Uw web-apps en API's beveiligen

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Vereisten

Defender for Cloud is systeemeigen geïntegreerd met App Service, waardoor implementatie en onboarding niet meer nodig zijn. De integratie is transparant.

Als u uw Azure App Service wilt beveiligen met Microsoft Defender voor App Service, hebt u het volgende nodig:

  • Een ondersteund App Service abonnement dat is gekoppeld aan toegewezen machines. Ondersteunde abonnementen worden vermeld in Beschikbaarheid.

  • De verbeterde beveiligingen van Defender for Cloud die zijn ingeschakeld voor uw abonnement, zoals beschreven in Quickstart: Verbeterde beveiligingsfuncties inschakelen.

    Tip

    U kunt desgewenst afzonderlijke Microsoft Defender-abonnementen inschakelen, zoals Microsoft Defender voor App Service.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Microsoft Defender voor App Service wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen
Facturering is afhankelijk van het totale aantal reken-exemplaren in alle abonnementen
Ondersteunde App Service-plannen: Alle App Service worden ondersteund, behalve Azure Functions in het verbruiksplan.
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)

Wat zijn de voordelen van Microsoft Defender voor App Service?

Azure App Service is een volledig beheerd platform voor het bouwen en hosten van uw web-apps en API's. Omdat het platform volledig wordt beheerd, hoeft u zich geen zorgen te maken over de infrastructuur. Het biedt beheer, bewaking en operationele inzichten om te voldoen aan de hoge vereisten voor prestaties, beveiliging en naleving van ondernemingen. Zie Azure App Service voor meer informatie.

Microsoft Defender voor App Service gebruikt de schaal van de cloud om aanvallen te identificeren die gericht zijn op toepassingen die worden uitgevoerd via App Service. Aanvallers testen voortdurend webtoepassingen om zwakke plekken te vinden en daar misbruik van te maken. Aanvragen voor toepassingen die in Azure worden uitgevoerd, gaan voordat ze naar specifieke omgevingen worden doorgestuurd door verschillende gateways, waar ze worden geïnspecteerd en geregistreerd. Deze gegevens worden vervolgens gebruikt om aanvallen en aanvallers te identificeren en om nieuwe patronen te leren die later worden gebruikt.

Wanneer u Microsoft Defender voor App Service inschakelen, profiteert u onmiddellijk van de volgende services die door dit Defender-abonnement worden aangeboden:

  • Veilig: Defender for App Service beoordeelt de resources die worden gedekt door uw App Service plan en genereert beveiligingsaanbevelingen op basis van de bevindingen. Gebruik de gedetailleerde instructies in deze aanbevelingen om uw resources App Service te harden.

  • Detecteren: Defender for App Service detecteert een groot aantal bedreigingen voor uw App Service resources door het volgende te controleren:

    • het VM-exemplaar waarin uw App Service wordt uitgevoerd en de beheerinterface
    • de aanvragen en antwoorden die worden verzonden naar en van uw App Service apps
    • de onderliggende sandboxes en VM's
    • App Service logboeken - beschikbaar dankzij de zichtbaarheid die Azure als cloudprovider heeft

Als cloudeigen oplossing kan Defender for App Service aanvalsmethoden identificeren die van toepassing zijn op meerdere doelen. Vanaf één host zou het bijvoorbeeld moeilijk zijn om een gedistribueerde aanval te identificeren vanuit een kleine subset van DEP's, die naar vergelijkbare eindpunten op meerdere hosts verkent.

De logboekgegevens en de infrastructuur samen kunnen het verhaal vertellen: van een nieuwe aanval die in het wild wordt aangevallen tot aanvallen op computers van klanten. Dus zelfs als Microsoft Defender voor App Service wordt geïmplementeerd nadat een web-app is misbruikt, kan deze mogelijk lopende aanvallen detecteren.

Welke bedreigingen kan Defender for App Service detecteren?

Bedreigingen door MITRE ATT&CK-tactieken

Defender for Cloud controleert op veel bedreigingen voor uw App Service resources. De waarschuwingen omvatten bijna de volledige lijst met MITRE ATT-&CK-tactieken, van pre-aanval tot command and control.

  • Bedreigingen vóór aanvallen: Defender for Cloud kan de uitvoering detecteren van meerdere typen scanners voor beveiligingslekken die aanvallers vaak gebruiken om toepassingen te onderzoeken op zwakke plekken.

  • Initiële toegangsbedreigingen - Microsoft Threat Intelligence zorgt voor deze waarschuwingen, waaronder het activeren van een waarschuwing wanneer een bekend schadelijk IP-adres verbinding maakt met Azure App Service FTP-interface.

  • Uitvoeringsbedreigingen: Defender for Cloud kan pogingen om opdrachten met hoge bevoegdheden uit te voeren, Linux-opdrachten op een Windows App Service, bestandsloze aanvalsgedrag, hulpprogramma's voor mining van digitale valuta en vele andere verdachte en schadelijke code-uitvoeringsactiviteiten detecteren.

Daning van DNS-detectie

Defender for App Service identificeert ook eventuele DNS-vermeldingen die in uw DNS-registrar blijven wanneer een App Service-website buiten gebruik wordt gesteld. Dit worden wel aaneenblijvende DNS-vermeldingen genoemd. Wanneer u een website verwijdert en het aangepaste domein niet van uw DNS-registrar verwijdert, verwijst de DNS-vermelding naar een niet-bestaande resource en is uw subdomein kwetsbaar voor een overname. Defender for Cloud scant uw DNS-registrar niet op bestaande dansende DNS-vermeldingen; U wordt gewaarschuwd wanneer een App Service website buiten gebruik wordt gesteld en het aangepaste domein (DNS-vermelding) niet wordt verwijderd.

Overnames van subdomeinen vormen een veelvoorkomende bedreiging met hoge urgentie voor organisaties. Wanneer een bedreigingsacacter een dansbaar DNS-item detecteert, maken ze hun eigen site op het doeladres. Het verkeer dat is bedoeld voor het domein van de organisatie, wordt vervolgens omgeleid naar de site van de actor van de bedreiging en kan dat verkeer gebruiken voor een breed scala aan schadelijke activiteiten.

Er is dan wel een dansbeveiliging voor DNS beschikbaar, ongeacht of uw domeinen worden beheerd met Azure DNS of een externe domeinregistrar en van toepassing zijn op App Service op zowel Windows als Linux.

Een voorbeeld van een waarschuwing over een ontdekte dansende DNS-vermelding. Schakel Microsoft Defender voor App Service om deze en andere waarschuwingen voor uw omgeving te ontvangen.

Meer informatie over het aanpassen van DNS en de bedreiging van overname van subdomeinen in Voorkomen van dansbare DNS-vermeldingenen het voorkomen van overname van subdomeinen.

Zie de referentietabel met waarschuwingen App Service een volledige lijst metwaarschuwingen.

Notitie

Defender for Cloud activeert mogelijk geen reagerende DNS-waarschuwingen als uw aangepaste domein niet rechtstreeks naar een App Service-resource wijst, of als Defender for Cloud het verkeer naar uw website niet heeft bewaakt sinds de bovengemiddelde DNS-beveiliging is ingeschakeld (omdat er geen logboeken zijn om het aangepaste domein te identificeren).

Volgende stappen

In dit artikel hebt u geleerd over Microsoft Defender voor App Service.

Raadpleeg de volgende artikelen voor gerelateerd materiaal:

  • Als u uw waarschuwingen wilt exporteren naar Microsoft Sentinel, een SIEM van derden of een ander extern hulpprogramma, volgt u de instructies in Stream-waarschuwingen voor een SIEM-, SOAR- of IT Service Management-oplossing.
  • Zie de Referentietabel met waarschuwingen App Service een lijst met waarschuwingen van Microsoft Defender voor App Service.
  • Zie App Service-plannen voor meer informatie over App Service-plannen.