Habilite a postura de segurança da API com o Defender CSPM

O plano CSPM (Defender Cloud Security Posture Management) no Microsoft Defender for Cloud oferece uma visão completa de suas APIs no Gerenciamento de API do Azure, Aplicativos de Função e Aplicativos Lógicos. Ele ajuda você a melhorar a segurança da API, encontrando configurações incorretas e vulnerabilidades. Este artigo explica como habilitar o gerenciamento de postura de segurança da API em seu plano Defender CSPM e avaliar a segurança da API. O Defender CSPM integra APIs sem um agente e verifica regularmente se há riscos e exposição de dados confidenciais. Ele fornece insights de risco priorizados e mitigação por meio de análise de caminho de ataque de API e recomendações de segurança.

Nota

Os recursos de descoberta de API e postura de segurança no Microsoft Defender for Cloud agora também oferecem suporte a Aplicativos de Função e Aplicativos Lógicos. Esta funcionalidade está atualmente disponível na Pré-visualização.

Pré-requisitos

Leia sobre Melhorar sua postura de segurança da API.
Precisará de uma subscrição do Microsoft Azure. Se você não tiver uma, você pode se inscrever para uma assinatura gratuita.
Habilite o Defender for Cloud em sua assinatura do Azure.
Habilite o CSPM (Defender Cloud Security Posture Management) em sua assinatura do Azure.
O Proprietário da Assinatura deve habilitar o plano CSPM para acessar todos os recursos.
Verifique se as APIs que você deseja proteger estão implantadas no Gerenciamento de API do Azure, nos Aplicativos de Função ou nos Aplicativos Lógicos.

Suporte à nuvem e à região

O Gerenciamento de Postura de Segurança da API no Defender CSPM está disponível na nuvem comercial do Azure, nas seguintes regiões:

Ásia (Sudeste Asiático, Leste Asiático)
Austrália (Leste da Austrália, Sudeste da Austrália, Austrália Central, Austrália Central 2)
Brasil (Brasil Sul, Brasil Sudeste)
Canadá (Canadá Central, Leste do Canadá)
Europa (Europa Ocidental, Europa do Norte)
Índia (Índia Central, Sul da Índia, Índia Ocidental)
Japão (Leste do Japão, Oeste do Japão)
Reino Unido (Sul do Reino Unido, Oeste do Reino Unido)
EUA (Leste dos EUA, Leste dos EUA 2, Oeste dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Centro-Oeste dos EUA, Leste dos EUA 2 EUAP, Centro dos EUA EUAP)

Analise as informações mais recentes de suporte na nuvem para os planos e recursos do Defender for Cloud na matriz de suporte de nuvem.

Suporte de API

Característica	Suportado
Disponibilidade	Gerenciamento de API do Azure: Esse recurso está disponível nas camadas Premium, Standard, Basic e Developer do Gerenciamento de API do Azure. Não oferece suporte a APIs expostas usando o gateway auto-hospedado do Gerenciamento de API ou gerenciadas usando espaços de trabalho do Gerenciamento de API. Serviços de Aplicativo do Azure: As camadas de hospedagem do Aplicativo Azure Function com suporte incluem Premium, Elastic Premium, Dedicado (Serviço de Aplicativo) e Ambiente do Serviço de Aplicativo (ASE). Para os Aplicativos Lógicos do Azure, as camadas com suporte incluem Standard (Single-Tenant) e Ambiente do Serviço de Aplicativo (ASE). Não há suporte para Aplicativos de Função da camada de consumo, Aplicativos Lógicos da camada de consumo e Aplicativos Lógicos com suporte para Azure Arc.
Tipos de API	Suporte apenas para APIs REST.

Característica

Suportado

Disponibilidade

Gerenciamento de API do Azure: Esse recurso está disponível nas camadas Premium, Standard, Basic e Developer do Gerenciamento de API do Azure. Não oferece suporte a APIs expostas usando o gateway auto-hospedado do Gerenciamento de API ou gerenciadas usando espaços de trabalho do Gerenciamento de API.

Serviços de Aplicativo do Azure: As camadas de hospedagem do Aplicativo Azure Function com suporte incluem Premium, Elastic Premium, Dedicado (Serviço de Aplicativo) e Ambiente do Serviço de Aplicativo (ASE). Para os Aplicativos Lógicos do Azure, as camadas com suporte incluem Standard (Single-Tenant) e Ambiente do Serviço de Aplicativo (ASE). Não há suporte para Aplicativos de Função da camada de consumo, Aplicativos Lógicos da camada de consumo e Aplicativos Lógicos com suporte para Azure Arc.

Tipos de API

Suporte apenas para APIs REST.

Habilitar a extensão de gerenciamento de postura de segurança da API

Entre no portal do Azure.
Procure e selecione Microsoft Defender for Cloud.
Navegue até Configurações do ambiente.
Selecione a assinatura relevante no escopo.
Vá para o plano Defender CSPM e selecione Configurações.
Habilite o gerenciamento de postura de segurança da API.
Selecione Salvar.

Você verá uma mensagem de notificação confirmando que as configurações foram salvas com êxito. Depois de ativadas, as APIs começam a ser integradas e aparecem no seu Defender for Cloud Inventory em poucas horas.

Ver inventário da API

As APIs integradas ao plano Defender CSPM aparecem no painel de segurança da API em Proteção de carga de trabalho e Microsoft Defender for Cloud Inventory.

Navegue até a seção Segurança na nuvem do menu do Defender for Cloud e selecione Segurança da API em Proteções avançadas de carga de trabalho.
O painel mostra o número de APIs integradas, divididas por coleções de APIs, pontos de extremidade e serviços de Gerenciamento de API do Azure. Ele inclui um resumo das APIs integradas para cobertura de segurança de deteção de ameaças com o plano de proteção de carga de trabalho do Defender for APIs.
Para ver as APIs integradas ao plano Defender CSPM para proteção postural, aplique o filtro Plano Defender == Defender CSPM.
Analise detalhadamente a página de detalhes da coleção de API para revisar as descobertas de segurança para operações de API específicas. Eles são visíveis no painel de contexto lateral quando você seleciona uma operação de API de interesse.

Descobertas detalhadas do endpoint da API

Tipo de informações confidenciais: fornece detalhes sobre as informações confidenciais expostas em caminhos de URL de API, parâmetros de consulta, corpos de solicitação e corpos de resposta com base em tipos de dados suportados, juntamente com a fonte do tipo de informação encontrado.
Informações adicionais: No caso de corpos de resposta da API, isso mostra quais códigos de resposta HTTP continham informações confidenciais (como 2xx, 3xx, 4xx).

Analise as descobertas de postura de segurança da API juntamente com seu inventário de API na experiência do Microsoft Defender for Cloud Inventory.

Nota

A exposição de dados confidenciais não será verificada se a extensão de descoberta de dados confidenciais estiver desativada. Habilite a descoberta de dados confidenciais para procurar informações confidenciais em suas APIs. Essa configuração afeta apenas as APIs integradas ao plano CSPM do Defender. Se você tiver o plano de proteção de carga de trabalho do Defender for APIs habilitado nas mesmas APIs, elas ainda serão verificadas em busca de dados confidenciais.

Investigue as recomendações de segurança da API

Os pontos de extremidade de API são continuamente avaliados quanto a configurações incorretas e vulnerabilidades, incluindo falhas de autenticação e APIs inativas. As recomendações de segurança são geradas com fatores de risco associados, como exposição externa e riscos de sensibilidade de dados. A importância das recomendações de segurança é calculada com base nesses fatores de risco. Saiba mais sobre recomendações de segurança baseadas em risco.

Para investigar suas recomendações de postura de segurança da API:

Navegue até o menu principal do Defender for Cloud e selecione Recomendações.
Use a alternância Agrupar por título para organizar recomendações.
Aplique filtros para restringir as recomendações relacionadas à API. Filtre por Tipo de Recurso (por exemplo, Operação de Gerenciamento de API ou Ponto de Extremidade de API) ou filtre por Nome de Recomendação para direcionar problemas específicos de segurança da API.

Para explorar a lista completa de recomendações relacionadas à API, consulte a seção APIs no guia de referência de recomendações do Defender for Cloud.

Explore os riscos da API e corrija com a análise do caminho de ataque

O explorador de segurança na nuvem ajuda-o a identificar potenciais riscos de segurança no seu ambiente de nuvem consultando o gráfico de segurança na nuvem.

Entre no portal do Azure.
Navegue até Microsoft Defender for Cloud>Explorador de Segurança na Nuvem.
Use o modelo de consulta interno para identificar rapidamente APIs com insights de segurança.
Como alternativa, crie uma consulta personalizada com o Cloud Security Explorer para localizar riscos de API e ver pontos de extremidade de API conectados a computação de back-end ou armazenamentos de dados. Por exemplo, você pode ver pontos de extremidade de API roteando tráfego para máquinas virtuais com vulnerabilidades de código remoto.

A análise de caminhos de ataque no Defender for Cloud aborda problemas de segurança que representam ameaças imediatas aos seus aplicativos e ambientes de nuvem. Identifique e corrija caminhos de ataque liderados por API para lidar com os riscos de API mais críticos que podem ameaçar significativamente sua organização.

No menu do Defender for Cloud, vá para Análise de caminho de ataque.
Filtre por tipo de recurso Operação de Gerenciamento de API para investigar caminhos de ataque relacionados à API.
Veja as recomendações de segurança para seus pontos de extremidade de API no escopo e corrija as recomendações para proteger suas APIs de superfícies de ataque de alto risco.

Proteção de postura de segurança da API offboard

As APIs que fazem parte do plano Defender CSPM não podem ser desintegradas individualmente. Se você quiser desintegrar todas as APIs do plano Defender CSPM, vá para a página Configurações do plano Defender CSPM e desative a extensão de postura da API.

Monitore ameaças de API usando o Defender for APIs Workload Protection.

Feedback

Esta página foi útil?

Last updated on 2025-06-25