Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Требования
Defender для облака изначально интегрирован с службой приложений, что устраняет необходимость развертывания и подключения — интеграция является прозрачной.
Чтобы защитить план Служба приложений Azure с помощью Microsoft Defender для службы приложений, вам потребуется:
Поддерживаемый план служб приложений, связанный с выделенными машинами.
В подписке включены расширенные средства защиты Defender для облака, как описано в Включение расширенных функций безопасности.
Совет
При необходимости можно включить отдельные планы Microsoft Defender, например Microsoft Defender для службы приложений.
Microsoft Defender для службы приложений выставляется счёт, как показано на странице с ценами. Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака. Расчет выставления счетов производится на основании общего числа вычислительных экземпляров в каждом плане.
Ознакомьтесь с Defender для облачной доступности службы приложений.
Каковы преимущества Microsoft Defender для службы приложений?
Служба приложений Azure — это полностью управляемая платформа для создания и размещения веб-приложений и API. Так как платформа полностью управляется, вам не нужно беспокоиться об инфраструктуре. Решение обеспечивает управление, мониторинг и оперативную аналитику для удовлетворения требований к производительности, безопасности и соответствию корпоративного уровня. Дополнительные сведения см. в разделе Служба приложений Azure.
Microsoft Defender для службы приложений использует масштаб облака для выявления атак, предназначенных для приложений, работающих через службу приложений. Злоумышленники проверяют веб-приложения, чтобы найти уязвимости и воспользоваться ими. Прежде чем направляться в определенные среды, запросы к приложениям, работающим в Azure, проходят через несколько шлюзов, где они проверяются и регистрируются. Затем эти данные используются для идентификации эксплойтов и злоумышленников, а также для изучения новых шаблонов, которые можно использовать позже.
Если включить Microsoft Defender для службы приложений, вы сразу же пользуются следующими службами, предлагаемыми этим планом Defender:
Secure — Defender для службы приложений оценивает ресурсы, охваченные планом службы приложений, и создает рекомендации по безопасности на основе своих результатов. Чтобы укрепить ресурсы службы приложений, используйте подробные инструкции в этих рекомендациях.
Detect — Defender для службы приложений обнаруживает множество угроз для ресурсов службы приложений, отслеживая:
- Экземпляр виртуальной машины, в котором выполняется Служба приложений, и его интерфейс управления
- запросы и ответы, отправляемые и принимаемые приложениями Службы приложений;
- базовые песочницы и виртуальные машины;
- Внутренние журналы службы приложений — доступны благодаря видимости, которую имеет Azure в качестве облачного провайдера.
В качестве облачного решения Defender для службы приложений может определять методологии атак, применяемые к нескольким целевым объектам. Например, с одного узла было бы трудно обнаружить распределенную атаку из небольшого набора IP-адресов со сканированием аналогичных конечных точек на нескольких узлах.
Данные журнала и инфраструктура позволяют узнать о многом, начиная от распространяющихся новых атак и заканчивая компрометациями на компьютерах клиентов. Таким образом, даже если Microsoft Defender для службы приложений развертывается после эксплойтов веб-приложения, он может обнаруживать текущие атаки.
Какие угрозы может обнаружить Defender для службы приложений?
Угрозы по тактикам MITRE ATT&CK
Defender для облака отслеживает множество угроз для ресурсов службы приложений. Оповещения охватывают почти полный список тактик MITRE ATT&CK от предварительной атаки до команды и контроля.
Угрозы до атаки — Defender для облака может обнаруживать выполнение нескольких типов сканеров уязвимостей, которые злоумышленники часто используют для проверки приложений на наличие слабых мест.
Initial access threats - Аналитика угроз Microsoft Defender включает эти оповещения, которые включают активацию оповещения при подключении известного вредоносного IP-адреса к интерфейсу FTP Служба приложений Azure.
Угрозы выполнения — Defender для облака может обнаруживать попытки выполнения команд с высоким уровнем привилегий, команд Linux в службе приложение для Windows, поведение безфайловой атаки, средствами майнинга цифровых валют и многие другие подозрительные и вредоносные действия выполнения кода.
Определение недействительных записей DNS
Defender для App Service также идентифицирует все записи DNS, оставшиеся в регистраторе DNS, когда веб-сайт службы приложений закрывается. Они называются подвисшими записями DNS. При удалении веб-сайта и если не удалить его пользовательский домен из регистратора DNS, запись DNS будет указывать на несуществующий ресурс, что делает ваш поддомен уязвимым для захвата. Defender для облака не сканирует ваш регистратор DNS на наличие существующих висячих DNS-записей; он уведомляет вас, когда веб-сайт службы приложений выводится из эксплуатации, а его пользовательский домен (запись DNS) не удаляется.
Перехват поддоменов — это распространенная угроза высокого уровня серьезности для организаций. Когда злоумышленник обнаруживает недействительные записи DNS, он создает свой собственный сайт по адресу назначения. Трафик, предназначенный для домена организации, направляется на сайт злоумышленника, который затем может использовать этот трафик для широкого спектра вредоносных действий.
Защита DNS доступна независимо от того, управляются ли ваши домены Azure DNS или внешним регистратором доменов и применяются к службе приложений как в Windows, так и в Linux.
Узнайте больше о недействительных записях DNS и угрозах перехвата поддоменнов в Предотвращение появления недействительных записей DNS и перехвата поддоменов.
Полный список оповещений Службы приложений см. в справочной таблице оповещений.
Примечание.
Defender для облака может не активировать оповещения о висящем DNS, если ваш пользовательский домен не указывает непосредственно на ресурс службы приложений или если Defender для облака не отслеживал трафик на ваш веб-сайт с момента включения защиты от висящего DNS (так как не будет журналов для идентификации пользовательского домена).
Следующие шаги
В этой статье вы узнали о Microsoft Defender для службы приложений.
Связанные материалы см. в следующих статьях:
- Чтобы экспортировать оповещения в Microsoft Sentinel, SIEM от любого партнера или любое другое внешнее средство, следуйте инструкциям в разделе Экспорт оповещений в решения для мониторинга.
- Список оповещений Microsoft Defender для службы приложений см. в Таблице оповещений.
- Для получения дополнительной информации о планах Службы приложений см. планы Службы приложений.