Сведения о Microsoft Defender для API

Microsoft Defender для API — это план, предоставляемый Microsoft Defender для облака, который обеспечивает полную защиту жизненного цикла, обнаружение и покрытие ответов для API.

Defender для API помогает получить представление о критически важных для бизнеса API. Вы можете исследовать и улучшать состояние безопасности API, определять приоритеты исправлений уязвимостей и быстро обнаруживать активные угрозы в режиме реального времени.

Defender для API в настоящее время обеспечивает безопасность API, опубликованных в Azure Управление API. Defender для API можно подключить на портале Defender для облака или в экземпляре Управление API в портал Azure.

Что можно сделать с помощью Defender для API?

• Инвентаризация: на одной панели мониторинга получите агрегированное представление всех управляемых API.
• Результаты безопасности: анализ результатов безопасности API, включая сведения о внешних, неиспользуемых или неиспользуемых API.
• Состояние безопасности: просмотрите и реализуйте рекомендации по безопасности, чтобы повысить уровень безопасности API, а также повысить уровень риска.
• Классификация данных API: классификация API, получающих конфиденциальные данные или реагирующие на них, для поддержки приоритета риска.
• Обнаружение угроз: прием трафика API и мониторинг его с помощью обнаружения аномалий во время выполнения с помощью машинного обучения и аналитики на основе правил для обнаружения угроз безопасности API, включая API OWASP Top 10 критических угроз.
• Интеграция CSPM Defender: интеграция с Cloud Security Graph в Cloud Security Posture Management (CSPM) для видимости и оценки рисков API в организации.
• Интеграция Управление API Azure: с включенным планом Defender для API можно получать рекомендации по безопасности API и оповещения на портале Azure Управление API.
• Интеграция SIEM: интеграция с системами управления сведениями о безопасности и событиями (SIEM), что упрощает изучение существующими рабочими процессами реагирования на угрозы для команд безопасности. Подробнее.

Просмотр результатов безопасности API

Просмотрите результаты инвентаризации и безопасности для подключенных API на панели мониторинга безопасности API Defender для облака. На панели мониторинга отображается количество подключенных устройств с разбивкой по коллекциям API, конечным точкам и службам Azure Управление API:

Вы можете детализировать коллекцию API, чтобы просмотреть результаты безопасности для подключенных конечных точек API:

Сведения о конечной точке API включают:

• Имя конечной точки: имя конечной точки или операции API, как определено в Azure Управление API.
• Конечная точка: URL-путь конечных точек API и метод HTTP. Последнее название данных (UTC): дата последнего наблюдения трафика API в конечные точки API (в часовом поясе UTC).
• 30 дней без использования: показывает, получили ли конечные точки API трафик вызовов API за последние 30 дней. API, которые не получили трафик за последние 30 дней, помечены как неактивные.
• Проверка подлинности. Показывает, когда отслеживаемая конечная точка API не имеет проверки подлинности. Для API, опубликованных в Azure Управление API, это оценивает проверку подлинности путем проверки наличия ключей подписки Azure Управление API для API или продуктов, где требуется подписка, а также выполнение политик для проверки JWT, сертификатов клиентов и токенов Microsoft Entra. Если ни один из этих механизмов проверки подлинности не выполняется во время вызова API, API помечается как не прошедший проверку подлинности.
• Дата наблюдения за внешним трафиком: дата, когда внешний трафик API наблюдался в конечную точку API или из нее.
• Классификация данных: классифицирует тела запросов и ответов API на основе поддерживаемых типов данных.

Примечание.

Конечные точки API, которые не получили никакого трафика после подключения к Defender для API, отображают состояние ожидания данных на панели мониторинга API.

Изучение рекомендаций ПО API

Используйте рекомендации по улучшению состояния безопасности, защите конфигураций API, выявлению критических рисков API и устранению проблем по приоритету риска.

Defender для API предоставляет ряд рекомендаций, включая рекомендации по подключению API к плану API Defender для API, отключению и удалению неиспользуемых API, а также рекомендациям по обеспечению безопасности, проверки подлинности и контроля доступа.

Обнаружение угроз

Defender для API отслеживает трафик среды выполнения и каналы аналитики угроз и выдает оповещения об обнаружении угроз. Оповещения API обнаруживают первые 10 угроз API OWASP, кражи данных, объемных атак, аномальных и подозрительных параметров API, аномальных и подозрительных параметров API, аномалий доступа к IP-адресам и шаблонов использования.

Ознакомьтесь со ссылкой на оповещения системы безопасности.

Руководство по настройке автоматического реагирования на угрозы в Azure Sentinel

Действовать над оповещениями для устранения угроз и рисков. Defender для облака оповещения и рекомендации можно экспортировать в системы SIEM, такие как Microsoft Sentinel, для исследования в существующих рабочих процессах реагирования на угрозы для быстрого и эффективного исправления. Дополнительные сведения см. здесь.

Изучение аналитики Cloud Security Graph

Cloud Security Graph в плане CSPM Defender анализирует ресурсы и подключения в организации, чтобы выявить риски, уязвимости и возможные пути бокового перемещения.

Если Defender для API включен вместе с планом CSPM Defender, вы можете использовать Cloud Security Explorer для упреждающего и эффективного запроса сведений организации для поиска, идентификации и исправления ресурсов API, проблем безопасности и рисков:

Шаблоны запросов

Существует два встроенных шаблона запросов, доступных для идентификации ресурсов API рисков, которые можно использовать для поиска с помощью одного щелчка мыши:

Следующие шаги

Проверьте поддержку и предварительные требования для развертывания API Defender.