Proteja suas APIs com o Defender for APIs

  • Artigo

O Defender for APIs no Microsoft Defender for Cloud oferece proteção de ciclo de vida completo, deteção e cobertura de resposta para APIs.

O Defender for APIs ajuda você a obter visibilidade sobre APIs críticas para os negócios. Você pode investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidades e detetar rapidamente ameaças ativas em tempo real.

Este artigo descreve como habilitar e integrar o plano do Defender for APIs no portal do Defender for Cloud. Como alternativa, você pode habilitar o Defender para APIs em uma instância de Gerenciamento de API no portal do Azure.

Saiba mais sobre o plano Microsoft Defender for APIs no Microsoft Defender for Cloud. Saiba mais sobre o Defender for APIs.

Pré-requisitos

  • Precisará de uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.

  • Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.

  • Analise Suporte, permissões e requisitos do Defender para APIs antes de começar a implementação.

  • Você ativa o Defender para APIs no nível da assinatura.

  • Certifique-se de que as APIs que pretende proteger estão publicadas na API Management do Azure. Siga estas instruções para configurar a API Management do Azure.

  • Você deve selecionar um plano que conceda direito apropriado para o volume de tráfego da API em sua assinatura para receber o preço ideal. Por padrão, as assinaturas são ativadas no "Plano 1", o que pode levar a excessos inesperados se sua assinatura tiver tráfego de API superior ao direito a um milhão de chamadas de API.

Habilitar o plano do Defender para APIs

Ao selecionar um plano, considere estes pontos:

  • O Defender for APIs protege apenas as APIs que estão integradas ao Defender for APIs. Isso significa que você pode ativar o plano no nível da assinatura e concluir a segunda etapa de integração corrigindo a recomendação de integração. Para obter mais informações sobre a integração, consulte o guia de integração.
  • O Defender for APIs tem cinco planos de preços, cada um com um limite de direitos e uma taxa mensal diferentes. A faturação é feita ao nível da subscrição.
  • A cobrança é aplicada a toda a assinatura com base na quantidade total de tráfego de API monitorado ao longo do mês para a assinatura.
  • O tráfego da API contado para o faturamento é redefinido para 0 no início de cada mês (a cada ciclo de faturamento).
  • Os excedentes são calculados no tráfego da API que excede o limite de direitos por seleção de plano durante o mês para toda a sua assinatura.

Para selecionar o melhor plano para sua assinatura na página de preços do Microsoft Defender for Cloud, siga estas etapas e escolha o plano que corresponde aos requisitos de tráfego da API de suas assinaturas:

  1. Entre no portal e, no Defender for Cloud, selecione Configurações de ambiente.

  2. Selecione a assinatura que contém as APIs gerenciadas que você deseja proteger.

    Captura de tela que mostra onde selecionar Configurações de ambiente.

  3. Selecione Detalhes na coluna de preços do plano de APIs.

    Captura de tela que mostra onde selecionar os detalhes da API.

  4. Selecione o plano adequado para a sua subscrição.

  5. Selecione Guardar.

Selecionando o plano ideal com base no histórico de uso de tráfego da API de Gerenciamento de API do Azure

Você deve selecionar um plano que conceda direito apropriado para o volume de tráfego da API em sua assinatura para receber o preço ideal. Por padrão, as assinaturas são aceitas no Plano 1, o que pode levar a excessos inesperados se sua assinatura tiver tráfego de API superior ao direito de um milhão de chamadas de API.

Para estimar o tráfego mensal da API no Gerenciamento de API do Azure:

  1. Navegue até o portal de Gerenciamento de API do Azure e selecione Métricas no item da barra de menus Monitoramento.

    Captura de tela que mostra onde selecionar métricas.

  2. Selecione o intervalo de tempo como Últimos 30 dias.

  3. Selecione e defina os seguintes parâmetros:

    1. Escopo: Nome do Serviço de Gerenciamento de API do Azure
    2. Namespace de métrica: métricas padrão do serviço de gerenciamento de API
    3. Métrica = Solicitações
    4. Agregação = Soma

  4. Depois de definir os parâmetros acima, a consulta será executada automaticamente e o número total de solicitações dos últimos 30 dias aparecerá na parte inferior da tela. No exemplo de captura de tela, a consulta resulta em 414 números totais de solicitações.

    Captura de tela que mostra os resultados das métricas.

    Nota

    Estas instruções são para calcular o uso por serviço de gerenciamento de API do Azure. Para calcular o uso estimado de tráfego para todos os serviços de gerenciamento de API na assinatura do Azure, altere o parâmetro Scope para cada serviço de gerenciamento de API do Azure na assinatura do Azure, execute novamente a consulta e some os resultados da consulta.

Se você não tiver acesso para executar a consulta de métricas, entre em contato com seu administrador interno do Gerenciamento de API do Azure ou com seu gerente de conta da Microsoft.

Nota

Depois de habilitar o Defender para APIs, as APIs integradas levam até 50 minutos para aparecer na guia Recomendações. As informações de segurança estão disponíveis no painel de segurança da API de proteções>de carga de trabalho em até 40 minutos após a integração.

APIs integradas

  1. No portal do Defender para a Cloud, selecione Recomendações.

  2. Procure o Defender para APIs.

  3. Em Habilitar recursos de segurança avançados, selecione a recomendação de segurança As APIs de Gerenciamento de API do Azure devem ser integradas ao Defender for APIs:

    Captura de tela que mostra como ativar o plano do Defender para APIs a partir da recomendação.

  4. Na página de recomendação, você pode revisar a gravidade da recomendação, o intervalo de atualização, a descrição e as etapas de correção.

  5. Analise os recursos no âmbito das recomendações:

    • Recursos não íntegros: recursos que não estão integrados ao Defender for APIs.
    • Recursos íntegros: recursos de API integrados ao Defender for APIs.
    • Recursos não aplicáveis: recursos de API que não são aplicáveis para proteção.

  6. Em Recursos não íntegros, selecione as APIs que você deseja proteger com o Defender for APIs.

  7. Selecione Corrigir:

    Captura de tela que mostra os detalhes da recomendação para ativar o plano.

  8. Em Corrigindo recursos , revise as APIs selecionadas e selecione Corrigir recursos:

    Captura de tela que mostra como corrigir recursos não íntegros.

  9. Verifique se a correção foi bem-sucedida:

    Captura de tela que confirma que a correção foi bem-sucedida.

Controlar recursos de API integrados

Depois de integrar os recursos da API, você pode acompanhar seu status no portal do Defender >for Cloud Segurança da API de proteções de>carga de trabalho:

Captura de tela que mostra como rastrear recursos de API integrados.

Você também pode navegar para outras coleções para saber quais tipos de informações ou riscos podem existir no inventário:

Captura de tela mostrando a visão geral das coleções de API.

Próximos passos