Aktivieren des API-Sicherheitsstatus mit Defender CSPM

Der Defender Cloud Security Posture Management (CSPM)-Plan in Microsoft Defender für Cloud bietet Ihnen einen vollständigen Überblick über Ihre APIs in Azure API Management, Funktions-Apps und Logik-Apps. Er hilft Ihnen, die API-Sicherheit zu verbessern, indem Sie Fehlkonfigurationen und Sicherheitsrisiken aufdecken. In diesem Artikel wird erläutert, wie Sie die API-Sicherheitsstatusverwaltung in Ihrem Defender CSPM-Plan aktivieren und Ihre API-Sicherheit bewerten. Defender CSPM integriert APIs ohne Agent und führt regelmäßige Überprüfungen auf Risiken und die Offenlegung vertraulicher Daten durch. Der Dienst bietet priorisierte Risikoerkenntnisse und -entschärfung durch die Analyse von API-Angriffspfaden und Sicherheitsempfehlungen.

Hinweis

Api-Ermittlungs- und Sicherheitsstatusfunktionen in Microsoft Defender für Cloud unterstützen jetzt auch Funktions-Apps und Logik-Apps. Dieses Feature ist derzeit in der Vorschau verfügbar.

Voraussetzungen

Lesen Sie mehr über die Verbesserung Ihres API-Sicherheitsstatus.
Sie benötigen ein Microsoft Azure-Abonnement. Wenn Sie kein Abonnement haben, können Sie sich für ein kostenloses Abonnement registrieren.
Aktivieren Sie Defender für Cloud in Ihrem Azure-Abonnement.
Aktivieren Sie Defender Cloud Security Posture Management (CSPM) in Ihrem Azure-Abonnement.
Der Abonnementbesitzer muss den CSPM-Plan aktivieren, um auf alle Features zuzugreifen.
Stellen Sie sicher, dass die ZU schützenden APIs in Azure API Management, Funktions-Apps oder Logik-Apps bereitgestellt werden.

Cloud- und Regionsunterstützung

Api Security Posture Management in Defender CSPM ist in der kommerziellen Azure-Cloud in den folgenden Regionen verfügbar:

Asien (Asien, Südosten; Asien: Osten)
Australien (Australien, Osten; Australien, Südosten; Australien:Mitte; Australien, Mitte 2)
Brasilien (Brasilien, Süden; Brasilien, Südosten)
Kanada (Kanada, Mitte; Kanada, Osten)
Europa (Europa, Westen, Europa, Norden)
Indien (Indien, Mitte, Indien, Süden, Indien, Westen)
Japan (Japan, Osten; Japan, Westen)
Vereinigtes Königreich (Vereinigtes Königreich, Süden; Vereinigtes Königreich, Westen)
USA (USA, Osten; USA, Osten 2; USA, Westen; USA, Westen 2; USA, Westen 3; USA, Mitte; USA, Norden-Mitte; USA, Süden-Mitte; USA, Westen-Mitte; USA, Osten 2 EUAP; USA, Mitte EUAP)

Lesen Sie die neuesten Cloudunterstützungsinformationen für Defender for Cloud-Pläne und -Features in der Cloudunterstützungsmatrix.

API-Unterstützung

Funktion	Unterstützt
Verfügbarkeit	Azure API-Verwaltung: Dieses Feature ist in den Stufen Premium, Standard, Basic und Entwickler von Azure API Management verfügbar. Unterstützt keine APIs, die über das selbst gehostete API-Gateway bereitgestellt oder über API Management Arbeitsbereiche verwaltet werden. Azure App Services: Die unterstützten Hostingebenen für Azure Functions-Apps umfassen Premium, Elastic Premium, Dedicated (App Service) und App Service Environment (ASE). Für Azure Logic Apps umfassen unterstützte Ebenen Standard (Single-Tenant) und App Service Environment (ASE). Verbrauchsebenen-Funktions-Apps, Verbrauchsebenenlogik-Apps und Azure Arc-fähige Logik-Apps werden nicht unterstützt.
API-Typen	Unterstützung nur für REST-APIs.

Funktion

Unterstützt

Verfügbarkeit

Azure API-Verwaltung: Dieses Feature ist in den Stufen Premium, Standard, Basic und Entwickler von Azure API Management verfügbar. Unterstützt keine APIs, die über das selbst gehostete API-Gateway bereitgestellt oder über API Management Arbeitsbereiche verwaltet werden.

Azure App Services: Die unterstützten Hostingebenen für Azure Functions-Apps umfassen Premium, Elastic Premium, Dedicated (App Service) und App Service Environment (ASE). Für Azure Logic Apps umfassen unterstützte Ebenen Standard (Single-Tenant) und App Service Environment (ASE). Verbrauchsebenen-Funktions-Apps, Verbrauchsebenenlogik-Apps und Azure Arc-fähige Logik-Apps werden nicht unterstützt.

API-Typen

Unterstützung nur für REST-APIs.

Aktivieren der Erweiterung für die API-Sicherheitsstatusverwaltung

Melden Sie sich beim Azure-Portal an.
Suchen und wählen Sie Microsoft Defender für die Cloud aus.
Navigieren Sie zu Den Umgebungseinstellungen.
Wählen Sie das relevante Abonnement im Geltungsbereich aus.
Wechseln Sie zum Defender CSPM-Plan, und wählen Sie "Einstellungen" aus.
Aktivieren Sie die API-Sicherheitsstatusverwaltung.
Wählen Sie "Speichern" aus.

Es wird eine Bestätigungsbenachrichtigung angezeigt, dass die Einstellungen erfolgreich gespeichert wurden. Nach der Aktivierung beginnt das Onboarding der APIs, die innerhalb weniger Stunden in Ihrem Defender for Cloud-Bestand angezeigt werden.

Anzeigen des API-Bestands

APIs, die in den Defender CSPM-Plan integriert sind, werden im API-Sicherheitsdashboard unter Workloadschutz und Microsoft Defender for Cloud Inventory angezeigt.

Navigieren Sie zum Abschnitt "Cloud Security" im Menü "Defender für Cloud", und wählen Sie "API-Sicherheit " unter "Erweiterter Workloadschutz" aus.
Auf dem Dashboard wird die Anzahl eingebundener APIs angezeigt, aufgeschlüsselt nach API-Sammlungen, Endpunkten und Azure API Management-Diensten. Es enthält eine Zusammenfassung der APIs, die für Sicherheit durch Bedrohungserkennung mit dem Defender für APIs-Plan zum Workloadschutz integriert wurden.
Um APIs anzuzeigen, die in den Defender CSPM-Plan für den Haltungsschutz integriert sind, wenden Sie den Filter Defender-Plan an == Defender CSPM.
Führen Sie einen Drilldown zur Seite mit den API-Sammlungsdetails durch, um Sicherheitsergebnisse für bestimmte API-Vorgänge zu überprüfen. Diese werden im Kontextbereich an der Seite angezeigt, nachdem Sie den gewünschten API-Vorgang ausgewählt haben.

Detaillierte Erkenntnisse zu API-Endpunkten

Vertraulicher Informationstyp: Stellt Details zu den vertraulichen Informationen bereit, die in API-URL-Pfaden, Abfrageparametern, Anforderungstexten und Antworttexten basierend auf unterstützten Datentypen verfügbar gemacht werden, sowie die Quelle des gefundenen Informationstyps.
Zusätzliche Informationen: Im Fall von API-Antworttexten zeigt dies, welche HTTP-Antwortcodes vertrauliche Informationen enthielten (z. B. 2xx, 3xx, 4xx).

Überprüfen Sie die Erkenntnisse zum API-Sicherheitsstatus zusammen mit Ihrem API-Bestand auf der Benutzeroberfläche des Microsoft Defender for Cloud-Bestands.

Hinweis

Die Offenlegung vertraulicher Daten wird nicht überprüft, wenn die Erweiterung für die Ermittlung vertraulicher Daten deaktiviert ist. Aktivieren Sie die Ermittlung vertraulicher Daten, um in Ihren APIs nach vertraulichen Informationen zu suchen. Diese Einstellung wirkt sich nur auf APIs aus, die in den Defender CSPM-Plan integriert sind. Wenn Sie den Defender für APIs-Workloadschutzplan für dieselben APIs aktiviert haben, werden sie weiterhin auf vertrauliche Daten überprüft.

Untersuchen von API-Sicherheitsempfehlungen

API-Endpunkte werden kontinuierlich auf Fehlkonfigurationen und Sicherheitsrisiken überprüft, zu denen auch Authentifizierungsfehler und inaktiven APIs gehören. Sicherheitsempfehlungen werden mit den damit verbundenen Risikofaktoren wie dem der externen Offenlegung und der Vertraulichkeit von Daten generiert. Der Schweregrad der Sicherheitsempfehlungen wird basierend auf diesen Risikofaktoren berechnet. Erfahren Sie mehr über risikobasierte Sicherheitsempfehlungen.

So untersuchen Sie Ihre API-Sicherheitsstatusempfehlungen

Navigieren Sie zum Defender für Cloud-Hauptmenü, und wählen Sie "Empfehlungen" aus.
Verwenden Sie die Umschaltfläche " Nach Titel gruppieren ", um Empfehlungen zu organisieren.
Wenden Sie Filter an, um API-bezogene Empfehlungen einzugrenzen. Filtern Sie nach Ressourcentyp (z. B. API-Verwaltungsvorgang oder API-Endpunkt) oder filtern Sie nach Empfehlungsname , um bestimmte API-Sicherheitsprobleme abzuzielen.

Die vollständige Liste der API-bezogenen Empfehlungen finden Sie im Abschnitt "APIs" im Referenzhandbuch zu Defender for Cloud-Empfehlungen.

Erkunden von API-Risiken und -Korrekturen mit der Analyse des Angriffspfads

Der Cloud-Sicherheits-Explorer hilft Ihnen, potenzielle Sicherheitsrisiken in Ihrer Cloudumgebung zu identifizieren, indem Sie das Cloudsicherheitsdiagramm abfragen.

Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Microsoft Defender für Cloud>Cloud-Sicherheitsexplorer.
Verwenden Sie die integrierte Abfragevorlage, um APIs mit Sicherheitserkenntnissen schnell zu identifizieren.
Erstellen Sie alternativ eine benutzerdefinierte Abfrage mit Cloud Security Explorer , um API-Risiken zu finden und API-Endpunkte anzuzeigen, die mit dem Back-End-Compute oder Datenspeicher verbunden sind. So können Sie beispielsweise API-Endpunkte anzeigen, die Datenverkehr an VMs mit einem Sicherheitsrisiko für Remotecodeausführungen weiterleiten.

Die Angriffspfadanalyse in Defender for Cloud betrifft Sicherheitsprobleme, die eine direkte Bedrohung für Ihre Cloudanwendungen und -umgebungen darstellen. Identifizieren und beheben Sie API-geführte Angriffspfade , um Ihre kritischsten API-Risiken zu beheben, die Ihre Organisation erheblich gefährden können.

Wechseln Sie im Defender für Cloud-Menü zur Analyse des Angriffspfads.
Filtern Sie nach API-Verwaltungsvorgang des Ressourcentyps, um API-bezogene Angriffspfade zu untersuchen.
Zeigen Sie die Sicherheitsempfehlungen für Ihre API-Endpunkte im Geltungsbereich an, und wenden Sie die Empfehlungen an, um APIs mit Angriffsflächen mit einem hohen Risiko zu schützen.

Offboarding des API-Sicherheitsstatusschutzes durchführen

Für APIs im Defender CSPM-Plan ist kein separates Offboarding möglich. Wenn Sie alle APIs aus dem Defender CSPM-Plan entfernen möchten, wechseln Sie zur Einstellungsseite für den Defender CSPM-Plan, und deaktivieren Sie die API-Statuserweiterung.

Überwachen sie auf API-Bedrohungen mithilfe von Defender für APIs Workload Protection.

Feedback

War diese Seite hilfreich?

Last updated on 2025-07-21