你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

关于 Microsoft Defender for API

  • 项目

Microsoft Defender for API 是由 Microsoft Defender for Cloud 提供的一个计划,它为 API 提供完整的生命周期保护、检测和响应覆盖。

Defender for API 可帮助你了解业务关键型 API。 可以调查和改善 API 安全状况、确定漏洞修复的优先顺序,并快速检测活动实时威胁。

Defender for API 目前为 Azure API Management 中发布的 API 提供安全性。 Defender for API 可以在 Defender for Cloud 门户中加入,也可以在 Azure 门户的 API Management 实例中加入。

Defender for API 有哪些用途?

  • 库存:在单个仪表板中,获取所有托管 API 的聚合视图。
  • 安全检查结果:分析 API 安全检查结果,包括有关外部、未使用或未经身份验证的 API 的信息。
  • 安全状况:查看并实施安全建议,以改善 API 安全状况,并强化风险面。
  • API 数据分类:对接收或回复敏感数据的 API 进行分类,以支持风险的优先级排序。
  • 威胁检测:引入 API 流量并使用运行时异常情况检测对其进行监视,使用基于机器学习和规则的分析来检测 API 安全威胁(包括 OWASP API 前 10 大严重威胁)。
  • Defender CSPM 集成:与 Defender 云安全态势管理 (CSPM) 中的云安全图集成,以在整个组织中评估 API 可见性和风险。
  • Azure API Management 集成:启用 Defender for API 计划后,可以在 Azure API Management 门户中收到 API 安全建议和警报。
  • SIEM 集成:与安全信息和事件管理 (SIEM) 系统集成,使安全团队能够更轻松地使用现有威胁响应工作流进行调查。 了解详细信息

查看 API 安全检查结果

在 Defender for Cloud API 安全仪表板中查看已载入的 API 的库存和安全检查结果。 仪表板显示已载入设备的数量,并按 API 集合、终结点和 Azure API Management 服务进行细分:

屏幕截图显示载入的 API 库存。

可向下钻取 API 集合,查看加入的 API 终结点的安全检查结果:

屏幕截图用于查看 API 终结点详细信息。

API 终结点信息包括:

  • 终结点名称:Azure API Management 中定义的 API 终结点/操作的名称。
  • 终结点:API 终结点的 URL 路径和 HTTP 方法。 上次调用数据的时间 (UTC):上次观察到 API 流量进出 API 终结点的日期(UTC 时区)。
  • 30 天未使用:显示 API 终结点在过去 30 天内是否收到任何 API 调用流量。 过去 30 天内未收到任何流量的 API 将标记为“非活动”。
  • 身份验证:显示受监视的 API 终结点何时没有进行身份验证。 对于在 Azure API 管理中发布的 API,这会在需要订阅时验证针对 API 或产品的 Azure API 管理订阅密钥是否存在,并执行用于验证 JWT、客户端证书和 Microsoft Entra 令牌的策略,从而评估身份验证。 如果在 API 调用期间未执行任何这些身份验证机制,则 API 标记为“未经身份验证”
  • 观察到外部流量的日期:观察到外部 API 流量进入/传出 API 终结点的日期。
  • 数据分类:根据支持的数据类型对 API 请求和响应正文进行分类。

注意

载入 Defender for API 后未收到任何流量的 API 终结点会在 API 仪表板中显示“正在等待数据”状态。

调查 API 建议

使用建议来改善安全状况、强化 API 配置、识别严重 API 风险并按风险优先级缓解问题。

Defender for API 提供了许多建议,包括将 API 加入 Defender for API 计划、禁用和删除未使用的 API 等建议,以及有关安全性、身份验证和访问控制的最佳做法建议。

查看建议参考

检测威胁

Defender for API 监视运行时流量和威胁情报源,并发出威胁检测警报。 API 警报可检测前 10 大 OWASP API 威胁、数据外泄、容量攻击、异常和可疑 API 参数、流量和 IP 访问异常以及使用模式。

查看安全警报参考

响应威胁

根据警报采取行动来缓解威胁和风险。 Defender for Cloud 警报和建议可导出到 SIEM 系统(如 Microsoft Sentinel)中,以便在现有威胁响应工作流中进行调查,从而快速有效地进行修正。 在此了解更多信息。

调查云安全图见解

Defender CSPM 计划中的云安全图分析组织中的资产和连接,以揭露风险、漏洞和可能的横向移动路径。

将 Defender for API 与 Defender CSPM 计划一起启用后,可以使用云安全资源管理器主动高效地查询组织信息,以查找、识别和修正 API 资产、安全问题和风险:

显示云安全资源管理器的屏幕截图。

查询模板

有两个内置查询模板可用于识别有风险的 API 资产,只需单击一下即可使用它们进行搜索:

显示示例查询模板的屏幕截图。

后续步骤

查看 Defender for API 部署的支持和先决条件