使用適用於雲端的 Microsoft Defender 啟用進階 API 安全性功能

  • 發行項

適用於:開發人員 |基本 |基本 v2 |標準 |標準 v2 |進階版

適用於 API 的 Defender,這是適用於雲端的 Microsoft Defender 功能,可為 Azure APIM 中管理的 API 提供完整的生命週期保護、偵測和回應涵蓋範圍。 此服務可讓安全性從業人員能夠了解其業務關鍵 API、了解其安全性態勢、設定弱點修正程式的優先順序,並在幾分鐘內偵測到作用中的執行階段威脅。

適用於 API 的 Defender 功能包括:

  • 識別外部、未使用或未經驗證的 API
  • 將接收或回應敏感性資料的 API 分類
  • 套用設定建議,以加強 API 和 APIM 服務的安全性態勢
  • 偵測 OWASP API 前 10 個弱點的異常和可疑 API 流量模式與惡意探索
  • 設定威脅補救的優先順序
  • 與 SIEM 系統和 Defender 雲端安全性態勢管理整合

本文示範如何使用 Azure 入口網站,從 APIM 執行個體啟用適用於 API 的 Defender,以及檢視已上線 API 的安全性建議和警示摘要。

方案限制

  • 目前,適用於 API 的 Defender 只會探索和分析 REST API。
  • 適用於 API 的 Defender 目前不會將使用 APIM 自我裝載閘道公開的 API 上線,也不會將使用 APIM 工作區管理的 API 上線。
  • 多區域部署中的次要區域不支援某些 ML 型偵測和安全性見解 (資料分類、驗證檢查、未使用和外部 API)。 適用於 API 的 Defender 依賴本機資料管線,以確保區域資料落地並改善這類部署的效能。 

必要條件

  • Azure 訂用帳戶中至少有一個 APIM 執行個體。 適用於 API 的 Defender 會在 Azure 訂用帳戶層級啟用。
  • 您必須將一或多個支援的 API 匯入 APIM 執行個體。
  • 用以啟用適用於 API 的 Defender 方案的角色指派。
  • 您想要保護之相關 Azure 訂用帳戶、資源群組或 APIM 執行個體上的參與者或擁有者角色指派。

上線至適用於 API 的 Defender

將 API 上線至適用於 API 的 Defender 是一個兩步驟的流程:針對訂用帳戶啟用適用於 API 的 Defender 方案,並在 APIM 執行個體中將未受保護的 API 上線。  

提示

您也可以直接在適用於雲端的 Defender 介面中上線至適用於 API 的 Defender,其中提供更多 API 安全性見解和清查體驗。

針對訂用帳戶啟用適用於 API 的 Defender 方案

  1. 登入入口網站,並瀏覽至您的 APIM 執行個體。

  2. 在左側功能表中,選取 [適用於雲端的 Microsoft Defender]

  3. 選取 [在訂用帳戶上啟用 Defender]

    顯示如何在入口網站中啟用適用於 API 的 Defender 螢幕快照。

  4. 在 [Defender 方案] 頁面上,針對 [API] 方案選取 [開啟]

  5. 選取 [儲存]。

將未受保護的 API 上線至適用於 API 的 Defender

警告

將 API 上線至適用於 API 的 Defender,可能增加 APIM 執行個體的計算、記憶體和網路使用率,在極端情況下可能導致 APIM 執行個體中斷。 如果您的 APIM 執行個體正以高使用率執行,請勿一次將所有 API 上線。 請謹慎使用逐漸將 API 上線,同時監視執行個體的使用率 (例如,使用容量計量) 並視需要擴增。

  1. 在入口網站中,返回您的 APIM 執行個體。

  2. 在左側功能表中,選取 [適用於雲端的 Microsoft Defender]

  3. 在 [建議] 底下,選取 [應將 Azure APIM API 上線至適用於 API 的 Defender]入口網站中適用於 API 的 Defender 建議螢幕快照。

  4. 在下一個畫面上,檢閱有關建議的詳細資料:

    • Severity
    • 安全性結果的重新整理間隔
    • 描述和補救步驟
    • 受影響的資源,已分類為良好 (已上線至適用於 API 的 Defender)、狀況不良 (未上線) 或不適用,以及來自 APIM 的相關聯中繼資料

    注意

    受影響的資源包括來自訂用帳戶底下所有 APIM 執行個體的 API 集合 (API)。

  5. 從 [狀況不良] 資源清單中,選取您想要上線至適用於 API 的 Defender 的 API。

  6. 選取 [修正],然後選取 [修正資源]入口網站中上線狀況不良 API 的螢幕快照。

  7. 在 [通知] 底下,追蹤已上線資源的狀態。

注意

適用於 API 的 Defender 需要 30 分鐘的時間,才能在將 API 上線之後產生其第一個安全性見解。 之後,安全性見解會每隔 30 分鐘重新整理一次。

檢視安全性涵蓋範圍

從 APIM 將 API 上線之後,適用於 API 的 Defender 會收到將用來建置安全性見解和監視威脅的 API 流量。 適用於 API 的 Defender 會針對有風險且易受攻擊 API 產生安全性建議。

您可以在 APIM 執行個體的功能表中選取 [適用於雲端的 Microsoft Defender],以檢視已上線 API 的所有安全性建議和警示摘要:

  1. 在入口網站中,移至您的 APIM 執行個體,然後從左側功能表中選取 [適用於雲端的 Microsoft Defender]

  2. 檢閱建議安全性見解和警示

    入口網站中 API 安全性深入解析的螢幕快照。

針對收到的安全性警示,適用於 API 的 Defender 會建議執行必要分析所需的步驟,並驗證與 API 相關聯的潛在惡意探索或異常。 遵循安全性警示中的步驟來修正,並讓 API 返回健全狀態。

從適用於 API 的 Defender 中將受保護的 API 下架

您可以在入口網站中使用適用於雲端的 Defender,從適用於 API 的 Defender 保護中移除 API。 如需詳細資訊,請參閱管理適用於 API 的 Defender 部署

下一步