適用於雲端的 Microsoft Defender 提供完整 API 防護,涵蓋生命週期的保護、偵測與回應。
適用於 API 的 Defender 可協助您了解業務關鍵 API。 您可以調查並改善 API 安全性態勢、排定弱點修正的優先順序,以及快速偵測作用中的即時威脅。
本文說明如何在適用於雲端的 Defender 入口網站中啟用和上架適用於 API 的 Defender 方案。 或者,您也可以在 Azure 入口網站中的 API 管理執行個體內啟用適用於 API 的 Defender。
深入了解 Microsoft Defender for Cloud 中的Microsoft Defender for APIs 方案。 深入了解API Defender。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
在開始部署之前,請先檢閱 Defender 的 API 支援、權限和需求。
您可以在訂用帳戶層級啟用適用於 API 的 Defender。
確保要保護的 API 已在 Azure API 管理中發佈。 請依照這些指示設定 Azure API 管理。
您必須選取一個方案,授與訂用帳戶中 API 流量量的適當權利,以接收最理想的定價。 根據預設,訂用帳戶會選擇加入「方案 1」,如果您的訂用帳戶的 API 流量高於 1 百萬 API 呼叫權利,可能會導致非預期的超額。
啟用適用於 API 的 Defender 方案
選取方案時,請考慮下列幾點:
- 適用於 API 的 Defender 只會保護已上線至適用於 API 的 Defender 的 API。 這表示您可以在訂用帳戶層級啟用方案,並藉由修正上線建議來完成上線的第二個步驟。
- 適用於 API 的 Defender 有五個定價方案,每個方案都有不同的權利限制和每月費用。 計費會在訂用帳戶層級完成。
- 計費會根據訂用帳戶當月監視的 API 流量總數,套用至整個訂用帳戶。
- 每個月開始時 (每個計費週期),計入計費的 API 流量會重設為 0。
- 超額會在 API 流量上計算,超過整個訂用帳戶當月每個方案選項的權利限制。
若要從 Microsoft Defender for Cloud 定價頁面選取您訂用帳戶的最佳方案。 您也可以 使用適用於雲端的 Defender 成本計算機來預估成本。 請遵循下列步驟來選擇符合您訂用帳戶 API 流量需求的方案:
登入入口網站,然後在適用於雲端的 Defender 中,選取 [環境設定]。
選擇包含您要保護的受控 API 的訂用帳戶。
在 API 方案的定價資料行底下,選取 [詳細資料]。
選取適合您訂用帳戶的方案。
選取儲存。
根據歷程記錄 Azure API 管理 API 流量使用量選取最佳方案
您必須選取一個方案,授與訂用帳戶中 API 流量量的適當權利,以接收最理想的定價。 根據預設,訂用帳戶會選擇加入「方案 1」,如果您的訂用帳戶的 API 流量高於 1 百萬 API 呼叫權利,可能會導致非預期的超額。
若要估計 Azure API 管理中的每月 API 流量:
瀏覽至 Azure API 管理入口網站,然後選取 [監視] 功能表列項目下的 [計量]。
選取 [過去 30 天] 作為時間範圍。
選取並設定下列參數:
- 範圍:Azure API 管理服務名稱
- 計量命名空間:API 管理服務標準計量
- 計量 = 要求
- 彙總 = 總和
設定上述參數之後,查詢會自動執行,而過去 30 天的要求總數會出現在畫面底部。 在螢幕擷取畫面範例中,查詢會產生 414 個要求總數。
附註
這些指示是用於計算每個 Azure API 管理服務的使用量。 若要計算 Azure 訂用帳戶內「所有」API 管理服務的估計流量使用量,請將「範圍」參數變更為 Azure 訂用帳戶內的每個 Azure API 管理服務、重新執行查詢,然後加總查詢結果。
如果您沒有執行計量查詢的存取權,請連絡內部 Azure API 管理系統管理員或 Microsoft 帳戶管理員。
附註
啟用適用於 API 的 Defender 之後,上架的 API 最多需要 50 分鐘才會出現在 [建議] 索引標籤。在上架 40 分鐘內,在 [工作負載保護]>[API 安全性]儀表板中即可提供安全性深入解析。
上線 API
在適用於雲端的 Defender 入口網站中,選取 [建議]。
搜尋 [適用於 API 的 Defender]。
在 [啟用增強式安全性功能] 下,選取 [Azure APIM API 應上架至適用於 API 的 Defender] 安全性建議:
在建議頁面中,您可以檢閱建議嚴重性、更新間隔、描述和補救步驟。
檢閱範圍中的資源以取得建議:
- 狀況不良的資源:未上架至適用於 API 的 Defender 的資源。
- 良好的資源:上架至適用於 API 的 Defender 的資源。
- 不適用的資源:不適用於保護的 API 資源。
在 非健康資源 中,選取您想要用 API Defender 保護的 API。
選擇 修正:
在 [修正資源] 中,檢閱選取的 API,然後選取 [修正資源]:
確認補救成功:
追蹤上線的 API 資源
將 API 資源上架之後,您可以在適用於雲端的 Defender 入口網站 > [工作負載保護]>[API 安全性] 中追蹤其狀態:
您也可以瀏覽至其他系列,以了解清單中可能存在哪些類型的見解或風險。
下一步
- 檢閱 API 威脅和安全性態勢。
- 調查 API 結果、建議和警示。