使用適用於 API 的 Defender 保護您的 API
適用於雲端的 Microsoft Defender 中適用於 API 的 Defender 提供 API 的完整生命週期保護、偵測和響應涵蓋範圍。
適用於 API 的 Defender 可協助您了解業務關鍵 API。 您可以調查並改善 API 安全性狀態、排定弱點修正的優先順序,以及快速偵測作用中的實時威脅。
本文說明如何在 適用於雲端的 Defender 入口網站中啟用和上線適用於 API 的 Defender 方案。 或者,您可以在 Azure 入口網站 的 API 管理 實例內啟用適用於 API 的 Defender。
在 適用於雲端的 Microsoft Defender 中深入瞭解適用於 API 的 Microsoft Defender 方案。 深入瞭解 適用於 API 的 Defender。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
在開始部署之前,請先檢閱 Defender 的 API 支援、權限和需求。
您可以在訂用帳戶層級啟用適用於 API 的 Defender。
確保要保護的 API 已在 Azure API 管理中發佈。 請依照這些指示設定 Azure API 管理。
您必須選取一個方案,授與訂用帳戶中 API 流量量適用的權利,以接收最理想的定價。 根據預設,訂用帳戶會選擇加入「方案 1」,如果您的訂用帳戶的 API 流量高於 100 萬個 API 呼叫權利,可能會導致非預期的超額。
啟用適用於 API 的 Defender 方案
選取方案時,請考慮下列幾點:
- 適用於 API 的 Defender 只會保護已上線至適用於 API 的 Defender 的 API。 這表示您可以在訂用帳戶層級啟用方案,並藉由修正上線建議來完成上架的第二個步驟。 如需上架的詳細資訊,請參閱 上線指南。
- 適用於 API 的 Defender 有五個定價方案,每個方案都有不同的權利限制和每月費用。 計費會在訂用帳戶層級完成。
- 計費會根據訂用帳戶當月監視的 API 流量總數,套用至整個訂用帳戶。
- 每個月開始時,計入計費的 API 流量會重設為 0(每個計費週期)。
- 超額會在 API 流量上計算,超過整個訂用帳戶當月每個方案選取的權利限制。
若要從 [適用於雲端的 Microsoft Defender 定價] 頁面選取您訂用帳戶的最佳方案,請遵循下列步驟,然後選擇符合您訂用帳戶 API 流量需求的方案:
登入入口網站,然後在 [適用於雲端的 Defender] 中,選取 [環境設定]。
選取包含您想要保護之受控 API 的訂用帳戶。
![顯示選取 [環境設定] 位置的螢幕快照。](media/defender-for-apis-entitlement-plans/select-environment-settings.png)
在 API 方案的定價數據行底下,選取 [詳細 數據]。
選取適合您訂用帳戶的方案。
選取 [儲存]。
![顯示選取 [環境設定] 位置的螢幕快照。](media/defender-for-apis-entitlement-plans/select-environment-settings.png#lightbox)
根據歷程記錄 Azure API 管理 API 流量使用量選取最佳方案
您必須選取一個方案,授與訂用帳戶中 API 流量量適用的權利,以接收最理想的定價。 根據預設,訂用帳戶會選擇加入 方案 1,如果您的訂用帳戶的 API 流量高於 一百萬 API 呼叫權利,可能會導致非預期的超額。
若要估計 Azure 中的每月 API 流量 API 管理:
流覽至 Azure API 管理 入口網站,然後選取 [監視] 功能表欄專案下的 [計量]。
選取 [過去 30 天] 的時間範圍。
選取並設定下列參數:
- 範圍:Azure API 管理 服務名稱
- 計量命名空間:API 管理 服務標準計量
- 計量 = 要求
- 匯總 = 總和
設定上述參數之後,查詢會自動執行,而過去 30 天的要求總數會出現在畫面底部。 在螢幕快照範例中,查詢會產生 414 個要求總數。
注意
這些指示用於計算每個 Azure API 管理服務的使用量。 若要計算 Azure 訂用帳戶內所有 API 管理服務的估計流量使用量,請將 Scope 參數變更為 Azure 訂用帳戶內的每個 Azure API 管理服務、重新執行查詢,以及加總查詢結果。
如果您沒有執行計量查詢的存取權,請連絡內部 Azure API 管理 系統管理員或 Microsoft 帳戶管理員。
注意
啟用適用於 API 的 Defender 之後,上線 API 最多需要 50 分鐘才會出現在 [建議] 索引標籤中。在上線 40 分鐘內,工作負載保護>API 安全性儀錶板中提供安全性見解。
上線 API
在 適用於雲端的 Defender 入口網站中,選取 [建議]。
搜尋 適用於 API 的 Defender。
在 [啟用增強式安全性功能] 下,選取 Azure API 管理 API 應上線至適用於 API 的 Defender 的安全性建議:
在建議頁面中,您可以檢閱建議嚴重性、更新間隔、描述和補救步驟。
檢閱範圍中的資源以取得建議:
- 狀況不良的資源:未上線至適用於 API 的 Defender 的資源。
- 狀況良好的資源:已上線至適用於 API 的 Defender 的 API 資源。
- 不適用的資源:不適用於保護的 API 資源。
在 [狀況不良的資源 ] 中,選取您想要使用適用於 API 的 Defender 保護的 API。
選取 [修正]:
在 [修正資源] 中檢閱選取的 API,然後選取 [修正資源]:
確認補救成功:
追蹤上線的 API 資源
將 API 資源上線之後,您可以在 適用於雲端的 Defender 入口網站>工作負載保護> API 安全性中追蹤其狀態:
您也可以瀏覽至其他集合,以瞭解清查中可能存在哪些類型的深入解析或風險:
下一步
- 檢閱 API 威脅和安全性狀態。
- 調查 API 結果、建議和警示。