適用於雲端的 Defender Microsoft Defender 中的 Defender 雲端安全性狀態管理 (CSPM) 方案可讓您完整檢視 Azure API 管理、函式應用程式和 Logic Apps 中的 API。 其可協助您找出錯誤設定與弱點,進而提升 API 安全性。 本文說明如何在 Defender CSPM 方案中啟用 API 安全性狀態管理,並評估 API 安全性。 Defender CSPM 可在無需代理程式的情況下上線 API,並定期檢查風險與敏感性資料的暴露風險。 它會透過 API 攻擊路徑分析與安全性建議,提供已順位的風險見解與風險降低。
附註
適用於雲端的 Microsoft Defender 中的 API 探索和安全性狀態功能現在也支援 Function Apps 和 Logic Apps。 這項功能目前可在 預覽版中使用。
先決條件
- 閱讀改善 API 安全性狀態的相關信息。
- 您需要 Microsoft Azure 訂用帳戶。 如果您沒有訂用帳戶,您可以 註冊免費訂用帳戶。
- 啟用 [Azure 訂用帳戶上適用於雲端的 Defender]。
- 在 Azure 訂用帳戶上啟用 [Defender 雲端安全性態勢管理 (CSPM)]。
- 訂用帳戶 擁有者 必須啟用 CSPM 方案,才能存取所有功能。
- 請確定您想要保護的 API 部署在 Azure API 管理、 函式應用程式或 Logic Apps 中。
雲端和區域支援
在 Azure 商業雲端中,Defender CSPM 內的 API 安全性狀態管理可在下列區域中取得:
- 亞洲 (東南亞、東亞)
- 澳大利亞 (澳大利亞東部、澳大利亞東南部、澳大利亞中部、澳大利亞中部 2)
- 巴西 (巴西南部、巴西東南部)
- 加拿大 (加拿大中部、加拿大東部)
- 歐洲 (西歐、北歐)
- 印度 (印度中部、印度南部、印度西部)
- 日本 (日本東部、日本西部)
- 英國 (英國南部、英國西部)
- 美國 (美國東部、美國東部 2、美國西部、美國西部 2、美國西部 3、美國中部、美國中北部、美國中南部、美國中西部、美國東部 2 EUAP、美國中部 EUAP)
請檢閱雲端支援矩陣中適用於雲端的 Defender 方案和功能的最新雲端支援資訊。
API 支援
| 特徵 | 支援 |
|---|---|
| 可用性 |
Azure API 管理: 這項功能適用於 Azure API 管理的進階、標準、基本和開發人員層。 不支援使用 API 管理 自我托管閘道公開的 API,或使用 API 管理 工作區進行管理。 Azure App Services: 支援的 Azure 函式應用程式裝載層包括進階、彈性進階、專用(App Service)和 App Service 環境 (ASE)。 針對 Azure Logic Apps,支援層包括標準層(Single-Tenant)和 App Service Environment (ASE)。 不支援使用量層級的函數應用程式、使用量層級的 Logic Apps,以及已啟用 Azure Arc 的 Logic Apps。 |
| API 類型 | 僅支援 REST API。 |
啟用 API 安全性態勢管理延伸模組
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
瀏覽至 [環境設定]。
選取範圍中的相關訂用帳戶。
移至 Defender CSPM 方案,然後選取 [ 設定]。
啟用 API 安全性狀態管理。
選取 [ 儲存]。
您會看到通知訊息,確認已成功儲存設定。 一旦啟用後,API 會開始上線,並在數小時內出現在您的適用於雲端的 Defender 詳細目錄中。
檢視 API 詳細目錄
上線至 Defender CSPM 方案的 API 會出現在 API 安全性儀表板中,其位於 [工作負載保護] 與適用於雲端的 Microsoft Defender 詳細目錄下。
流覽至 [適用於雲端的Defender] 功能表的 [雲端安全性] 區段,然後在 [進階工作負載保護] 下選取 [API 安全性]。
此儀表板會顯示已上線的 API 數目,依 API 集合、端點和 Azure API 管理服務細分。 它包含已上線的 API 摘要,這些 API 已透過適用於 API 的 Defender 工作負載保護方案納入威脅偵測安全性涵蓋範圍。
若要查看已上線至 Defender CSPM 方案的 API 以進行狀態保護,請套用篩選 Defender 方案 == Defender CSPM。
向下切入至 API 集合詳細 數據頁面,以檢閱特定 API 作業的安全性結果。 這些資訊會在您選取感興趣的 API 作業時,顯示於側邊內容窗格中。
API 端點詳細發現
敏感性資訊類型:提供 API URL 路徑、查詢參數、要求主體和響應主體所公開之敏感性資訊的詳細數據,以及找到的信息類型來源。
其他資訊:在 API 回應主體的情況下,這會顯示哪些 HTTP 回應碼包含敏感性資訊(例如 2xx、3xx、4xx)。
在適用於雲端的 Microsoft Defender 詳細目錄體驗中,檢閱 API 安全性狀態發現以及 API 詳細目錄。
附註
如果關閉 敏感數據探索延伸模組 ,將不會掃描敏感數據暴露。 啟用敏感數據探索,以掃描 API 中的敏感性資訊。 此設定只會影響上線至 Defender CSPM 方案的 API。 如果您在相同的 API 上啟用適用於 API 的 Defender 工作負載保護計劃,它們仍會掃描敏感數據。
調查 API 安全性建議
API 端點會持續評定錯誤設定與弱點,包括驗證瑕疵和非使用中 API。 系統會根據外部暴露風險與資料敏感度風險等相關風險因素產生安全性建議。 安全性建議的重要性是根據這些風險因素來計算。 深入了解 風險型安全性建議。
若要調查 API 安全性態勢建議:
- 流覽至適用於雲端的Defender主功能表,然後選取 [ 建議]。
- 使用 [依標題分組] 切換來組織建議。
- 套用篩選以縮小 API 相關建議的範圍。 依 資源類型 篩選(例如 API 管理作業 或 API 端點),或依 建議名稱 篩選以以特定 API 安全性問題為目標。
若要探索 API 相關建議的完整清單,請參閱適用於雲端的 Defender 建議參考指南中的 API 一節 。
探索 API 風險,並使用攻擊路徑分析進行補救
雲端 安全性總 管可藉由查詢 雲端安全性圖表,協助您識別雲端環境中的潛在安全性風險。
登入 Azure 入口網站。
導覽至 Microsoft Defender for Cloud>Cloud Security Explorer。
使用內建查詢範本,快速識別具有安全性深入解析的 API。
或者, 使用 Cloud Security Explorer 建置自定義查詢 來尋找 API 風險,並查看連線到後端計算或數據存放區的 API 端點。 例如,您可以查看將流量路由至具有遠端程式碼弱點之虛擬機器的 API 端點。
適用於雲端的 Defender 中的攻擊路徑分析會處理對雲端應用程式與環境造成立即威脅的安全性問題。 識別並補救 API 導向的攻擊路徑 ,以解決可能嚴重威脅貴組織的最重大 API 風險。
在雲端專用的 Defender 功能表中,移至 [攻擊路徑分析]。
依資源類型 API 管理作業 進行篩選,以調查 API 相關攻擊路徑。
請檢視範圍內的 API 端點安全性建議,並據建議補救,以防止 API 暴露於高風險攻擊面。
下架 API 安全性態勢保護
屬於 Defender CSPM 方案一部分的 API 無法個別下架。 若要將所有 API 從 Defender CSPM 方案中下架,請前往 Defender CSPM 方案設定頁面並停用 API 態勢延伸模組。
相關內容
- 使用 Defender for APIs 工作負載保護 來監視 API 威脅。