Panoramica di Defender per il Servizio app per proteggere le app Web e le API del Servizio app di Azure

Prerequisiti

Defender for Cloud è integrato in modo nativo con il servizio app, eliminando la necessità di eseguire la distribuzione e l'onboarding; l'integrazione è trasparente.

Per proteggere il piano di Servizio app di Azure con Microsoft Defender per il Servizio app, è necessario:

  • Piano di Servizio app supportato associato ai computer dedicati. I piani supportati sono elencati nella sezione Disponibilità.

  • Le protezioni avanzate di Defender per il cloud abilitate nella sottoscrizione, come descritto in Abilitare le funzionalità di sicurezza avanzate.

    Suggerimento

    Facoltativamente, è possibile abilitare singoli piani di Microsoft Defender, ad esempio Microsoft Defender per il Servizio app.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Microsoft Defender per il Servizio app è soggetto alle tariffe visualizzate nella pagina dei prezzi
La fatturazione è in base alle istanze di calcolo totali in tutti i piani
Piani di servizio app supportati: I piani di Servizio app supportati sono:
• Piano Gratuito
• Piano di servizio di base
• Piano di servizio Standard
• Piano di servizio Premium v2
• Piano di servizio Premium v3
• Ambiente del Servizio app v1
• Ambiente del Servizio app di Azure v2
• Ambiente del Servizio app v3
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)

Quali sono i vantaggi di Microsoft Defender per il Servizio app?

Servizio app di Azure è una piattaforma completamente gestita per la creazione e l'hosting di app Web e API. Poiché la piattaforma è completamente gestita, non è necessario preoccuparsi dell'infrastruttura. Fornisce funzionalità di gestione e monitoraggio e informazioni operative dettagliate per soddisfare i requisiti di prestazioni, sicurezza e conformità di livello aziendale. Per altre informazioni, vedere Servizio app di Azure.

Microsoft Defender per il servizio app sfrutta la scalabilità del cloud per identificare gli attacchi alle applicazioni in esecuzione sul servizio app. Gli utenti malintenzionati mettono alla prova le applicazioni Web per individuare e sfruttare i punti deboli. Prima di essere instradate verso ambienti specifici, le richieste alle applicazioni in esecuzione in Azure passano attraverso diversi gateway, in cui vengono ispezionate e registrate. Questi dati vengono poi usati per identificare exploit e utenti malintenzionati, oltre che per apprendere nuovi criteri che è possibile usare successivamente.

Quando si abilita Microsoft Defender per il servizio app, si ottengono immediatamente i vantaggi dei servizi seguenti offerti da questo piano di Defender:

  • Proteggere: Defender per il servizio app valuta le risorse coperte dal piano di servizio app e genera raccomandazioni sulla sicurezza in base ai risultati ottenuti. Per rafforzare la protezione avanzata delle risorse del Servizio app, usare le istruzioni dettagliate riportate in queste raccomandazioni.

  • Rilevare: Defender per il servizio app rileva una moltitudine di minacce alle risorse del servizio app monitorando:

    • l'istanza di macchina virtuale in cui è in esecuzione il servizio app e la relativa interfaccia di gestione
    • le richieste e le risposte inviate da e verso le app del servizio app
    • le macchine virtuali e le sandbox sottostanti
    • i log interni del servizio app, disponibili grazie alla visibilità di cui Azure dispone come provider di servizi cloud

In quanto soluzione nativa del cloud, Defender per il servizio app è in grado di identificare le metodologie di attacco che si applicano a più destinazioni. Da un singolo host sarebbe ad esempio difficile identificare un attacco distribuito da un piccolo subset di indirizzi IP, che esegue una ricerca per indicizzazione in endpoint simili in più host.

I dati di log e l'infrastruttura, insieme, possono fornire indicazioni su ciò che accade, da un nuovo attacco in circolazione alle compromissioni nei computer dei clienti. Pertanto, anche se Microsoft Defender per il servizio app viene distribuito dopo che le vulnerabilità di un'app Web sono già state sfruttate, potrebbe essere in grado di rilevare gli attacchi in atto.

Quali minacce possono essere rilevate da Defender per servizio app?

Minacce da tattiche MITRE ATT&CK

Defender per il cloud monitora molte minacce alle risorse servizio app. Gli avvisi coprono quasi l'elenco completo delle tattiche MITRE ATT&CK dal pre-attacco al comando e al controllo.

  • Minacce preventive: Defender per il cloud può rilevare l'esecuzione di più tipi di scanner di vulnerabilità che gli utenti malintenzionati usano di frequente per verificare le vulnerabilità delle applicazioni.

  • Minacce di accesso iniziali - L'intelligence sulle minacce Microsoft supporta questi avvisi, che includono l'attivazione di un avviso quando un indirizzo IP dannoso noto si connette all'interfaccia FTP di Servizio app di Azure.

  • Minacce per l'esecuzione: Defender per il cloud può rilevare i tentativi di eseguire comandi con privilegi elevati, comandi Linux in un servizio app di Windows, comportament di attacco senza file, strumenti di data mining di valuta digitale e molte altre attività di esecuzione di codice sospette e dannose.

Rilevamento DNS inesatto

Defender per il Servizio app identifica anche le voci DNS rimanenti nel registrar DNS quando un sito Web del Servizio app viene rimosso. Queste voci sono note come voci DNS inesatte. Quando si rimuove un sito Web e non si rimuove il dominio personalizzato dal registrar DNS, la voce DNS punta a una risorsa inesistente e il sottodominio è vulnerabile a un'acquisizione. Defender per il cloud non analizza il registrar DNS per individuare le voci DNS inesatte esistenti ; avvisa quando un sito Web del Servizio app viene rimosso e il relativo dominio personalizzato (voce DNS) non viene eliminato.

Le acquisizioni di sottodominio sono una minaccia comune e con gravità elevata per le organizzazioni. Quando un attore di minaccia rileva una voce DNS inesatta, crea il proprio sito nell'indirizzo di destinazione. Il traffico destinato al dominio dell'organizzazione viene indirizzato al sito dell'attore di minaccia e può usare tale traffico per un'ampia gamma di attività dannose.

La protezione DNS inesatta è disponibile se i domini vengono gestiti con DNS di Azure o con un registrar di dominio esterno e si applicano al Servizio app sia in Windows che in Linux.

Esempio di avviso relativo a una voce DNS inesatta individuata. Abilitare Microsoft Defender per il Servizio app per ricevere questo e altri avvisi per l'ambiente.

Per altre informazioni sul DNS incerto e la minaccia di acquisizione del sottodominio vedere Impedire voci DNS inesatte ed evitare l'acquisizione del sottodominio.

Per un elenco completo degli avvisi del Servizio app, vedere la tabella di riferimento degli avvisi.

Nota

Defender per il cloud potrebbe non attivare avvisi DNS inesatti se il dominio personalizzato non punta direttamente a una risorsa del Servizio app o se Defender per il cloud non ha monitorato il traffico verso il sito Web perché la protezione DNS inesatta è stata abilitata (perché non ci saranno log per identificare il dominio personalizzato).

Passaggi successivi

In questo articolo sono state fornite informazioni su Microsoft Defender per Servizio app.

Per i materiali correlati, vedere gli articoli seguenti: