通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Defender for Cloud 启用高级 API 安全功能

适用于:开发人员 | 基本 | 基本 v2 | 标准 | 标准 v2 | 高级 | 高级 v2

Defender for APIMicrosoft Defender for Cloud 的功能,它为 Azure API 管理中管理的 API 提供完整的生命周期保护、检测和响应覆盖。 该服务使安全从业者能够深入了解其业务关键 API、了解其安全状况、确定漏洞修复的优先级,并在几分钟内检测活动运行时威胁。

注意

目前无法在工作区中使用此功能。

Defender for API 的功能包括:

  • 标识外部、未使用或未经身份验证的 API
  • 对接收或响应敏感数据的 API 进行分类
  • 应用配置建议来增强 API 和 API 管理实例的安全态势
  • 检测异常和可疑的 API 流量模式,以及利用 OWASP API 前十漏洞的行为
  • 确定威胁修正的优先级
  • 与 SIEM 系统和 Defender 云安全态势管理集成

本文介绍如何使用 Azure 门户从 API Management 实例启用 Defender for API,并查看对加入的 API 的安全建议和警报摘要。

计划限制

  • 目前,Defender for API 仅发现和分析 REST API。
  • Defender for API 当前不会载入通过 API 管理 自承载网关 公开的 API,也不会通过 API 管理 工作区进行管理。
  • 多区域部署的次要区域不支持某些基于机器学习的检测和安全见解(数据分类、身份验证检查、未使用和外部 API)。 Defender for API 依赖于本地数据管道来确保区域数据驻留并提高此类部署的性能。 

Prerequisites

  • Azure 订阅中至少有一个 API Management 实例。 Defender for APIs 在 Azure 订阅级别启用。
  • 一个或多个受支持的 API 已导入至 API 管理实例。
  • 用于启用 Defender for APIs 计划的角色分配。
  • 在要保护的相关 Azure 订阅、资源组或 API Management 实例上的参与者或所有者角色分配。

加入 Defender for API

将 API 加入到 Defender for API 的过程分为两步:为订阅启用 Defender for API 计划,然后在 API Management 实例中加入未受保护的 API。  

提示

还可以直接在 Defender for Cloud 界面中加入 Defender for API,此处提供了更多 API 安全见解和清单体验。

为订阅启用 Defender for APIs 计划

  1. 登录到门户,然后转到你的 API Management 实例。

  2. 在左窗格中的 “安全性”下,选择 Defender for Cloud

  3. 订阅(建议)上选择“启用 Defender”。

    显示如何在门户中启用 Defender for API 的屏幕截图。

  4. 在“Defender 计划”页上,选择“API”计划对应的“打开”

  5. 选择计划,选择“ 保存”,然后在页面顶部再次选择“ 保存 ”。

将未受保护的 API 加入 Defender for API

警告

将 API 载入 Defender for API 可以提高 API 管理实例的计算、内存和网络利用率,在极端情况下可能会导致 API 管理实例中断。 如果 API 管理实例以高利用率运行,则不要一次性载入所有 API。 在逐步引入 API 以便在监视您的实例利用情况(例如,使用 容量指标)的同时,并根据需要进行横向扩展时,请谨慎行事。

  1. 在门户中,回到你的 API Management 实例。

  2. 在左窗格中的 “安全性”下,选择 Defender for Cloud

  3. 在“建议”下,选择“Azure API Management API 应加入到 Defender for API”。

    门户中 Defender for API 建议的屏幕截图。

  4. 在“Azure API 管理 API 应加入 Defender for API”页面中,在“查看建议”列中,选择某个列出的 API 的“查看”按钮。

  5. 在生成的页面上,查看建议的详细信息:

    • 严重性
    • 安全结果的刷新间隔
    • 说明和修正步骤
    • 受影响的资源,分为正常(已加入到 Defender for API)、不正常(未加入)或不适用,以及来自 API Management 的关联元数据

    注意

    受影响的资源包括来自订阅下的所有 API Management 实例的 API 集合 (APIs)。

  6. 选择要加入 Defender for API 的 API。

  7. 选择 “修复”,然后选择“ 修复 x 资源”。

    显示如何在门户中载入不正常的 API 的屏幕截图。

  8. “通知 ”窗格中跟踪已载入资源的状态。

注意

载入 API 后,Defender for API 需要 30 分钟才能生成其第一个安全见解。 此后,安全见解每 30 分钟刷新一次。

查看安全覆盖范围

从 API 管理载入 API 后,Defender for API 接收用于生成安全见解并监视威胁的 API 流量。 Defender for API 会针对有风险和易受攻击的 API 生成安全建议。

通过在 API 管理实例的导航菜单中选择 Defender for Cloud ,可以查看已载入 API 的所有安全建议和警报的摘要:

  1. 请在门户中转到您的 API 管理实例。

  2. “安全性”下,在左窗格中选择 Defender for Cloud

  3. 查看建议和安全事件和警报

    门户中 API 安全见解的屏幕截图。

对于收到的安全警报,Defender for APIs 建议执行必要步骤,以进行所需的分析并验证与相关 API 相关的潜在漏洞或异常。 按照安全警报中的步骤修复 API 并将其恢复到正常状态。

从 Defender for API 登出受保护的 API

可以在门户中使用 Defender for Cloud 从 Defender for APIs 的保护中删除 API。 有关详细信息,请参阅管理 Defender for APIs 部署

相关内容

  • Last updated on