Aktivieren erweiterter API-Sicherheitsfeatures mithilfe von Microsoft Defender for Cloud

GILT FÜR: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium

Defender for APIs, eine Funktion von Microsoft Defender for Cloud, bietet vollständigen Lebenszyklusschutz, Erkennung und Antwortabdeckung für APIs, die in Azure API Management verwaltet werden. Mithilfe dieses Diensts können Sicherheitsexperten Einblick in ihre geschäftskritischen APIs erhalten, ihren Sicherheitsstatus verstehen, Fixes für Sicherheitsrisiken priorisieren und aktive Laufzeitbedrohungen innerhalb von Minuten erkennen.

Hinweis

Dieses Feature ist derzeit in Arbeitsbereichen nicht verfügbar.

Folgende Funktionen sind in Defender for APIs verfügbar:

  • Identifizieren externer, nicht verwendeter oder nicht authentifizierter APIs
  • Klassifizieren von APIs, die vertrauliche Daten empfangen oder senden
  • Anwenden von Konfigurationsempfehlungen zur Stärkung des Sicherheitsstatus von APIs und API Management-Diensten
  • Erkennen anomaler und verdächtiger API-Datenverkehrsmuster und Exploits aus OWASP API Security Top 10
  • Priorisieren der Bedrohungsminderung
  • Durchführen einer Integration in SIEM-Systeme und Cloud Security Posture Management von Defender

In diesem Artikel erfahren Sie, wie Sie das Azure-Portal verwenden, um Defender for APIs von Ihrer API Management-Instanz aus zu aktivieren und eine Zusammenfassung der Sicherheitsempfehlungen und Warnungen für integrierte APIs anzuzeigen.

Tarifeinschränkungen

  • Derzeit werden nur REST-APIs von Defender for APIs ermittelt und analysiert.
  • Defender for APIs integriert derzeit keine APIs, die mit dem selbstgehosteten Gateway von API Management verfügbar gemacht oder mithilfe von API Management-Arbeitsbereichen verwaltet werden.
  • Einige ML-basierte Erkennungen und Sicherheitserkenntnisse (Datenklassifizierung, Authentifizierungsprüfung, nicht verwendete und externe APIs) werden in sekundären Regionen in Bereitstellungen mit mehreren Regionen nicht unterstützt. Defender for APIs setzt auf lokale Datenpipelines, um die regionale Datenresidenz und eine verbesserte Leistung in solchen Bereitstellungen sicherzustellen. 

Voraussetzungen

  • Mindestens eine API Management-Instanz in einem Azure-Abonnement. Defender for APIs wird auf der Ebene eines Azure-Abonnements aktiviert.
  • Mindestens eine unterstützte API muss in die API Management-Instanz importiert werden.
  • Rollenzuweisung zum Aktivieren des Defender for APIs-Plans.
  • Zuweisung der Rolle „Mitwirkender“ oder „Besitzer“ für relevante Azure-Abonnements, Ressourcengruppen oder API Management-Instanzen, die Sie schützen möchten.

Durchführen des Onboardings in Defender for APIs

Das Onboarding von APIs in Defender for APIs ist ein zweistufiger Prozess: Aktivieren des Defender for APIs-Plans für das Abonnement und Durchführen eines Onboardings ungeschützter APIs in Ihre API Management-Instanzen.  

Tipp

Sie können das Onboarding in Defender for APIs auch direkt in der Defender for Cloud-Schnittstelle durchführen, in der mehr API-Sicherheitserkenntnisse und Inventurerfahrungen verfügbar sind.

Aktivieren des Defender for APIs-Plans für ein Abonnement

  1. Melden Sie sich beim Portal an, und wechseln Sie zu Ihrer API Management-Instanz.

  2. Wählen Sie im Menü auf der linken Seite Microsoft Defender for Cloud aus.

  3. Wählen Sie Defender für das Abonnement aktivieren aus.

    Screenshot: Aktivieren von Defender for APIs im Portal

  4. Wählen Sie auf der Seite Defender-Plan für den APIs-Plan die Option Ein aus.

  5. Wählen Sie Speichern aus.

Durchführen eines Onboardings ungeschützter APIs in Defender for APIs

Achtung

Das Onboarding von APIs in Defender for APIs kann die Compute-, Arbeitsspeicher- und Netzwerkauslastung Ihrer API Management-Instanz erhöhen und in extremen Fällen zu einem Ausfall der API Management-Instanz führen. Integrieren Sie nicht alle APIs gleichzeitig, wenn Ihre API Management-Instanz mit hoher Auslastung ausgeführt wird. Gehen Sie vorsichtig vor, indem Sie APIs schrittweise integrieren, während Sie die Auslastung Ihrer Instanz (z. B. mithilfe der Kapazitätsmetrik) überwachen und bei Bedarf aufskalieren.

  1. Wechseln Sie im Portal zurück zu Ihrer API Management-Instanz.

  2. Wählen Sie im Menü auf der linken Seite Microsoft Defender for Cloud aus.

  3. Wählen Sie unter Empfehlungen die Option Azure API Management-APIs sollten in Defender for APIs integriert werden aus. Screenshot: Defender for APIs-Empfehlungen im Portal

  4. Überprüfen Sie im nächsten Bildschirm die Details zur Empfehlung:

    • severity
    • Aktualisierungsintervall für Sicherheitsergebnisse
    • Beschreibung und Schritte zur Behebung
    • Betroffene Ressourcen, klassifiziert als fehlerfrei (in Defender for APIs integriert), fehlerhaft (nicht integriert) oder Nicht zutreffend, zusammen mit entsprechenden Metadaten aus API Management

    Hinweis

    Zu den betroffenen Ressourcen gehören API-Sammlungen (APIs) aus allen API Management-Instanzen unter dem Abonnement.

  5. Wählen Sie in der Liste der fehlerhaften Ressourcen die API(s) aus, für die Sie ein Onboarding in Defender for APIs durchführen möchten.

  6. Wählen Sie Beheben und dann Ressourcen beheben) aus. Screenshot: Onboarding fehlerhafter APIs im Portal

  7. Verfolgen Sie den Status integrierter Ressourcen unter Benachrichtigungen.

Hinweis

Defender for APIs benötigt nach dem Onboarding einer API 30 Minuten, um erste Sicherheitserkenntnisse zu generieren. Anschließend werden Sicherheitserkenntnisse alle 30 Minuten aktualisiert.

Anzeigen der Sicherheitsabdeckung

Nach dem Onboarding der APIs aus API Management empfängt Defender for APIs API-Datenverkehr, der verwendet wird, um Sicherheitserkenntnisse zu erstellen und Bedrohungen zu erkennen. Defender for APIs generiert Sicherheitsempfehlungen für unsichere und anfällige APIs.

Sie können eine Zusammenfassung aller Sicherheitsempfehlungen und Warnungen für integrierte APIs anzeigen, indem Sie Microsoft Defender for Cloud im Menü für Ihre API Management-Instanz auswählen:

  1. Wechseln Sie im Portal zu Ihrer API Management-Instanz, und wählen Sie im Menü auf der linken Seite Microsoft Defender for Cloud aus.

  2. Lesen Sie Empfehlungen und Sicherheitserkenntnisse und Warnungen.

    Screenshot: API-Sicherheitserkenntnisse im Portal

Für die empfangenen Sicherheitswarnungen schlägt Defender for APIs die nötigen Schritte vor, um die erforderliche Analyse durchzuführen und den potenziellen Exploit oder die Anomalie im Zusammenhang mit den APIs zu überprüfen. Führen Sie die Schritte in der Sicherheitswarnung aus, um die APIs zu beheben und in einen fehlerfreien Zustand zurückzuführen.

Durchführen eines Offboardings geschützter APIs aus Defender for APIs

Sie können APIs aus dem Schutz von Defender for APIs mithilfe von Defender for Cloud im Portal entfernen. Weitere Informationen finden Sie unter Verwalten der Bereitstellung von Defender for APIs.

Nächste Schritte