Habilitar a postura de segurança de API com o CSPM do Defender

O plano do gerenciamento da postura de segurança na nuvem (GPSN) do Defender no Microsoft Defender para Nuvem oferece uma visão completa das APIs no Gerenciamento de API do Azure, Aplicativos de Funções e Aplicativos Lógicos. Ele ajuda você a melhorar a segurança da API encontrando configurações e vulnerabilidades incorretas. Este artigo explica como habilitar o gerenciamento de postura de segurança da API em seu plano do Defender CSPM e avaliar a segurança da API. O GPSN do Defender integra APIs sem um agente e verifica regularmente se há riscos e exposição de dados confidenciais. Ele fornece insights de risco priorizados e mitigação por meio da análise do caminho de ataque da API e das recomendações de segurança.

Observação

Agora, os recursos de descoberta de API e postura de segurança no Microsoft Defender para Nuvem também dão suporte a Aplicativos de Funções e Aplicativos Lógicos. Esse recurso está disponível no momento na Versão Prévia.

Pré-requisitos

Leia sobre como melhorar sua postura de segurança de API.
Você precisa de uma assinatura do Microsoft Azure. Se não tiver uma, você poderá inscrever-se para obter uma assinatura gratuita.
Habilitar o Defender para Nuvem em sua assinatura do Azure.
Habilite o CSPM (gerenciamento da postura de segurança na nuvem) do Defender em sua assinatura do Azure.
O Proprietário da Assinatura deve habilitar o plano do GPSN para acessar todos os recursos.
Verifique se as APIs que você deseja proteger estão implantadas no Gerenciamento de API do Azure, aplicativos de funções ou aplicativos lógicos.

Suporte à nuvem e região

O Gerenciamento de Postura de Segurança de API no Defender CSPM está disponível na nuvem comercial do Azure, nas seguintes regiões:

Ásia (Sudeste Asiático, EastAsia)
Austrália (Leste da Austrália, Sudeste da Austrália, Austrália Central, Austrália Central 2)
Brasil (Sul do Brasil, Sudeste do Brasil)
Canadá (Canadá Central, Leste do Canadá)
Europa (Oeste da Europa, Norte da Europa)
Índia (Índia Central, Sul da Índia, Oeste da Índia)
Japão (Leste do Japão, Oeste do Japão)
Reino Unido (Sul do Reino Unido, Oeste do Reino Unido)
EUA (Leste dos EUA, Leste dos EUA 2, Oeste dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, EUA Central, Centro-Norte dos EUA, Centro-Sul dos EUA, Centro-Oeste dos EUA, Leste dos EUA 2 EUAP, EUA Central EUAP)

Revisar as informações mais recentes de suporte à nuvem para os planos e recursos do Defender para Nuvem na matriz de suporte à nuvem.

Suporte de API

Característica	Supported
Disponibilidade	Gerenciamento de API do Azure: Esse recurso está disponível nas camadas Premium, Standard, Basic e Developer do Gerenciamento de API do Azure. Não dá suporte a APIs expostas usando o gateway auto-hospedado do Gerenciamento de API ou gerenciadas usando espaços de trabalho do Gerenciamento de API. Serviços de Aplicativo do Azure: As camadas de hospedagem do Aplicativo de Funções do Azure com suporte incluem Premium, Elastic Premium, Dedicado (Serviço de Aplicativo) e Ambiente do Serviço de Aplicativo (ASE). Para Aplicativos Lógicos do Azure, as camadas com suporte incluem Standard (Locatário único) e Ambiente do Serviço de Aplicativo (ASE). Aplicativos de funções da camada de consumo, Aplicativos Lógicos da camada de consumo e Aplicativos Lógicos habilitados para Azure Arc não têm suporte.
Tipos de API	Suporte somente para APIs REST.

Característica

Supported

Disponibilidade

Gerenciamento de API do Azure: Esse recurso está disponível nas camadas Premium, Standard, Basic e Developer do Gerenciamento de API do Azure. Não dá suporte a APIs expostas usando o gateway auto-hospedado do Gerenciamento de API ou gerenciadas usando espaços de trabalho do Gerenciamento de API.

Serviços de Aplicativo do Azure: As camadas de hospedagem do Aplicativo de Funções do Azure com suporte incluem Premium, Elastic Premium, Dedicado (Serviço de Aplicativo) e Ambiente do Serviço de Aplicativo (ASE). Para Aplicativos Lógicos do Azure, as camadas com suporte incluem Standard (Locatário único) e Ambiente do Serviço de Aplicativo (ASE). Aplicativos de funções da camada de consumo, Aplicativos Lógicos da camada de consumo e Aplicativos Lógicos habilitados para Azure Arc não têm suporte.

Tipos de API

Suporte somente para APIs REST.

Habilitar a extensão de gerenciamento da postura de segurança da API

Entre no Portal do Azure.
Pesquise e selecione Microsoft Defender para Nuvem.
Navegue até as Configurações de ambiente.
Selecione a assinatura relevante no escopo.
Acesse o plano de GPSN do Defender e selecione Configurações.
Habilitar o gerenciamento de postura de segurança da API.
Clique em Salvar.

Você verá uma mensagem de notificação confirmando que as configurações foram salvas com êxito. Após a habilitação, as APIs iniciam a integração e aparecem no seu Inventário do Defender para Nuvem em poucas horas.

Exibir inventário de APIs

As APIs integradas ao plano GPSN do Defender aparecem no painel de segurança da API na Proteção de cargas de trabalho e no Inventário do Microsoft Defender para Nuvem.

Navegue até a seção Segurança da Nuvem no menu do Defender para Nuvem e selecione Segurança de API em Proteções de cargas de trabalho avançadas.
O painel mostra o número de APIs integradas, divididas por coleções de API, pontos de extremidade e serviços de Gerenciamento de API do Azure. Ele inclui um resumo das APIs integradas para cobertura de segurança de detecção de ameaças com o plano de proteções de cargas de trabalho do Defender para APIs.
Para ver as APIs integradas ao plano GPSN do Defender para proteção de postura, aplique o filtro Plano do Defender == GPSN do Defender.
Faça uma busca detalhada na página Detalhes da coleção de API para examinar as descobertas de segurança para operações de API específicas. Elas ficam visíveis no painel de contexto lateral ao selecionar uma operação de API de interesse.

Descobertas detalhadas do ponto de extremidade da API

Tipo de informação confidencial: fornece detalhes sobre as informações confidenciais expostas em caminhos de URL de API, parâmetros de consulta, corpos de solicitação e corpos de resposta com base nos tipos de dados com suporte, juntamente com a fonte do tipo de informação encontrada.
Informações adicionais: no caso de corpos de resposta de API, isso mostra quais códigos de resposta HTTP continham informações confidenciais (como 2xx, 3xx, 4xx).

Examine os resultados da postura de segurança da API juntamente com seu inventário de API na experiência de Inventário do Microsoft Defender para Nuvem.

Observação

A exposição de dados confidenciais não será verificada se a extensão de descoberta de dados confidenciais estiver desativada. Habilite a descoberta de dados confidenciais para verificar informações confidenciais em suas APIs. Essa configuração afeta apenas as APIs integradas ao plano do Defender CSPM. Se você tiver o plano de proteção de carga de trabalho do Defender para APIs habilitado nas mesmas APIs, eles ainda serão verificados em busca de dados confidenciais.

Investigar recomendações de segurança de API

Os pontos de extremidade de API são avaliados continuamente quanto a configurações incorretas e vulnerabilidades, incluindo falhas de autenticação e APIs inativas. As recomendações de segurança são geradas com fatores de risco associados, como exposição externa e riscos à confidencialidade de dados. A importância das recomendações de segurança é calculada com base nesses fatores de risco. Saiba mais sobre recomendações de segurança baseadas em risco.

Para investigar suas recomendações de postura de segurança de API:

Navegue até o menu principal do Defender para Nuvem e selecione Recomendações.
Use a alternância Grupo por Título para organizar recomendações.
Aplique filtros para restringir as recomendações relacionadas à API. Filtre por Tipo de Recurso (por exemplo, Operação de Gerenciamento de API ou Ponto de Extremidade de API) ou filtre pelo Nome da Recomendação para direcionar problemas específicos de segurança da API.

Para explorar a lista completa de recomendações relacionadas à API, consulte a seção APIs no guia de referência de recomendação do Defender para Nuvem.

Explorar os riscos da API e corrigir com a análise do caminho de ataque

O Cloud Security Explorer ajuda você a identificar possíveis riscos à segurança em seu ambiente de nuvem consultando o gráfico de segurança da nuvem.

Entre no Portal do Azure.
Navegue até Microsoft Defender para Nuvem>Cloud Security Explorer.
Use o modelo de consulta interno para identificar rapidamente as APIs com insights de segurança.
Como alternativa, crie uma consulta personalizada com o Cloud Security Explorer para encontrar riscos de API e ver pontos de extremidade de API conectados a armazenamentos de dados ou computação de back-end. Por exemplo, você poderá ver pontos de extremidade de API roteando o tráfego para máquinas virtuais com vulnerabilidades de código remoto.

A análise do caminho de ataque no Defender para Nuvem aborda problemas de segurança que representam ameaças imediatas aos seus aplicativos e ambientes de nuvem. Identifique e corrija caminhos de ataque liderados por API para abordar os riscos mais críticos de API que podem ameaçar significativamente sua organização.

No menu Defender para Nuvem, acesse a Análise de caminho de ataque.
Filtre pelo tipo de recurso Operação de Gerenciamento de API para investigar caminhos de ataque relacionados à API.
Exiba as recomendações de segurança para seus pontos de extremidade de API no escopo e corrija-as para proteger suas APIs contra superfícies de ataque de alto risco.

Remover a proteção de postura de segurança de API

As APIs que fazem parte do plano GPSN do Defender não podem ser removidas individualmente. Caso queira remover todas as APIs do plano GPSN do Defender, acesse a página Configurações do Plano GPSN do Defender e desabilite a extensão da postura de API.

Monitore as ameaças de API usando a Proteção de Cargas de Trabalho do Defender para APIs.

Comentários

Esta página foi útil?

Last updated on 2025-07-23