API용 Microsoft Defender 정보

  • 아티클

Microsoft Defender for API는 API에 대한 전체 수명 주기 보호, 검색 및 응답 범위를 제공하는 클라우드용 Microsoft Defender에서 제공하는 계획입니다.

API용 Defender를 사용하면 비즈니스에 중요한 API에 대한 가시성을 확보하는 데 도움이 됩니다. API 보안 태세를 조사 및 개선하고, 취약성 수정의 우선 순위를 지정하고, 활성 실시간 위협을 신속하게 탐지할 수 있습니다.

Defender for API는 현재 Azure API Management에 게시된 API에 대한 보안을 제공합니다. Defender for API는 클라우드용 Defender 포털 또는 Azure Portal의 API Management 인스턴스 내에 온보딩될 수 있습니다.

Defender for API로 무엇을 할 수 있나요?

  • 인벤토리: 단일 대시보드에서 모든 관리 API를 집계하여 확인할 수 있습니다.
  • 보안 결과: 외부, 사용되지 않거나 인증되지 않은 API에 대한 정보를 포함하여 API 보안 결과를 분석합니다.
  • 보안 태세: API 보안 태세를 개선하고 위험에 노출된 표면을 강화하기 위한 보안 권장 사항을 검토 및 구현합니다.
  • API 데이터 분류: 위험 우선 순위 지정을 지원하기 위해 중요한 데이터를 수신하거나 응답하는 API를 분류합니다.
  • 위협 감지: 컴퓨터 학습 및 규칙 기반 분석을 사용하여 API 트래픽을 수집하고 런타임 이상 탐지로 모니터링하여 OWASP API 상위 10개 중요한 위협을 비롯한 API 보안 위협을 검색합니다.
  • Defender CSPM 통합: 조직 전체의 API 표시 여부와 위험 평가를 위해 Defender CSPM(클라우드 보안 태세 관리)의 Cloud Security Graph와 통합합니다.
  • Azure API Management 통합: Defender for API 계획을 사용하도록 설정하면 Azure API Management 포털에서 API 보안 권장 사항 및 경고를 받을 수 있습니다.
  • SIEM 통합: SIEM(보안 정보 및 이벤트 관리) 시스템과 통합되어 보안팀이 기존 위협 응답 워크플로를 더 쉽게 조사할 수 있습니다. 자세히 알아보기.

API 보안 결과 검토

클라우드용 Defender API Security 대시보드에서 온보딩된 API에 대한 인벤토리 및 보안 조사 결과를 검토합니다. 대시보드에는 온보딩된 수많은 디바이스가 API 컬렉션, 엔드포인트 및 Azure API Management 서비스별로 분류되어 표시됩니다.

온보딩된 API 인벤토리를 보여 주는 스크린샷

API 컬렉션을 드릴다운하여 온보딩된 API 엔드포인트에 대한 보안 결과를 검토할 수 있습니다.

API 엔드포인트 세부 정보를 검토하는 스크린샷

API 엔드포인트 정보에는 다음이 포함됩니다.

  • 엔드포인트 이름: Azure API Management에 정의된 API 엔드포인트/작업의 이름입니다.
  • 엔드포인트: API 엔드포인트의 URL 경로 및 HTTP 메서드입니다. UTC(마지막 호출 데이터): API 엔드포인트를 오가는 API 트래픽이 마지막으로 관찰된 날짜입니다(UTC 표준 시간대 기준).
  • 30일 미사용: API 엔드포인트가 지난 30일 동안 API 호출 트래픽을 수신했는지 여부를 표시합니다. 지난 30일 동안 트래픽을 수신하지 않은 API는 비활성으로 표시됩니다.
  • 인증: 모니터링되는 API 엔드포인트에 인증이 없는 경우를 표시합니다. Azure API Management에 게시된 API의 경우 구독이 필요한 API 또는 제품에 대한 Azure API Management 구독 키가 있는지 확인하고 JWT, 클라이언트 인증서 및 Microsoft Entra 토큰의 유효성을 검사하기 위한 정책 실행을 통해 인증을 평가합니다. API 호출 중에 이러한 인증 메커니즘이 실행되지 않는 경우 API는 인증되지 않음으로 표시됩니다.
  • 외부 트래픽 관찰 날짜: API 엔드포인트에 들어오고 나가는 외부 API 트래픽이 관찰된 날짜입니다.
  • 데이터 분류: 지원되는 데이터 형식을 기준으로 API 요청 및 응답 본문을 분류합니다.

참고 항목

Defender for API에 온보딩한 이후 트래픽을 수신하지 않은 API 엔드포인트는 API 대시보드에 데이터 대기 중 상태를 표시합니다.

API 권장 사항 조사

권장 사항을 사용하여 보안 태세를 개선하고, API 구성을 강화하고, 중요한 API 위험을 식별하고, 위험 우선 순위에 따라 문제를 완화합니다.

Defender for API는 Defender for API 계획에 API를 온보딩하는 권장 사항, 사용하지 않는 API를 사용하지 않도록 설정 및 제거하는 권장 사항, 보안, 인증 및 액세스 제어에 대한 모범 사례 권장 사항을 포함하여 다양한 권장 사항을 제공합니다.

권장 사항 참조를 검토합니다.

위협 감지

Defender for API는 런타임 트래픽과 위협 인텔리전스 피드를 모니터링하고 위협 감지 경고를 발급합니다. API 경고는 상위 10개 OWASP API 위협, 데이터 반출, 대량 공격, 비정상적이고 의심스러운 API 매개 변수, 트래픽 및 IP 액세스 변칙, 사용 패턴을 검색합니다.

보안 경고 참조를 검토합니다.

위협에 대응

경고에 따라 조치를 취하여 위협과 위험을 완화합니다. 빠르고 효율적인 수정을 위해 기존 위협 응답 워크플로 내에서 조사하기 위해 클라우드용 Defender 경고 및 권장 사항을 Microsoft Sentinel과 같은 SIEM 시스템으로 내보낼 수 있습니다. 여기를 참조하세요.

Cloud Security Graph 인사이트 조사

Defender CSPM 계획의 클라우드 보안 Graph는 조직 전체의 자산과 연결을 분석하여 위험, 취약성 및 가능한 횡적 이동 경로를 노출합니다.

Defender for API가 Defender CSPM 계획과 함께 사용하도록 설정되면 클라우드 보안 탐색기를 사용하여 조직 정보를 적극적으로 효율적으로 쿼리하여 API 자산, 보안 문제 및 위험을 찾고, 식별하고, 수정할 수 있습니다.

클라우드 보안 탐색기를 보여 주는 스크린샷

쿼리 템플릿

한 번 클릭으로 쿼리하는 데 사용할 수 있는 위험한 API 자산을 식별하는 데 사용할 수 있는 두 가지 기본 쿼리 템플릿이 있습니다.

예제 쿼리 템플릿을 보여 주는 스크린샷

다음 단계

Defender for API 배포에 대한 지원 및 필수 조건을 검토합니다.