你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Defender for APIs 保护 API

Microsoft Defender for Cloud 中的 Defender for API 为 API 提供完整的生命周期保护、检测和响应覆盖。

Defender for API 可帮助你了解业务关键型 API。 可以调查和改善 API 安全状况、确定漏洞修复的优先顺序，并快速检测活动实时威胁。

本文介绍如何在 Defender for Cloud 门户中启用和加入 Defender for API 计划。 也可以在 Azure 门户的 API Management 实例中启用 Defender for API。

详细了解 Microsoft Defender for Cloud 中的 Microsoft Defender for API 计划。 详细了解 Defender for API。

先决条件

• 需要 Microsoft Azure 订阅。 如果你没有 Azure 订阅，可以注册免费订阅。

• 必须在 Azure 订阅上启用 Microsoft Defender for Cloud。

• 在开始部署前，请查看 Defender for API 支持、权限和要求。

• 在订阅级别启用 Defender for API。

• 确保要保护的 API 已在 Azure API Management 中发布。 按照这些说明设置 Azure API Management。

• 必须选择一个计划，该计划需授予适用于订阅中 API 流量的权利，才能获得最优惠定价。 默认情况下，系统会为订阅选择“计划 1”，如果订阅的 API 流量超过 100 万 API 调用配额，这可能会导致意外的超额。

启用 Defender for API 计划

选择计划时，请考虑以下几点：

• Defender for API 仅保护那些已加入 Defender for API 的 API。 这意味着可以在订阅级别激活计划，并通过修复加入建议来完成第二步的加入。 有关加入的详细信息，请参阅加入指南。
• Defender for API 有五个定价计划，每个计划都有不同的配额限制和每月费用。 系统会在订阅级别完成计费。
• 系统会根据订阅月份监视的 API 流量总量，向整个订阅应用计费。
• 计入计费的 API 流量在每个月初（每个计费周期）重置为 0。
• 整个订阅当月超出每个计划选择的配额限制的 API 流量会计入超额部分。

若要从 Microsoft Defender for Cloud 定价页中选择订阅的最佳计划，请按照以下步骤选择与所订阅 API 流量要求相符的计划：

1. 登录到门户，然后在 Defender for Cloud 中选择“环境设置”。

2. 选择包含要保护的托管 API 的订阅。

   

3. 在 API 计划的定价列下选择“详细信息”。

   

4. 选择适合订阅的计划。

5. 选择“保存”。

根据过往 Azure API 管理 API 流量使用情况，选择最佳计划

必须选择一个计划，该计划需授予适用于订阅中 API 流量的权利，才能获得最优惠定价。 默认情况下，系统会为订阅选择“计划 1”，如果订阅的 API 流量超过 100 万 API 调用配额，这可能会导致意外的超额。

若要估算 Azure API 管理中的每月 API 流量，请采取以下做法：

1. 导航到 Azure API 管理门户，然后在“监视”菜单栏项下选择“指标”。

   

2. 将时间范围选为“过去 30 天”。

3. 选择并设置以下参数：

   1. 范围：Azure API 管理服务名称
   2. 指标命名空间：API 管理服务标准指标
   3. 指标：请求
   4. 聚合：Sum

4. 设置上述参数后，查询将自动运行，屏幕底部会显示过去 30 天的请求总数。 在屏幕截图示例中，查询结果为 414 个请求总数。

   

   注意

   这些说明用于计算每个 Azure API 管理服务的使用情况。 若要计算 Azure 订阅中所有 API 管理服务的预估流量使用情况，请将范围参数更改为 Azure 订阅中的每个 Azure API 管理服务，重新运行查询，并汇总查询结果。

如果无权运行指标查询，请联系内部 Azure API 管理管理员或 Microsoft 帐户管理员。

注意

启用 Defender for API 后，已载入的 API 最多需要 50 分钟才能显示在“建议”选项卡中。载入 40 分钟后，“工作负载保护”>“API 安全”仪表板会提供安全见解。

载入 API

1. 在 Defender for Cloud 门户中，选择“建议”。

2. 搜索 Defender for API。

3. 在“启用增强型安全功能”下，选择安全建议“应将 Azure API Management API 加入 Defender for API”：

   

4. 在“建议”页中，可以查看建议严重性、更新间隔、说明和修正步骤。

5. 查看范围内的资源以获取建议：

   • 运行不正常的资源：未加入 Defender for API 的资源。
   • 正常资源：已加入 Defender for API 的资源。
   • 不适用的资源：不适用于保护的 API 资源。

6. 在“运行不正常的资源”中，选择要使用 Defender for API 进行保护的 API。

7. 选择“修复”：

   

8. 在“修复资源”中，查看已选择的 API，然后选择“修复资源”：

   

9. 验证修正是否成功：

   

跟踪加入的 API 资源

载入 API 资源后，可以在 Defender for Cloud 门户 >“工作负载保护”>“API 安全”中跟踪资源的状态：

还可以导航到其他集合，以了解清单中可能存在哪些类型的见解或风险：

后续步骤

• 查看 API 威胁和安全状况。
• 调查 API 结果、建议和警报。