis. O sistema fornece perceções de risco prioritizadas e mitigação através da análise dos caminhos de ataque de API e recomendações de segurança.

Nota

As capacidades de descoberta de APIs e política de segurança no Microsoft Defender para a Cloud agora também suportam Function Apps e Logic Apps. Esta funcionalidade está atualmente disponível na Pré-visualização.

Pré-requisitos

Leia sobre Melhorar sua postura de segurança da API.
Precisa de uma subscrição do Microsoft Azure. Se você não tiver uma, você pode se inscrever para uma assinatura gratuita.
Ativa o Defender para a Cloud na tua subscrição Azure.
Ative Defender Cloud Security Posture Management (CSPM) na sua subscrição Azure.
O Proprietário da Assinatura deve habilitar o plano CSPM para acessar todos os recursos.
Assegure que as APIs que pretende proteger estão implementadas em API Management do Azure, Function Apps ou Logic Apps.

Suporte à nuvem e à região

A Gestão da Postura de Segurança da API dentro do GPSC do Defender está disponível na cloud comercial do Azure, nas seguintes regiões:

Ásia (Sudeste Asiático, Leste Asiático)
Austrália (Leste da Austrália, Sudeste da Austrália, Austrália Central, Austrália Central 2)
Brasil (Brasil Sul, Brasil Sudeste)
Canadá (Canadá Central, Leste do Canadá)
Europa (Europa Ocidental, Europa do Norte)
França (França Central, França Sul)
Alemanha (Alemanha Centro-Oeste, Alemanha Norte)
Índia (Índia Central, Sul da Índia, Índia Ocidental)
Itália (Itália Norte)
Japão (Leste do Japão, Oeste do Japão)
Coreia (Coreia Central, Coreia Sul)
Noruega (Noruega Este, Noruega Oeste)
África do Sul (África do Sul do Norte, África do Sul do Oeste)
Suécia (Suécia Central, Suécia Sul)
Suíça (Norte da Suíça, Oeste da Suíça)
Reino Unido (Sul do Reino Unido, Oeste do Reino Unido)
EUA (Leste dos EUA, Leste dos EUA 2, Oeste dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Centro-Oeste dos EUA, Leste dos EUA 2 EUAP, Centro dos EUA EUAP)

Consulte as informações mais recentes de suporte para a nuvem sobre os planos e funcionalidades do Defender para a Cloud na matriz de suporte para a nuvem.

Suporte de API

Característica	Suportado
Disponibilidade	API Management do Azure: Esta funcionalidade está disponível nos níveis Premium, Standard, Basic e Developer de API Management do Azure. Não suporta APIs expostas através do gateway auto-hospedado de Gestão de APIs ou geridas através de espaços de trabalho de Gestão de APIs. Aplicação Azure AD Services: Os níveis de alojamento de aplicações Azure suportados incluem Premium, Elastic Premium, Dedicated (App Service) e Ambiente do Serviço de Aplicações (ASE). Para o Azure Logic Apps, os níveis suportados incluem o Standard (Single-Tenant) e o Ambiente do Serviço de Aplicações (ASE). Aplicações de Função no Nível de Consumo, Aplicações de Lógica no Nível de Consumo e Aplicações de Lógica com Azure Arc não são suportadas.
Tipos de API	Suporte apenas para APIs REST.

Característica

Suportado

Disponibilidade

API Management do Azure: Esta funcionalidade está disponível nos níveis Premium, Standard, Basic e Developer de API Management do Azure. Não suporta APIs expostas através do gateway auto-hospedado de Gestão de APIs ou geridas através de espaços de trabalho de Gestão de APIs.

Aplicação Azure AD Services: Os níveis de alojamento de aplicações Azure suportados incluem Premium, Elastic Premium, Dedicated (App Service) e Ambiente do Serviço de Aplicações (ASE). Para o Azure Logic Apps, os níveis suportados incluem o Standard (Single-Tenant) e o Ambiente do Serviço de Aplicações (ASE). Aplicações de Função no Nível de Consumo, Aplicações de Lógica no Nível de Consumo e Aplicações de Lógica com Azure Arc não são suportadas.

Tipos de API

Suporte apenas para APIs REST.

Habilitar a extensão de gerenciamento de postura de segurança da API

Inicie sessão no portal Azure.
Vai a Microsoft Defender para Cloud>Definições de ambiente.
Selecione a subscrição relevante.
Localize o plano GPSC do Defender e selecione Settings.
Habilite o gerenciamento de postura de segurança da API.
Selecione Continuar.
Selecione Salvar.

Aparece uma mensagem de notificação a confirmar que as definições foram guardadas com sucesso. Uma vez ativadas, as APIs começam a ser integradas e aparecem no seu inventário do Defender para a Cloud dentro de algumas horas.

Ver inventário da API

As APIs integradas no plano de GPSC do Defender aparecem no painel de segurança da API, sob Proteção de Carga de Trabalho e Microsoft Defender para a Cloud Inventario.

Navegue até à secção de Segurança Cloud do menu Defender para a Cloud e selecione API security em Advanced Workload Protections.
O painel mostra o número de APIs integradas, dividido por coleções de APIs, endpoints e serviços de API Management do Azure. Inclui um resumo das APIs integradas para a cobertura de segurança da deteção de ameaças, utilizando o plano de proteção de cargas de trabalho do Defender para APIs.
Aplique o filtro Defender plan == GPSC do Defender para visualizar as APIs associadas ao plano GPSC do Defender.

Selecione OK.
Selecione uma operação de API de interesse para rever as conclusões de segurança para operações específicas da API.

Resultados detalhados do endpoint da API

Tipo de informações confidenciais: fornece detalhes sobre as informações confidenciais expostas em caminhos de URL de API, parâmetros de consulta, corpos de solicitação e corpos de resposta com base em tipos de dados suportados, juntamente com a fonte do tipo de informação encontrado.
Informação Adicional: No caso dos corpos de resposta da API, este campo mostra quais os códigos de resposta HTTP que continham informação sensível (como 2xx, 3xx, 4xx).

Analise as conclusões da postura de segurança da API juntamente com o seu inventário de APIs na experiência do Microsoft Defender para a Cloud Inventário.

Nota

A exposição de dados sensíveis não é digitalizada se a extensão de descoberta de dados sensíveis não estiver ativada. Para analisar informações sensíveis nas suas APIs, deve ativar a descoberta de dados sensíveis. Esta definição afeta apenas APIs integradas no plano GPSC do Defender. Se ativar o plano de proteção de carga de trabalho do Defender para APIs nas mesmas APIs, elas são analisadas para dados sensíveis.

Investigue as recomendações de segurança da API

O Defender para a Cloud avalia continuamente os endpoints da API para detetar configurações incorretas e vulnerabilidades, incluindo falhas de autenticação e APIs inativas. Gera recomendações de segurança com fatores de risco associados, como exposição externa e riscos de sensibilidade de dados. O Defender para a Cloud calcula a importância das recomendações de segurança com base nestes fatores de risco. Saiba mais sobre recomendações de segurança baseadas em risco.

Para analisar as suas recomendações para a postura de segurança da API:

Vai ao menu principal Defender para a Cloud e seleciona Recomendações.
Selecione a opção Agrupar por Título para organizar recomendações.
Filtre por Tipo de Recursos (por exemplo, Operação de Gestão de API ou Endpoint API), ou filtre por Nome de Recomendação para restringir recomendações relacionadas com APIs que visem problemas específicos de segurança da API.

Consulte a secção APIs no guia de referência de recomendações Defender para a Cloud, para a lista completa de recomendações relacionadas com APIs.

Explore os riscos da API e corrija com a análise do caminho de ataque

O explorador de segurança na nuvem ajuda-o a identificar potenciais riscos de segurança no seu ambiente de nuvem consultando o gráfico de segurança na nuvem.

Inicie sessão no portal Azure.
Vá a Microsoft Defender para a Cloud>Cloud Security Explorer.
Use o modelo de consulta interno para identificar rapidamente APIs com insights de segurança.
Como alternativa, crie uma consulta personalizada com o Cloud Security Explorer para localizar riscos de API e ver pontos de extremidade de API conectados a computação de back-end ou armazenamentos de dados. Por exemplo, pode-se ver endpoints de API a encaminhar tráfego para máquinas virtuais com vulnerabilidades de código remoto.

A análise do caminho de ataque no Defender para a Cloud resolve problemas de segurança que representam ameaças imediatas às suas aplicações e ambientes na cloud. Identifique e corrija caminhos de ataque liderados por API para lidar com os riscos de API mais críticos que podem ameaçar significativamente sua organização.

No menu do Defender para a Cloud, vá para Attack path analysis.
Filtre por tipo de recurso Operação de Gerenciamento de API para investigar caminhos de ataque relacionados à API.
Veja as recomendações de segurança para os seus pontos de extremidade de API no âmbito e implemente as correções sugeridas para defender as suas APIs de superfícies de ataque de alto risco.

Proteção de postura de segurança da API offboard

Não podes separar APIs individuais que fazem parte do plano GPSC do Defender. Para remover todas as APIs do plano GPSC do Defender, vá à página de Definições do Plano GPSC do Defender e desative a extensão de configuração da API.

Selecione Continuar e depois Guardar para confirmar. Esta ação elimina todas as APIs do plano GPSC do Defender, e a gestão da postura de segurança da API está desativada.

Monitorize ameaças de API usando Defender para a Proteção de Carga de Trabalho das APIs.

Comentários

Esta página foi útil?

Last updated on 2026-04-15