Schützen Ihrer APIs mit Defender for APIs

Defender for APIs in Microsoft Defender for Cloud bietet vollständigen Lebenszyklusschutz, Erkennung und Antwortabdeckung für APIs.

Defender für APIs hilft Ihnen, Einblicke in unternehmenskritische APIs zu erhalten. Sie können den API-Sicherheitsstatus untersuchen und verbessern, Sicherheitskorrekturen priorisieren und aktive Echtzeitbedrohungen schnell erkennen.

In diesem Artikel wird beschrieben, wie Sie den Defender for APIs-Plan im Defender for Cloud-Portal aktivieren und integrieren. Alternativ können Sie Defender for APIs innerhalb einer API Management-Instanz im Azure-Portal aktivieren.

Erfahren Sie mehr über den Plan Microsoft Defender for APIs in Microsoft Defender for Cloud. Hier finden Sie weitere Informationen zu Defender für APIs.

Voraussetzungen

Aktivieren des Defender for APIs-Plans

Berücksichtigen Sie beim Auswählen eines Plans die folgenden Punkte:

  • Defender for APIs schützt nur diejenigen APIs, für die in Defender for APIs ein Onboarding durchgeführt wird. Dies bedeutet, dass Sie den Plan auf Abonnementebene aktivieren und den zweiten Schritt des Onboardings abschließen können, indem Sie die Onboarding-Empfehlung beheben. Weitere Informationen zum Onboarding finden Sie im Onboarding-Leitfaden.
  • Defender for APIs verfügt über fünf Preispläne, jeweils mit einem anderen Berechtigungslimit und einer anderen monatlichen Gebühr. Die Abrechnung erfolgt auf Abonnementebene.
  • Die Abrechnung wird auf das gesamte Abonnement angewendet, basierend auf der Gesamtmenge des API-Datenverkehrs, der über den Monat für das Abonnement überwacht wird.
  • Der für die Abrechnung gezählte API-Datenverkehr wird zu Beginn jedes Monats (jedes Abrechnungszyklus) auf 0 (null) zurückgesetzt.
  • Die Überschreitungen werden für API-Datenverkehr berechnet, der die Berechtigungsgrenze pro Planauswahl während des Monats für Ihr gesamtes Abonnement überschreitet.

Um den besten Plan für Ihr Abonnement auf der Preisseite von Microsoft Defender for Cloud auszuwählen, führen Sie die folgenden Schritte aus, und wählen Sie den Plan aus, der den API-Datenverkehrsanforderungen Ihrer Abonnements entspricht:

  1. Melden Sie sich beim Portal an, und wählen Sie in Defender for Cloud Umgebungseinstellungen aus.

  2. Wählen Sie das Abonnement aus, das die verwalteten APIs enthält, die Sie schützen möchten.

    Screenshot zeigt, wo Umgebungseinstellungen ausgewählt werden.

  3. Wählen Sie unter der Preisspalte für den Defender for APIs-Plan Details aus.

    Screenshot zeigt, wo API-Details ausgewählt werden.

  4. Wählen Sie den Plan aus, der für Ihr Abonnement geeignet ist.

  5. Wählen Sie Speichern.

Auswählen des optimalen Plans basierend auf dem historischen Datenverkehrsverbrauch der Azure API Management-API

Sie müssen einen Plan auswählen, der die geeignete Berechtigung für das API-Datenverkehrsvolumen in Ihrem Abonnement zuweist, um die optimalen Preise zu erhalten. Standardmäßig werden Abonnements in Plan 1 abonniert, was zu unerwarteten Überschreitungen führen kann, wenn Ihr Abonnement über API-Datenverkehr verfügt, der höher als die 1 Million API-Aufrufberechtigungen ist.

So schätzen Sie den monatlichen API-Datenverkehr in Azure API Management:

  1. Navigieren Sie zum Azure API Management-Portal, und wählen Sie Metriken im Menüleistenelement „Überwachung“ aus.

    Screenshot zeigt, wo Metriken ausgewählt werden.

  2. Wählen Sie den Zeitbereich als Letzte 30 Tage aus.

  3. Wählen Sie die folgenden Parameter aus und legen ihn fest:

    1. Bereich: Name des Azure API Management-Diensts
    2. Metrik-Namespace: Standardmetriken des API Management-Diensts
    3. Metrik = Anforderungen
    4. Aggregation = Summe
  4. Nach dem Festlegen der obigen Parameter wird die Abfrage automatisch ausgeführt, und die Gesamtanzahl der Anforderungen der letzten 30 Tage wird unten auf dem Bildschirm angezeigt. Im Beispiel im Screenshot ergibt die Abfrage insgesamt 414 Anforderungen.

    Screenshot zeigt die Metrikergebnisse.

    Hinweis

    Diese Anweisungen dienen zur Berechnung des Verbrauchs pro Azure API Management-Dienst. Um den geschätzten Datenverkehrsverbrauch für alle API Management-Dienste innerhalb des Azure-Abonnements zu berechnen, ändern Sie den Parameter Bereich in jeden Azure API Management-Dienst innerhalb des Azure-Abonnements, führen Sie die Abfrage erneut aus, und summieren Sie die Abfrageergebnisse.

Wenn Sie keinen Zugriff auf die Ausführung der Metrikabfrage haben, wenden Sie sich an Ihren internen Azure API Management-Administrator oder Ihren Microsoft-Kontomanager.

Hinweis

Nach dem Aktivieren von Defender for APIs dauert es bis zu 50 Minuten, bis die integrierten APIs auf der Registerkarte Empfehlungen angezeigt werden. Sicherheitserkenntnisse sind innerhalb von 40 Minuten nach der Integration im Dashboard Workloadschutz>API-Sicherheit verfügbar.

Integrieren von APIs

  1. Wählen Sie im Defender for Cloud-Portal die Option Empfehlungen aus.

  2. Suchen sie nach Defender for APIs.

  3. Wählen Sie unter Erweiterte Sicherheitsfeatures aktivieren die Sicherheitsempfehlung Für Azure API Management-APIs sollten ein Onboarding in Defender for APIs durchgeführt werden aus:

    Screenshot mit der Aktivierung des Defender for APIs-Plans aus der Empfehlung heraus

  4. Auf der Empfehlungsseite können Sie den Schweregrad der Empfehlung, das Updateintervall, die Beschreibung und die Wartungsschritte überprüfen.

  5. Gehen Sie die Ressourcen durch, die für die Empfehlungen in Frage kommen:

    • Fehlerhafte Ressourcen: Ressourcen, die nicht in Defender for APIs integriert sind.
    • Fehlerfreie Ressourcen: API-Ressourcen, die in Defender for APIs integriert sind.
    • Nicht anwendbare Ressourcen: API-Ressourcen, die nicht für den Schutz geeignet sind.
  6. Wählen Sie unter Fehlerhafte Ressourcen die APIs aus, die Sie mit Defender for APIs schützen möchten.

  7. Wählen Sie Korrigieren aus:

    Screenshot mit den Empfehlungsdetails zum Aktivieren des Plans

  8. Prüfen Sie unter Ressourcen korrigieren die ausgewählten APIs, und wählen Sie Ressourcen korrigieren aus:

    Screenshot, der das Korrigieren von fehlerhaften Ressourcen zeigt

  9. Überprüfen Sie, ob die Korrektur erfolgreich war:

    Screenshot mit der Bestätigung, dass die Korrektur erfolgreich war.

Nachverfolgen von integrierten API-Ressourcen

Nach der Integration der API-Ressourcen können Sie deren Status im Defender for Cloud-Portal unter >Workloadschutz>API-Sicherheit verfolgen:

Screenshot, der die Nachverfolgung von integrierten API-Ressourcen zeigt

Sie können auch zu anderen Sammlungen navigieren, um zu erfahren, welche Arten von Erkenntnissen oder Risiken im Bestand vorhanden sein können:

Screenshot zeigt die Übersicht der API-Sammlungen.

Nächste Schritte