Обзор Defender для Службы приложений для защиты веб-приложений и API Службы приложений Azure
Необходимые компоненты
Defender для облака изначально интегрирован со Службой приложений, что устраняет необходимость развертывания и адаптации — интеграция прозрачна.
Чтобы защитить план Службы приложений Azure с помощью Microsoft Defender для Службы приложений, вам потребуется следующее:
Поддерживаемый план Службы приложений, связанный с выделенными компьютерами. Поддерживаемые планы перечислены в разделе Доступность.
расширенные защиты Defender для облака в подписке, как описано в описанииВключите расширенные функции безопасности.
Совет
При необходимости можно включить отдельные планы Microsoft Defender, например Microsoft Defender для Службы приложений.
Availability
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Общедоступная версия |
| Цены. | Плата за использование Microsoft Defender для Службы приложений начисляется по тарифам, приведенным на странице цен. Выставление счетов осуществляется в соответствии с общим количеством вычислительных экземпляров во всех планах. |
| Поддерживаемые планы Службы приложений: | Поддерживаемые планы Службы приложений: • План "Бесплатный" • План служб "Базовый" • План служб "Стандартный" • План служб "Премиум V2" • План служб "Премиум" версии 3 • Среда службы приложений, версии 1 • Среда службы приложений, версии 2 • Среда службы приложений, версия 3 |
| Облако. |  Коммерческие облака National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet) |
Каковы преимущества Microsoft Defender для Службы приложений?
Служба приложений Azure — это полностью управляемая платформа для создания и размещения веб-приложений и API. Так как платформа полностью управляется, вам не нужно беспокоиться об инфраструктуре. Решение обеспечивает управление, мониторинг и оперативную аналитику для удовлетворения требований к производительности, безопасности и соответствию корпоративного уровня. Дополнительные сведения см. на странице Службы приложений Azure.
Microsoft Defender для Службы приложений использует масштаб облака для определения атак, направленных на приложения, которые выполняются в Службе приложений. Злоумышленники проверяют веб-приложения, чтобы найти уязвимости и воспользоваться ими. Перед перенаправлением в конкретные среды запросы к приложениям, выполняемым в Azure, проходят через несколько шлюзов, которые проверяют их и регистрируют в журнале. Затем эти данные используются для идентификации эксплойтов и злоумышленников, а также для изучения новых шаблонов, которые можно использовать позже.
После включения Microsoft Defender для Службы приложений вы сразу же можете воспользоваться следующими службами, предлагаемыми этим планом Defender:
Защита — Defender для Службы приложений оценивает ресурсы, на которые распространяется план Службы приложений, и создает рекомендации по обеспечению безопасности в зависимости от полученных результатов. Чтобы обеспечить Служба приложений ресурсы, используйте подробные инструкции в этих рекомендациях.
Обнаружение — Defender для Службы приложений обнаруживает множество угроз для ресурсов Службы приложений, отслеживая следующие действия:
- экземпляр виртуальной машины, в которой выполняется Служба приложений и находится интерфейс управления;
- запросы и ответы, отправляемые и принимаемые приложениями Службы приложений;
- базовые песочницы и виртуальные машины;
- внутренние журналы службы приложений — доступны благодаря видимости, которой располагает Azure как поставщик облачных служб.
В качестве собственного облачного решения Defender для Службы приложений может выявлять методологии атак, направленных на несколько целевых объектов. Например, с одного узла было бы трудно обнаружить распределенную атаку из небольшого набора IP-адресов со сканированием аналогичных конечных точек на нескольких узлах.
Данные журнала и инфраструктура позволяют узнать о многом, начиная от распространяющихся новых атак и заканчивая компрометациями на компьютерах клиентов. Таким образом, даже если Microsoft Defender для Службы приложений развернут после того, как злоумышленники воспользовались уязвимостью веб-приложения, он может обнаружить текущие атаки.
Какие угрозы может обнаруживать Defender для Службы приложений?
Тактики MITRE ATT&CK
Defender для облака отслеживает множество угроз для ресурсов Службы приложений. Эти оповещения охватывают почти весь список тактик MITRE ATT&CK, начиная от предварительной атаки до команд и управления.
Угрозы предварительной атаки — Defender для облака может обнаруживать выполнение нескольких типов сканеров уязвимостей, которые злоумышленники часто используют для поиска слабых мест в приложениях.
Угрозы первоначального доступа — Microsoft Threat Intelligence управляет этими оповещениями, включая активацию оповещения, когда известный вредоносный IP-адрес подключается к вашему FTP-интерфейсу Службы приложений Azure.
Угрозы выполнения — Defender для облака может обнаруживать попытки запуска команд с высоким уровнем привилегий, команд Linux в Службе приложений Windows, бесфайловые атаки, инструменты майнинга цифровых валют и многие другие действия по выполнению подозрительного и вредоносного кода.
Определение недействительных записей DNS
Defender для Службы приложений также определяет записи DNS, оставшиеся в вашем регистраторе DNS при прекращении использования веб-сайта Службы приложений. Такие записи называются недействительными записями DNS. При удалении веб-сайта и не удаляйте его личный домен из регистратора DNS, запись DNS указывает на несуществующий ресурс, а поддомен уязвим для перехода. Defender для облака не проверяет регистратор DNS на предмет существующих недействительных DNS-записей. Он предупреждает о том, что веб-сайт Службы приложений уже не используется, но его личный домен (запись DNS) не был удален.
Перехват поддоменов — это распространенная угроза высокого уровня серьезности для организаций. Когда злоумышленник обнаруживает недействительные записи DNS, он создает свой собственный сайт по адресу назначения. Трафик, предназначенный для домена организации, направляется на сайт злоумышленника, который затем может использовать этот трафик для широкого спектра вредоносных действий.
Защита от появления недействительных записей DNS обеспечивается независимо от того, управляются ли домены с помощью Azure DNS или внешнего регистратора домена, и применяется к Службе приложений в Windows и Linux.
Узнайте больше о недействительных записях DNS и угрозах перехвата поддоменнов в Предотвращение появления недействительных записей DNS и перехвата поддоменов.
Полный список оповещений Службы приложений см. в справочной таблице оповещений.
Примечание.
Defender для облака может не запускать оповещения о недействительных записях DNS, если ваш личный домен не указывает непосредственно на ресурс Службы приложений или если Defender для облака не отслеживал трафик на ваш веб-сайт с момента включения защиты от недействительных записей DNS (так как не будет журналов, которые помогут определить личный домен).
Следующие шаги
Из этой статьи вы узнали о том, что такое Microsoft Defender для Службы приложений.
Связанные материалы см. в следующих статьях:
- Чтобы экспортировать оповещения в Microsoft Sentinel, любой сторонний SIEM или любое другое внешнее средство, следуйте инструкциям в оповещениях Stream для мониторинга решений.
- Список оповещений Microsoft Defender для Службы приложений см. в справочной таблице оповещений.
- Дополнительные сведения см. на странице планов Службы приложений.