共用方式為

使用適用於 API 的 Defender 來保護您的 API

適用於雲端的 Microsoft Defender 提供完整 API 防護,涵蓋生命週期的保護、偵測與回應。

適用於 API 的 Defender 可協助您了解業務關鍵 API。 您可以調查並改善 API 安全性態勢、排定弱點修正的優先順序,以及快速偵測作用中的即時威脅。

本文說明如何在適用於雲端的 Defender 入口網站中啟用和上架適用於 API 的 Defender 方案。 或者,您也可以在 Azure 入口網站中的 API 管理執行個體內啟用適用於 API 的 Defender

深入了解 Microsoft Defender for Cloud 中的Microsoft Defender for APIs 方案。 深入了解API Defender

必要條件

啟用適用於 API 的 Defender 方案

選取方案時,請考慮下列幾點:

  • 適用於 API 的 Defender 只會保護已上線至適用於 API 的 Defender 的 API。 這表示您可以在訂用帳戶層級啟用方案,並藉由修正上線建議來完成上線的第二個步驟。
  • 適用於 API 的 Defender 有五個定價方案,每個方案都有不同的權利限制和每月費用。 計費會在訂用帳戶層級完成。
  • 計費會根據訂用帳戶當月監視的 API 流量總數,套用至整個訂用帳戶。
  • 每個月開始時 (每個計費週期),計入計費的 API 流量會重設為 0。
  • 超額會在 API 流量上計算,超過整個訂用帳戶當月每個方案選項的權利限制。

若要從 Microsoft Defender for Cloud 定價頁面選取您訂用帳戶的最佳方案。 您也可以 使用適用於雲端的 Defender 成本計算機來預估成本。 請遵循下列步驟來選擇符合您訂用帳戶 API 流量需求的方案:

  1. 登入入口網站,然後在適用於雲端的 Defender 中,選取 [環境設定]

  2. 選擇包含您要保護的受控 API 的訂用帳戶。

    顯示選取環境設定位置的螢幕擷取畫面。

  3. 在 API 方案的定價資料行底下,選取 [詳細資料]

    顯示選取 API 詳細資料位置的螢幕擷取畫面。

  4. 選取適合您訂用帳戶的方案。

  5. 選取儲存

根據歷程記錄 Azure API 管理 API 流量使用量選取最佳方案

您必須選取一個方案,授與訂用帳戶中 API 流量量的適當權利,以接收最理想的定價。 根據預設,訂用帳戶會選擇加入「方案 1」,如果您的訂用帳戶的 API 流量高於 1 百萬 API 呼叫權利,可能會導致非預期的超額。

若要估計 Azure API 管理中的每月 API 流量:

  1. 瀏覽至 Azure API 管理入口網站,然後選取 [監視] 功能表列項目下的 [計量]

    顯示選取計量位置的螢幕擷取畫面。

  2. 選取 [過去 30 天] 作為時間範圍。

  3. 選取並設定下列參數:

    1. 範圍:Azure API 管理服務名稱
    2. 計量命名空間:API 管理服務標準計量
    3. 計量 = 要求
    4. 彙總 = 總和

  4. 設定上述參數之後,查詢會自動執行,而過去 30 天的要求總數會出現在畫面底部。 在螢幕擷取畫面範例中,查詢會產生 414 個要求總數。

    顯示計量結果的螢幕擷取畫面。

    附註

    這些指示是用於計算每個 Azure API 管理服務的使用量。 若要計算 Azure 訂用帳戶內「所有」API 管理服務的估計流量使用量,請將「範圍」參數變更為 Azure 訂用帳戶內的每個 Azure API 管理服務、重新執行查詢,然後加總查詢結果。

如果您沒有執行計量查詢的存取權,請連絡內部 Azure API 管理系統管理員或 Microsoft 帳戶管理員。

附註

啟用適用於 API 的 Defender 之後,上架的 API 最多需要 50 分鐘才會出現在 [建議] 索引標籤。在上架 40 分鐘內,在 [工作負載保護]>[API 安全性]儀表板中即可提供安全性深入解析。

上線 API

  1. 在適用於雲端的 Defender 入口網站中,選取 [建議]

  2. 搜尋 [適用於 API 的 Defender]

  3. 在 [啟用增強式安全性功能] 下,選取 [Azure APIM API 應上架至適用於 API 的 Defender] 安全性建議:

    這是螢幕擷取畫面,顯示如何依據建議來啟用 API 防護方案。

  4. 在建議頁面中,您可以檢閱建議嚴重性、更新間隔、描述和補救步驟。

  5. 檢閱範圍中的資源以取得建議:

    • 狀況不良的資源:未上架至適用於 API 的 Defender 的資源。
    • 良好的資源:上架至適用於 API 的 Defender 的資源。
    • 不適用的資源:不適用於保護的 API 資源。

  6. 非健康資源 中,選取您想要用 API Defender 保護的 API。

  7. 選擇 修正:

    顯示開啟方案的建議詳細資料的螢幕擷取畫面。

  8. 在 [修正資源] 中,檢閱選取的 API,然後選取 [修正資源]

    顯示如何修正狀況不良資源的螢幕擷取畫面。

  9. 確認補救成功:

    確認補救成功的螢幕擷取畫面。

追蹤上線的 API 資源

將 API 資源上架之後,您可以在適用於雲端的 Defender 入口網站 > [工作負載保護]>[API 安全性] 中追蹤其狀態:

顯示如何追蹤已上線 API 資源的螢幕擷取畫面。

您也可以瀏覽至其他系列,以了解清單中可能存在哪些類型的見解或風險。

顯示 API 集合概觀的螢幕擷取畫面。

下一步