Защитите свои API с помощью Defender для API

Defender для API-интерфейсов в Microsoft Defender для облака обеспечивает полную защиту жизненного цикла, обнаружение и реагирование для API-интерфейсов.

Defender для API помогает получить представление о критически важных для бизнеса API. Вы можете исследовать и улучшать состояние безопасности API, определять приоритеты исправлений уязвимостей и быстро обнаруживать активные угрозы в режиме реального времени.

В этой статье описывается, как включить и подключить план Defender для API на портале Defender для облака. Кроме того, вы можете включить Defender для API в экземпляре Управление API в портале Azure.

Дополнительные сведения о плане Microsoft Defender для API см. в Microsoft Defender для облака. Узнайте больше о Defender для API.

Предварительные условия

  • Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.

  • Необходимо включить Microsoft Defender для облака в подписке Azure.

  • Перед началом развертывания ознакомьтесь со статьей Поддержка, разрешения и требования Defender для API.

  • Вы включите Defender для API на уровне подписки.

  • Убедитесь, что API-интерфейсы, которые необходимо защитить, опубликованы в Azure API Management. Для настройки Azure API Management выполните эти инструкции.

  • Необходимо выбрать план, который предоставляет право, соответствующее объему трафика API в подписке, чтобы получить наиболее оптимальную цену. По умолчанию подписки переводятся на "План 1", что может привести к неожиданному превышению лимита, если у вашей подписки есть трафик API выше одного миллиона вызовов API.

Включите план Defender for APIs

При выборе плана рассмотрите следующие моменты:

  • Защитник для API защищает только те API, которые интегрированы в Защитник для API. Это означает, что вы можете активировать план на уровне подписки и выполнить второй шаг подключения, исправив рекомендацию по подключению.
  • Defender для API-интерфейсов имеет пять планов ценообразования, каждый из которых имеет разные ограничения прав и ежемесячную плату. Выставление счетов выполняется на уровне подписки.
  • Выставление счетов применяется ко всей подписке на основе общего объема трафика API, отслеживаемого в течение месяца.
  • Трафик API, отсчитываемый в сторону выставления счетов, сбрасывается до 0 в начале каждого месяца (каждый период выставления счетов).
  • Превышения рассчитываются в случае трафика API, который превышает лимит, определенный выбранным планом, в течение месяца для всей подписки.

Чтобы выбрать лучший план для вашей подписки в Microsoft Defender для облака, зайдите на страницу ценообразования. Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака. Выполните следующие действия, чтобы выбрать план, соответствующий требованиям к трафику API подписок:

  1. Войдите на портал и в Defender для облака выберите параметры среды.

  2. Выберите подписку, содержащую управляемые API, которые требуется защитить.

    Снимок экрана, на котором показано, где выбрать параметры среды.

  3. Выберите сведения в столбце цен для плана API.

    Снимок экрана, на котором показано, где выбрать сведения о API.

  4. Выберите план, подходящий для вашей подписки.

  5. Выберите Сохранить.

Выберите оптимальный план на основе исторических данных о трафике API управления Azure.

Необходимо выбрать план, который предоставляет право, соответствующее объему трафика API в подписке, чтобы получить наиболее оптимальную цену. По умолчанию подписки автоматически подключаются на План 1, что может привести к непредвиденным превышениям лимита, если в вашей подписке трафик API превышает один миллион вызовов API.

Чтобы оценить ежемесячный трафик API в Управлении API Azure:

  1. Перейдите на портал управления Azure API и выберите Метрики в пункте меню «Мониторинг».

    Снимок экрана, на котором показано, где выбрать метрики.

  2. Выберите диапазон времени в качестве последних 30 дней.

  3. Выберите и задайте следующие параметры:

    1. Область: имя службы Управление API Azure
    2. Пространство имен метрик: стандартные метрики службы управления API
    3. Метрика = запросы
    4. Агрегирование = Сумма

  4. После задания указанных выше параметров запрос будет автоматически выполняться, а общее количество запросов за последние 30 дней отображается в нижней части экрана. В примере снимка экрана запрос приводит к 414 общему количеству запросов.

    Снимок экрана: результаты метрик.

    Примечание.

    Эти инструкции предназначены для вычисления использования для каждой службы управления API Azure. Чтобы вычислить предполагаемое использование трафика для всех служб управления API в подписке Azure, измените параметр Scope на каждую службу управления API Azure в подписке Azure, повторно выполните запрос и суммирует результаты запроса.

Если у вас нет доступа к запросу метрик, обратитесь к своему внутреннему администратору Azure Управление API или руководителю учетных записей Майкрософт.

Примечание.

После включения Defender для API, подключенные API занимают до 50 минут, чтобы появиться на вкладке "Рекомендации". Данные о безопасности доступны на панели защиты API рабочих нагрузок в течение 40 минут после подключения.

Встроенные API

  1. На портале Defender для облака выберите пункт Рекомендации.

  2. Найдите Defender для API.

  3. Во вкладке «Включить расширенные функции безопасности» выберите рекомендацию по обеспечению безопасности: API управления Azure API должны быть подключены к Defender для API.

    Снимок экрана, демонстрирующий, как включить план защиты для API на основе рекомендации.

  4. На странице рекомендаций можно просмотреть сведения о серьезности рекомендаций, интервале обновления, описании и исправлении.

  5. Просмотрите ресурсы, охватываемые рекомендациями.

    • Проблемные ресурсы: Ресурсы, которые не подключены к Defender for APIs.
    • Работоспособные ресурсы: ресурсы API, подключенные к Defender for APIs.
    • Неприменимые ресурсы: ресурсы API, которые не применимы для защиты.

  6. В нездоровых ресурсах выберите API, которые необходимо защитить с помощью Defender for APIs.

  7. Выберите "Исправить":

    Снимок экрана, показывающий сведения о рекомендации по включению плана.

  8. В разделе "Исправление ресурсов " просмотрите выбранные API и выберите "Исправить ресурсы":

    Снимок экрана, показывающий, как исправить неработоспособные ресурсы.

  9. Убедитесь, что исправление выполнено успешно:

    Снимок экрана: подтверждение успешного исправления.

Отслеживание подключенных ресурсов API

После подключения ресурсов API вы можете отслеживать их состояние в портале Defender для облака в разделе >Защита рабочих нагрузок>Безопасность API.

Снимок экрана: отслеживание подключенных ресурсов API.

Вы также можете перейти к другим коллекциям, чтобы узнать, какие типы аналитических сведений или рисков могут существовать в инвентаризации:

Снимок экрана: обзор коллекций API.

Просмотр текущего покрытия

Defender для облака предоставляет доступ к рабочим книгам через рабочие книги Azure. Рабочие тетради — это настраиваемые отчеты, которые предоставляют аналитику вашего состояния безопасности.

Книга покрытия помогает понять текущее покрытие, показывая, какие планы включены в подписках и ресурсах.

Следующие шаги

  • Last updated on