Proteja sus API con Defender para API

Defender para API en Microsoft Defender for Cloud ofrece cobertura de protección, detección y respuesta durante todo el ciclo de vida para las API.

Defender para API le ayuda a obtener visibilidad de las API críticas para la empresa. Puede investigar y mejorar la posición de seguridad de una API, priorizar las correcciones de vulnerabilidades y detectar rápidamente amenazas activas en tiempo real.

En este artículo, se describe cómo habilitar e incorporar el plan de Defender para API en el portal de Defender for Cloud. Como alternativa, puede habilitar Defender para API dentro de una instancia de API Management en Azure Portal.

Obtenga información sobre las ventajas del plan Microsoft Defender para API en Microsoft Defender for Cloud. Obtenga más información sobre Defender para API.

Requisitos previos

• Necesita una suscripción a Microsoft Azure . Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.

• Debe haber habilitado Defender for Cloud en la suscripción de Azure.

• Revise la compatibilidad, los permisos y los requisitos de Defender para API antes de comenzar la implementación.

• Habilite Defender para API a nivel de suscripción.

• Asegúrese de que las API que desee proteger se publiquen en Azure API Management. Siga estas instrucciones para configurar Azure API Management.

• Debe seleccionar un plan que conceda derechos adecuados para el volumen de tráfico de API de la suscripción para recibir los precios más óptimos. De manera predeterminada, las suscripciones participan en el "Plan 1", lo que puede provocar una sobrecarga inesperada si la suscripción tiene tráfico de API superior al de un millón de llamadas API.

Habilite el plan de Defender para API

Al seleccionar un plan, tenga en cuenta estos puntos:

• Defender para API protege solo las API que se incorporan a Defender para API. Esto significa que puede activar el plan en el nivel de suscripción y completar el segundo paso de la incorporación mediante la corrección de la recomendación de incorporación. Para obtener más información sobre la incorporación, consulte la guía de incorporación.
• Defender para API tiene cinco planes de precios, cada uno con un límite de derechos diferente y un precio mensual. La facturación se realiza en el nivel de suscripción.
• La facturación se aplica a toda la suscripción en función de la cantidad total de tráfico de API supervisado durante el mes de la suscripción.
• El tráfico de API que se cuenta hacia la facturación se restablece a 0 al principio de cada mes (cada ciclo de facturación).
• Los usos por encima del límite se calculan en función del tráfico de API que supera el límite de derechos por selección del plan durante el mes de toda la suscripción.

Para seleccionar el mejor plan para su suscripción en la página de precios de Microsoft Defender for Cloud, siga estos pasos y elija el plan que coincida con los requisitos de tráfico de API de las suscripciones:

1. Inicie sesión en el portal y, en Defender for Cloud, seleccione Configuración del entorno.

2. Seleccione la suscripción que contenga las API administradas que desee proteger.

   

3. Seleccione Detalles en la columna de precios del plan de API.

   

4. Seleccione el plan adecuado para su suscripción.

5. Seleccione Guardar.

Selección del plan óptimo en función del uso histórico del tráfico de la API de Azure API Management

Debe seleccionar un plan que conceda derechos adecuados para el volumen de tráfico de API de la suscripción para recibir los precios más óptimos. De manera predeterminada, las suscripciones participan en el Plan 1, lo que puede provocar un uso excesivo inesperado si la suscripción tiene tráfico de API superior al de un millón de llamadas API.

Para calcular el tráfico de API mensual en Azure API Management:

1. Vaya al portal de Azure API Management y seleccione Métricas en el elemento de la barra de menús Supervisión.

   

2. Seleccione el intervalo de tiempo en Últimos 30 días.

3. Seleccione y establezca los parámetros siguientes:

   1. Ámbito: Nombre del servicio Azure API Management
   2. Espacio de nombres de métrica: métricas estándar del servicio API Management
   3. Métrica = Solicitudes
   4. Agregación = Suma

4. Después de establecer los parámetros anteriores, la consulta se ejecutará automáticamente y el número total de solicitudes de los últimos 30 días aparecerá en la parte inferior de la pantalla. En el ejemplo de la captura de pantalla, la consulta da como resultado un número total de solicitudes de 414.

   

   Nota:

   Estas instrucciones son para calcular el uso por servicio de Azure API Management. Para calcular el uso estimado del tráfico para todos los servicios de API Management dentro de la suscripción de Azure, cambie el parámetro Ámbito a cada servicio de Azure API Management dentro de la suscripción de Azure, vuelva a ejecutar la consulta y sume los resultados de la consulta.

Si no tiene acceso para ejecutar la consulta de métricas, póngase en contacto con el administrador interno de Azure API Management o con el administrador de cuentas de Microsoft.

Nota:

Después de habilitar Defender para API, las API incorporadas pueden tardar hasta 50 minutos en aparecer en la pestaña Recomendaciones. La información de seguridad está disponible en el panel Protección de cargas de trabajo>Seguridad de API en un plazo de 40 minutos después de la incorporación.

Incorporación de API

1. En el portal de Defender for Cloud, seleccione Recomendaciones.

2. Buscar Defender para API.

3. En Habilitar características de seguridad mejoradas, seleccione la recomendación de seguridad Las API de Azure API Management se deben incorporar a Defender para API:

   

4. En la página de recomendaciones, puede revisar la gravedad de la recomendación, el intervalo de actualizaciones, la descripción y los pasos de corrección.

5. Revise los recursos en el ámbito de las recomendaciones:

   • Recursos incorrectos: recursos que no están incorporados en Defender para API.
   • Recursos correctos: recursos de API que están incorporados en Defender para API.
   • Recursos no aplicables: recursos de API que no son aplicables para la protección.

6. En Recursos incorrectos, seleccione las API que desee proteger con Defender para API.

7. Seleccione Corregir:

   

8. En Corregir recursos, revise las API seleccionadas y seleccione Corregir recursos:

   

9. Compruebe que la corrección se realizó correctamente:

   

Seguimiento de los recursos de API incorporados

Después de incorporar los recursos de API, puede realizar un seguimiento de su estado en el portal Defender for Cloud >Protecciones de cargas de trabajo>Seguridad de API:

También puede ir a otras colecciones para obtener información sobre qué tipos de conclusiones o riesgos pueden existir en el inventario:

Pasos siguientes

• Revisión de amenazas de API y posición de seguridad.
• Investigue las conclusiones, recomendaciones y alertas de la API.