Habilite recursos avançados de segurança de API usando o Microsoft Defender for Cloud

  • Artigo

APLICA-SE A: Developer | Básico | Básico v2 | Padrão | Padrão v2 | Prémio

O Defender for APIs, um recurso do Microsoft Defender for Cloud, oferece proteção de ciclo de vida completo, deteção e cobertura de resposta para APIs gerenciadas no Gerenciamento de API do Azure. O serviço permite que os profissionais de segurança ganhem visibilidade de suas APIs críticas para os negócios, entendam sua postura de segurança, priorizem correções de vulnerabilidades e detetem ameaças ativas de tempo de execução em poucos minutos.

Os recursos do Defender for APIs incluem:

  • Identificar APIs externas, não utilizadas ou não autenticadas
  • Classificar APIs que recebem ou respondem com dados confidenciais
  • Aplicar recomendações de configuração para fortalecer a postura de segurança de APIs e serviços de Gerenciamento de API
  • Detete padrões de tráfego de API anômalos e suspeitos e explorações das 10 principais vulnerabilidades da API OWASP
  • Priorize a correção de ameaças
  • Integração com sistemas SIEM e Defender Cloud Security Posture Management

Este artigo mostra como usar o portal do Azure para habilitar o Defender for APIs de sua instância de Gerenciamento de API e exibir um resumo das recomendações de segurança e alertas para APIs integradas.

Limitações do plano

  • Atualmente, o Defender for APIs descobre e analisa apenas APIs REST.
  • Atualmente, o Defender for APIs não integra APIs expostas usando o gateway auto-hospedado do Gerenciamento de API ou gerenciadas usando espaços de trabalho do Gerenciamento de API.
  • Algumas deteções baseadas em ML e informações de segurança (classificação de dados, verificação de autenticação, APIs externas e não utilizadas) não são suportadas em regiões secundárias em implantações de várias regiões . O Defender for APIs depende de pipelines de dados locais para garantir a residência de dados regionais e um melhor desempenho nessas implantações. 

Pré-requisitos

  • Pelo menos uma instância de Gerenciamento de API em uma assinatura do Azure. O Defender for APIs está habilitado no nível de uma assinatura do Azure.
  • Uma ou mais APIs suportadas devem ser importadas para a instância de Gerenciamento de API.
  • Atribuição de função para habilitar o plano Defender for APIs.
  • Atribuição de função de Colaborador ou Proprietário em assinaturas relevantes do Azure, grupos de recursos ou instâncias de Gerenciamento de API que você deseja proteger.

Integrado ao Defender for APIs

A integração de APIs ao Defender for APIs é um processo de duas etapas: habilitar o plano do Defender for APIs para a assinatura e integrar APIs desprotegidas em suas instâncias de Gerenciamento de API.  

Gorjeta

Você também pode integrar o Defender for APIs diretamente na interface do Defender for Cloud, onde mais informações de segurança de API e experiências de inventário estão disponíveis.

Habilitar o plano do Defender para APIs para uma assinatura

  1. Entre no portal e vá para sua instância de Gerenciamento de API.

  2. No menu à esquerda, selecione Microsoft Defender for Cloud.

  3. Selecione Ativar Defender na assinatura.

    Captura de tela mostrando como habilitar o Defender para APIs no portal.

  4. Na página Plano do Defender , selecione Ativado para o plano de APIs .

  5. Selecione Guardar.

Integre APIs desprotegidas ao Defender for APIs

Atenção

A integração de APIs ao Defender for APIs pode aumentar a computação, a memória e a utilização da rede da sua instância de Gerenciamento de API, o que, em casos extremos, pode causar uma interrupção da instância de Gerenciamento de API. Não integre todas as APIs de uma só vez se sua instância de Gerenciamento de API estiver sendo executada em alta utilização. Tenha cuidado, integrando APIs gradualmente, enquanto monitora a utilização de sua instância (por exemplo, usando a métrica de capacidade) e dimensiona conforme necessário.

  1. No portal, volte para sua instância de Gerenciamento de API.

  2. No menu à esquerda, selecione Microsoft Defender for Cloud.

  3. Em Recomendações, selecione APIs de Gerenciamento de API do Azure devem ser integradas ao Defender for APIs. Captura de tela das recomendações do Defender for APIs no portal.

  4. Na tela seguinte, revise os detalhes sobre a recomendação:

    • Gravidade
    • Intervalo de atualização para descobertas de segurança
    • Descrição e etapas de correção
    • Recursos afetados, classificados como Íntegro (integrado ao Defender for APIs), Não íntegro (não integrado) ou Não aplicável, juntamente com metadados associados do Gerenciamento de API

    Nota

    Os recursos afetados incluem coleções de API (APIs) de todas as instâncias de Gerenciamento de API sob a assinatura.

  5. Na lista de recursos não íntegros , selecione a(s) API(s) que deseja integrar ao Defender for APIs.

  6. Selecione Corrigir e, em seguida, selecione Corrigir recursos. Captura de tela da integração de APIs não íntegras no portal.

  7. Acompanhe o status dos recursos integrados em Notificações.

Nota

O Defender for APIs leva 30 minutos para gerar suas primeiras informações de segurança após a integração de uma API. Depois disso, as informações de segurança são atualizadas a cada 30 minutos.

Ver cobertura de segurança

Depois de integrar as APIs do Gerenciamento de APIs, o Defender for APIs recebe tráfego de API que será usado para criar informações de segurança e monitorar ameaças. O Defender for APIs gera recomendações de segurança para APIs arriscadas e vulneráveis.

Você pode exibir um resumo de todas as recomendações e alertas de segurança para APIs integradas selecionando Microsoft Defender for Cloud no menu da sua instância de Gerenciamento de API:

  1. No portal, vá para sua instância de Gerenciamento de API e selecione Microsoft Defender for Cloud no menu à esquerda.

  2. Analise as recomendações e os alertas e informações de segurança.

    Captura de tela das informações de segurança da API no portal.

Para os alertas de segurança recebidos, o Defender for APIs sugere as etapas necessárias para executar a análise necessária e validar a potencial exploração ou anomalia associada às APIs. Siga as etapas no alerta de segurança para corrigir e retornar as APIs ao status íntegro.

APIs protegidas offboard do Defender for APIs

Você pode remover APIs da proteção do Defender for APIs usando o Defender for Cloud no portal. Para obter mais informações, consulte Gerenciar a implantação do Defender para APIs.

Próximos passos