Informazioni su Microsoft Defender per le API

  • Articolo

Microsoft Defender per LE API è un piano fornito da Microsoft Defender per il cloud che offre la protezione completa del ciclo di vita, il rilevamento e la copertura delle risposte per le API.

Defender per LE API consente di ottenere visibilità sulle API critiche per l'azienda. È possibile analizzare e migliorare il comportamento di sicurezza delle API, assegnare priorità alle correzioni delle vulnerabilità e rilevare rapidamente minacce attive in tempo reale.

Defender per LE API offre attualmente la sicurezza per le API pubblicate in Azure Gestione API. È possibile eseguire l'onboarding di Defender per le API nel portale di Defender per il cloud o nell'istanza di Gestione API nel portale di Azure.

Cosa posso fare con Defender per le API?

  • Inventario: in un singolo dashboard ottenere una visualizzazione aggregata di tutte le API gestite.
  • Risultati della sicurezza: analizzare i risultati della sicurezza delle API, incluse le informazioni sulle API esterne, inutilizzate o non autenticate.
  • Comportamento di sicurezza: esaminare e implementare raccomandazioni di sicurezza per migliorare il comportamento di sicurezza delle API e rafforzare le superfici a rischio.
  • Classificazione dei dati API: classificare le API che ricevono o rispondono con dati sensibili per supportare la definizione delle priorità dei rischi.
  • Rilevamento delle minacce: inserire il traffico dell'API e monitorarlo con il rilevamento anomalie di runtime, usando l'apprendimento automatico e l'analisi basata su regole, per rilevare le minacce alla sicurezza delle API, incluse le prime 10 minacce critiche dell'API OWASP.
  • Integrazione di Defender CSPM: integrazione con Cloud Security Graph in Defender Cloud Security Posture Management (CSPM) per la visibilità e la valutazione dei rischi delle API nell'organizzazione.
  • Integrazione di Azure Gestione API: con il piano defender per le API abilitato, è possibile ricevere raccomandazioni e avvisi per la sicurezza delle API nel portale di Azure Gestione API.
  • Integrazione SIEM: integrazione con sistemi SIEM (Security Information and Event Management), semplificando l'analisi dei team di sicurezza con i flussi di lavoro di risposta alle minacce esistenti. Altre informazioni.

Revisione dei risultati della sicurezza dell'API

Esaminare i risultati dell'inventario e della sicurezza per le API di cui è stato eseguito l'onboarding nel dashboard di sicurezza dell'API Defender per il cloud. Il dashboard mostra il numero di dispositivi di cui è stato eseguito l'onboarding, suddivisi per raccolte API, endpoint e servizi di Azure Gestione API:

Screenshot che mostra l'inventario delle API di cui è stato eseguito l'onboarding.

È possibile eseguire il drill-down nella raccolta di API per esaminare i risultati della sicurezza per gli endpoint API di cui è stato eseguito l'onboarding:

Screenshot per la revisione dei dettagli dell'endpoint API.

Le informazioni sull'endpoint API includono:

  • Nome endpoint: nome dell'endpoint/operazione API come definito in Azure Gestione API.
  • Endpoint: percorso URL degli endpoint API e metodo HTTP. Ultimo chiamato dati (UTC): data dell'ultima osservazione del traffico DELL'API verso/dagli endpoint API (fuso orario UTC).
  • 30 giorni inutilizzati: indica se gli endpoint API hanno ricevuto traffico di chiamata API negli ultimi 30 giorni. Le API che non hanno ricevuto traffico negli ultimi 30 giorni sono contrassegnate come inattive.
  • Autenticazione: mostra quando un endpoint API monitorato non ha autenticazione. Per le API pubblicate in Azure Gestione API, questa valutazione dell'autenticazione tramite la verifica della presenza di chiavi di sottoscrizione di Azure Gestione API per API o prodotti in cui è necessaria la sottoscrizione e l'esecuzione dei criteri per la convalida di token JWT, certificati client e token Microsoft Entra. Se nessuno di questi meccanismi di autenticazione viene eseguito durante la chiamata API, l'API viene contrassegnata come non autenticata
  • Data di osservazione del traffico esterno: data in cui il traffico dell'API esterna è stato osservato verso/dall'endpoint API.
  • Classificazione dei dati: classifica i corpi di richiesta e risposta dell'API in base ai tipi di dati supportati.

Nota

Gli endpoint API che non hanno ricevuto traffico dopo l'onboarding in Defender per le API visualizzano lo stato In attesa dei dati nel dashboard dell'API.

Analisi delle raccomandazioni sulle API

Usare le raccomandazioni per migliorare il comportamento di sicurezza, rafforzare le configurazioni dell'API, identificare i rischi critici dell'API e attenuare i problemi in base alla priorità dei rischi.

Defender per API offre una serie di raccomandazioni, tra cui raccomandazioni per eseguire l'onboarding delle API nel piano di Defender per API, disabilitare e rimuovere le API inutilizzate e consigli sulle procedure consigliate per la sicurezza, l'autenticazione e il controllo di accesso.

Esaminare le informazioni di riferimento sulle raccomandazioni.

Rilevamento delle minacce

Defender per LE API monitora il traffico di runtime e i feed di intelligence sulle minacce e genera avvisi di rilevamento delle minacce. Gli avvisi api rilevano le prime 10 minacce api OWASP, esfiltrazione di dati, attacchi volumetrici, parametri api anomali e sospetti, traffico e anomalie di accesso IP e modelli di utilizzo.

Esaminare le informazioni di riferimento sugli avvisi di sicurezza.

Risposta alle minacce

Intervenire sugli avvisi per attenuare minacce e rischi. Defender per il cloud avvisi e raccomandazioni possono essere esportati in sistemi SIEM come Microsoft Sentinel, per l'analisi all'interno dei flussi di lavoro di risposta alle minacce esistenti per una correzione rapida ed efficiente. Fare clic qui per altre informazioni.

Analisi dei dati analitici di Cloud Security Graph

Cloud Security Graph nel piano CSPM di Defender analizza gli asset e le connessioni all'interno dell'organizzazione, per esporre rischi, vulnerabilità e possibili percorsi di spostamento laterale.

Quando Defender per LE API è abilitato insieme al piano CSPM di Defender, è possibile usare Cloud Security Explorer per eseguire query proattive ed efficienti sulle informazioni dell'organizzazione per individuare, identificare e correggere asset API, problemi di sicurezza e rischi:

Screenshot che mostra Cloud Security Explorer.

Modelli di query

Sono disponibili due modelli di query predefiniti per identificare gli asset dell'API rischiosa, che è possibile usare per eseguire la ricerca con un solo clic:

Screenshot che mostra modelli di query di esempio.

Passaggi successivi

Esaminare il supporto e i prerequisiti per la distribuzione di Defender per le API.