通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Defender CSPM 启用 API 安全态势

Microsoft Defender for Cloud 中的 Defender 云安全状况管理(CSPM)计划提供了跨 Azure API 管理、函数应用和逻辑应用的完整 API 视图。 可帮助你通过查找错误配置和漏洞来帮助提高 API 安全性。 本文介绍如何在 Defender CSPM 计划中启用 API 安全状况管理并评估 API 安全性。 Defender CSPM 可在没有代理的情况下载入 API,并定期检查风险和敏感数据泄露。 它通过 API 攻击路径分析和安全建议提供优先级的风险见解和缓解措施。

注意

Microsoft Defender for Cloud 中的 API 发现和安全态势功能现在还支持 函数应用逻辑应用。 此功能目前以 预览版提供。

先决条件

云和区域支持

Defender CSPM 中的 API 安全状况管理在 Azure 商业云中提供,位于以下区域:

  • 亚洲(东南亚、东亚)
  • 澳大利亚(澳大利亚东部、澳大利亚东南部、澳大利亚中部、澳大利亚中部 2)
  • 巴西(巴西南部、巴西东南部)
  • 加拿大(加拿大中部、加拿大东部)
  • 欧洲 (西欧、北欧)
  • 印度(印度中部、印度南部、印度西部)
  • 日本(日本东部、日本西部)
  • 英国(英国南部、英国西部)
  • 美国(美国东部、美国东部 2、美国西部、美国西部 2、美国西部 3、美国中部、美国中北部、美国中南部、美国中西部、美国东部 2 EUAP、美国中部 EUAP)

云支持矩阵中查看 Defender for Cloud 计划和功能的最新云支持信息。

API 支持

功能 支持
可用性 Azure API 管理: 此功能在 Azure API 管理的高级层、标准层、基本层和开发人员层中提供。 不支持通过 API 管理服务自承载网关公开的 API,也不支持通过 API 管理服务工作区进行管理。

Azure 应用服务: 支持的 Azure Function App 托管层包括 Premium 高级层、Elastic Premium 弹性高级层、Dedicated(应用服务)和应用服务环境(ASE)。 对于 Azure 逻辑应用,支持的层包括标准层(Single-Tenant)和应用服务环境(ASE)。 不支持消耗层函数应用、消耗层逻辑应用和已启用 Azure Arc 的逻辑应用。
API 类型 仅支持 REST API。

启用 API 安全态势管理扩展

  1. 登录到 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 导航到“环境设置”。

  4. 选择在范围内的相关订阅。

  5. 前往 Defender CSPM 计划并选择“设置”。

  6. 启用 API 安全状况管理

    屏幕截图:启用 API 安全态势管理。

  7. 选择“保存”。

你将看到一条通知消息,确认设置已成功保存。 启用后,API 开始载入并会在几个小时内显示在 Defender for Cloud 清单中。

查看 API 清单

载入 Defender CSPM 计划的 API 显示在工作负载保护和 Microsoft Defender for Cloud 清单下的 API 安全仪表板中。

  1. 导航到 Defender for Cloud 菜单的“云安全性”部分,并在“高级工作负荷保护”下选择“API 安全性”

    屏幕截图:API 安全仪表板。

  2. 仪表板显示已载入 API 的数量,并按 API 集合、终结点和 Azure API Management 服务进行细分。 其中包括使用 Defender for API 工作负载保护计划载入的威胁检测安全覆盖的 API 摘要。

  3. 若要查看载入 Defender CSPM 计划的 API,以执行态势保护,请应用筛选器 Defender 计划 == Defender CSPM

    屏幕截图:适用于态势的 Defender CSPM 计划筛选 API。

  4. 向下钻取到 API 集合详细信息页,以查看特定 API 操作的安全发现。 选择感兴趣的 API 操作时,这些内容将显示在侧面上下文窗格中。

    屏幕截图:API 集合详细信息页。

API 终结点详细发现

  1. 敏感信息类型:提供有关敏感信息的详细信息,这些信息公开于 API URL 路径、查询参数、请求正文、基于支持的数据类型的响应正文以及找到的信息类型的源中。

  2. 其他信息:对于 API 响应正文,这会显示哪些 HTTP 响应代码包含敏感信息(例如 2xx、3xx、4xx)。

在 Microsoft Defender for Cloud 清单体验中查看 API 安全态势发现以及 API 清单。

注意

如果关闭 敏感数据发现扩展插件 ,则不会扫描敏感数据暴露。 启用敏感数据发现以扫描 API 中的敏感信息。 此设置仅影响载入 Defender CSPM 计划的 API。 如果在同一 API 上启用了 Defender for API 工作负荷保护计划,则它们仍会扫描敏感数据。

调查 API 安全建议

API 终结点会持续评估错误配置和漏洞,包括身份验证缺陷和非活动 API。 生成安全建议时存在相关的风险因素,例如外部暴露和数据敏感度风险。 安全建议的重要性根据这些风险因素计算得出。 详细了解基于风险的安全建议

若要调查 API 安全态势建议,请执行以下操作:

  1. 导航到 Defender for Cloud 主菜单并选择“建议”
  2. 使用 “按标题分组 ”切换来组织建议。
  3. 应用筛选器以缩小 API 相关建议的范围。 按 资源类型 (例如 API 管理作API 终结点)进行筛选,或按 建议名称 筛选以针对特定 API 安全问题。

若要浏览 API 相关建议的完整列表,请参阅 Defender for Cloud 建议参考指南中的 API 部分

探索 API 风险并使用攻击路径分析进行修正

云安全资源管理器可帮助你通过查询云安全图表来识别云环境中的潜在安全风险。

  1. 登录到 Azure 门户

  2. 导航到 Microsoft Defender for Cloud 云安全资源管理器。

  3. 使用内置查询模板快速识别具有安全见解的 API。

    屏幕截图:云安全资源管理器,其中包含 API 安全见解查询模板。

  4. 或者,使用云安全资源管理器生成自定义查询,以查找 API 风险,并查看连接到后端计算或数据存储的 API 终结点。 例如,你可以看到 API 终结点使用远程代码漏洞将流量路由到虚拟机。

    屏幕截图:Cloud Security Explorer 中的自定义查询。

Defender for Cloud 中的攻击路径分析解决了对云应用程序和环境构成直接威胁的安全问题。 识别并修正 API 主导的攻击路径,以解决可能严重威胁你组织的关键 API 风险。

  1. 在 Defender for Cloud 菜单中,转到“攻击路径分析”

  2. 按资源类型 API 管理操作进行筛选,以调查与 API 相关的攻击路径。

    屏幕截图:按 API 管理操作筛选的攻击路径分析。

  3. 查看范围内 API 终结点的安全建议,并修正建议,防止 API 受到高风险攻击面的攻击。

    屏幕截图:攻击路径分析中的 API 安全建议。

登出 API 安全态势保护

无法单独登出属于 Defender CSPM 计划的 API。 如果要从 Defender CSPM 计划登出所有 API,请转到“Defender CSPM 计划设置”页面并禁用 API 态势扩展。

屏幕截图:禁用 API 安全态势管理。

相关内容