Обзор службы Defender для Служба приложений Azure: защита существующих веб-приложений и API

Необходимые условия

Defender для облака изначально интегрирован с службой приложений, что устраняет необходимость развертывания и подключения — интеграция является прозрачной.

Чтобы защитить план Служба приложений Azure с помощью Microsoft Defender для службы приложений, вам потребуется:

Диагностика службы приложений для исследования оповещений

Чтобы изучить оповещения системы безопасности, активированные Microsoft Defender для службы приложений, включите параметры диагностики в ресурсе службы приложений. Журналы диагностики фиксируют HTTP-трафик, события приложения и действия уровня платформы, которые предоставляют критически важные доказательства при анализе подозрительного поведения. Без этих журналов данные, доступные для расследования инцидентов, могут быть ограничены.

Important

Включение параметров диагностики может привести к дополнительным расходам на хранение данных в зависимости от объема журналов и выбранного места назначения, например рабочей области Log Analytics или учетной записи хранения.

Преимущества Microsoft Defender для службы приложений?

Служба приложений Azure — это полностью управляемая платформа для создания и размещения веб-приложений и API. Так как платформа полностью управляется, вам не нужно беспокоиться об инфраструктуре. Решение обеспечивает управление, мониторинг и оперативную аналитику для удовлетворения требований к производительности, безопасности и соответствию корпоративного уровня. Дополнительные сведения см. в разделе Служба приложений Azure.

Microsoft Defender для службы приложений использует масштаб облака для выявления атак, предназначенных для приложений, работающих через службу приложений. Злоумышленники проверяют веб-приложения, чтобы найти уязвимости и воспользоваться ими. Прежде чем направляться в определенные среды, запросы к приложениям, работающим в Azure, проходят через несколько шлюзов, где они проверяются и регистрируются. Затем эти данные используются для идентификации эксплойтов и злоумышленников, а также для изучения новых шаблонов, которые можно использовать позже.

После включения Microsoft Defender для Службы приложений вы сразу же можете воспользоваться следующими службами, предлагаемыми этим планом Defender:

  • Secure — Defender для службы приложений оценивает ресурсы, охваченные планом службы приложений, и создает рекомендации по безопасности на основе своих результатов. Чтобы укрепить ресурсы службы приложений, используйте подробные инструкции в этих рекомендациях.

  • Detect — Defender для службы приложений обнаруживает множество угроз для ресурсов службы приложений, отслеживая:

    • Экземпляр виртуальной машины, в котором выполняется Служба приложений, и его интерфейс управления
    • запросы и ответы, отправляемые и принимаемые приложениями службы App Service
    • базовые песочницы и виртуальные машины;
    • внутренние журналы службы приложений — доступны благодаря видимости, которой располагает Azure как поставщик облачных служб.

В качестве облачного решения Defender для службы приложений может определять методологии атак, применяемые к нескольким целевым объектам. Например, с одного узла было бы трудно обнаружить распределенную атаку из небольшого набора IP-адресов со сканированием аналогичных конечных точек на нескольких узлах.

Данные журнала и инфраструктура позволяют узнать о многом, начиная от распространяющихся новых атак и заканчивая компрометациями на компьютерах клиентов. Таким образом, даже если Microsoft Defender для Службы приложений развернут после того, как злоумышленники воспользовались уязвимостью веб-приложения, он может обнаружить текущие атаки.

Какие угрозы может обнаружить Defender для службы приложений?

Угрозы по тактикам MITRE ATT&CK

Defender для облака отслеживает множество угроз для ресурсов службы приложений. Оповещения охватывают практически полный список тактик MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — от этапа подготовки атаки до этапа управления и контроля.

  • Угрозы до атаки — Defender для облака может обнаруживать выполнение нескольких типов сканеров уязвимостей, которые злоумышленники часто используют для проверки приложений на наличие слабых мест.

  • Угрозы начального доступа - Платформа Аналитика угроз Microsoft Defender предоставляет эти оповещения, которые включают, например, срабатывание оповещения при подключении известного вредоносного IP-адреса к интерфейсу FTP службы приложений Azure.

  • Угрозы выполнения — Defender для облака может обнаруживать попытки запуска команд с высоким уровнем привилегий, команд Linux в Службе приложений Windows, бесфайловые атаки, инструменты майнинга цифровых валют и многие другие действия по выполнению подозрительного и вредоносного кода.

Определение недействительных записей DNS

Defender для App Service также идентифицирует все записи DNS, оставшиеся в регистраторе DNS, когда веб-сайт службы приложений закрывается. Они называются подвисшими записями DNS. При удалении веб-сайта и если не удалить его пользовательский домен из регистратора DNS, запись DNS будет указывать на несуществующий ресурс, что делает ваш поддомен уязвимым для захвата. Defender для облака не сканирует ваш регистратор DNS на наличие существующих висячих DNS-записей; он уведомляет вас, когда веб-сайт службы приложений выводится из эксплуатации, а его пользовательский домен (запись DNS) не удаляется.

Перехват поддоменов — это распространенная угроза высокого уровня серьезности для организаций. Когда злоумышленник обнаруживает недействительные записи DNS, он создает свой собственный сайт по адресу назначения. Трафик, предназначенный для домена организации, направляется на сайт злоумышленника, который затем может использовать этот трафик для широкого спектра вредоносных действий.

Защита от устаревших записей DNS обеспечивается независимо от того, управляются ли ваши домены с помощью Azure DNS или внешнего регистратора домена, и применяется к службе приложений в Windows и Linux.

Пример оповещения об обнаруженной

Узнайте больше о недействительных записях DNS и угрозах перехвата поддоменнов в Предотвращение появления недействительных записей DNS и перехвата поддоменов.

Полный список оповещений Службы приложений см. в справочной таблице оповещений.

Note

Defender для облака может не активировать оповещения о висящем DNS, если ваш пользовательский домен не указывает непосредственно на ресурс службы приложений или если Defender для облака не отслеживал трафик на ваш веб-сайт с момента включения защиты от висящего DNS (так как не будет журналов для идентификации пользовательского домена).

Дальнейшие действия

В этой статье вы узнали о Microsoft Defender для службы приложений.