使用適用於 API 的 Defender 來保護您的 API

適用於雲端的 Microsoft Defender 中的適用於 API 的 Defender 可提供完整生命週期保護、偵測和回應含蓋範圍。

適用於 API 的 Defender 可協助您了解業務關鍵 API。 您可以調查並改善 API 安全性態勢、排定弱點修正的優先順序，以及快速偵測作用中的即時威脅。

本文說明如何在適用於雲端的 Defender 入口網站中啟用和上架適用於 API 的 Defender 方案。 或者，您也可以在 Azure 入口網站中的 API 管理執行個體內啟用適用於 API 的 Defender。

深入了解適用於雲端的 Microsoft Defender 中的適用於 API 的 Microsoft Defender 方案。 深入了解適用於 API 的 Defender。

必要條件

• 您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，您可以註冊免費訂用帳戶。

• 您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。

• 在開始部署之前，請先檢閱 Defender 的 API 支援、權限和需求。

• 您可以在訂用帳戶層級啟用適用於 API 的 Defender。

• 確保要保護的 API 已在 Azure API 管理中發佈。 請依照這些指示設定 Azure API 管理。

• 您必須選取一個方案，授與訂用帳戶中 API 流量量的適當權利，以接收最理想的定價。 根據預設，訂用帳戶會選擇加入「方案 1」，如果您的訂用帳戶的 API 流量高於 1 百萬 API 呼叫權利，可能會導致非預期的超額。

啟用適用於 API 的 Defender 方案

選取方案時，請考慮下列幾點：

• 適用於 API 的 Defender 只會保護已上線至適用於 API 的 Defender 的 API。 這表示您可以在訂用帳戶層級啟用方案，並藉由修正上線建議來完成上線的第二個步驟。 如需上線的詳細資訊，請參閱上線指南。
• 適用於 API 的 Defender 有五個定價方案，每個方案都有不同的權利限制和每月費用。 計費會在訂用帳戶層級完成。
• 計費會根據訂用帳戶當月監視的 API 流量總數，套用至整個訂用帳戶。
• 每個月開始時 (每個計費週期)，計入計費的 API 流量會重設為 0。
• 超額會在 API 流量上計算，超過整個訂用帳戶當月每個方案選項的權利限制。

若要從適用於雲端的 Microsoft Defender 定價頁面選取您訂用帳戶的最佳方案，請遵循下列步驟，選擇符合訂用帳戶 API 流量需求的方案：

1. 登入入口網站，然後在適用於雲端的 Defender 中，選取 [環境設定]。

2. 選取您要保護且包含受控 IP 的訂用帳戶。

   

3. 在 API 方案的定價資料行底下，選取 [詳細資料]。

   

4. 選取適合您訂用帳戶的方案。

5. 選取 [儲存]。

根據過去的 Azure API 管理 API 流量使用量選取最佳方案

您必須選取一個方案，授與訂用帳戶中 API 流量量的適當權利，以接收最理想的定價。 根據預設，訂用帳戶會選擇加入「方案 1」，如果您的訂用帳戶的 API 流量高於 1 百萬 API 呼叫權利，可能會導致非預期的超額。

若要估計 Azure API 管理中的每月 API 流量：

1. 瀏覽至 Azure API 管理入口網站，然後選取 [監視] 功能表列項目下的 [計量]。

   

2. 選取 [過去 30 天] 作為時間範圍。

3. 選取並設定下列參數：

   1. 範圍：Azure API 管理服務名稱
   2. 計量命名空間：API 管理服務標準計量
   3. 計量 = 要求
   4. 彙總 = 總和

4. 設定上述參數之後，查詢會自動執行，而過去 30 天的要求總數會出現在畫面底部。 在螢幕擷取畫面範例中，查詢會產生 414 個要求總數。

   

   注意

   這些指示是用於計算每個 Azure API 管理服務的使用量。 若要計算 Azure 訂用帳戶內「所有」API 管理服務的估計流量使用量，請將「範圍」參數變更為 Azure 訂用帳戶內的每個 Azure API 管理服務、重新執行查詢，然後加總查詢結果。

如果您沒有執行計量查詢的存取權，請連絡內部 Azure API 管理系統管理員或 Microsoft 帳戶管理員。

注意

啟用適用於 API 的 Defender 之後，上架的 API 最多需要 50 分鐘才會出現在 [建議] 索引標籤。在上架 40 分鐘內，在 [工作負載保護]>[API 安全性]儀表板中即可提供安全性深入解析。

上線 API

1. 在適用於雲端的 Defender 入口網站中，選取 [建議]。

2. 搜尋 [適用於 API 的 Defender]。

3. 在 [啟用增強式安全性功能] 下，選取 [Azure APIM API 應上架至適用於 API 的 Defender] 安全性建議：

   

4. 在建議頁面中，您可以檢閱建議嚴重性、更新間隔、描述和補救步驟。

5. 檢閱範圍中的資源以取得建議：

   • 狀況不良的資源：未上架至適用於 API 的 Defender 的資源。
   • 良好的資源：上架至適用於 API 的 Defender 的資源。
   • 不適用的資源：不適用於保護的 API 資源。

6. 在 [狀況不良的資源] 中，選取您想要使用適用於 API 的 Defender 保護的 API。

7. 選取 [修正]：

   

8. 在 [修正資源] 中，檢閱選取的 API，然後選取 [修正資源]：

   

9. 確認補救成功：

   

追蹤上線的 API 資源

將 API 資源上架之後，您可以在適用於雲端的 Defender 入口網站 > [工作負載保護]>[API 安全性] 中追蹤其狀態：

您也可以瀏覽至其他集合，以了解詳細目錄中可能存在哪些類型的深入解析或風險：

下一步

• 檢閱 API 威脅和安全性態勢。
• 調查 API 結果、建議和警示。