Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Требования
Defender для облака изначально интегрирован со Службой приложений, что устраняет необходимость развертывания и адаптации — интеграция прозрачна.
Чтобы защитить план службы приложений Azure с помощью Microsoft Defender для службы приложений, вам потребуется:
Поддерживаемый план служб приложений, связанный с выделенными машинами.
Расширенные функции безопасности Defender для облака включены в вашу подписку, как описано в Включите расширенные функции безопасности.
Совет
При необходимости можно включить отдельные планы Microsoft Defender, например Microsoft Defender для Службы приложений.
Плата за Microsoft Defender для службы приложений взимается, как показано на странице цен. Расчет выставления счетов производится на основании общего числа вычислительных экземпляров в каждом плане.
Следующие планы Службы приложений поддерживаются:
- План служб "Стандартный"
- План служб "Премиум V2"
- План служб "Премиум" версии 3
- Среда службы приложений версии 1
- Среда службы приложений версии 2
- Среда службы приложений, версия 3
Ознакомьтесь с доступностью в облаке Defender для службы приложений.
Каковы преимущества Microsoft Defender для Службы приложений?
Служба приложений Azure — это полностью управляемая платформа для создания и размещения веб-приложений и API. Так как платформа полностью управляется, вам не нужно беспокоиться об инфраструктуре. Решение обеспечивает управление, мониторинг и оперативную аналитику для удовлетворения требований к производительности, безопасности и соответствию корпоративного уровня. Дополнительные сведения см. на странице Службы приложений Azure.
Microsoft Defender для Службы приложений использует масштаб облака для определения атак, направленных на приложения, которые выполняются в Службе приложений. Злоумышленники проверяют веб-приложения, чтобы найти уязвимости и воспользоваться ими. Перед перенаправлением в конкретные среды запросы к приложениям, выполняемым в Azure, проходят через несколько шлюзов, которые проверяют их и регистрируют в журнале. Затем эти данные используются для идентификации эксплойтов и злоумышленников, а также для изучения новых шаблонов, которые можно использовать позже.
После включения Microsoft Defender для Службы приложений вы сразу же можете воспользоваться следующими службами, предлагаемыми этим планом Defender:
Защита — Defender для Службы приложений оценивает ресурсы, на которые распространяется план Службы приложений, и создает рекомендации по обеспечению безопасности в зависимости от полученных результатов. Чтобы укрепить ресурсы службы приложений, используйте подробные инструкции в этих рекомендациях.
Обнаружение — Defender для Службы приложений обнаруживает множество угроз для ресурсов Службы приложений, отслеживая следующие действия:
- Экземпляр виртуальной машины, в котором выполняется Служба приложений, и его интерфейс управления
- запросы и ответы, отправляемые и принимаемые приложениями Службы приложений;
- базовые песочницы и виртуальные машины;
- внутренние журналы службы приложений — доступны благодаря видимости, которой располагает Azure как поставщик облачных служб.
В качестве собственного облачного решения Defender для Службы приложений может выявлять методологии атак, направленных на несколько целевых объектов. Например, с одного узла было бы трудно обнаружить распределенную атаку из небольшого набора IP-адресов со сканированием аналогичных конечных точек на нескольких узлах.
Данные журнала и инфраструктура позволяют узнать о многом, начиная от распространяющихся новых атак и заканчивая компрометациями на компьютерах клиентов. Таким образом, даже если Microsoft Defender для Службы приложений развернут после того, как злоумышленники воспользовались уязвимостью веб-приложения, он может обнаружить текущие атаки.
Какие угрозы может обнаруживать Defender для Службы приложений?
Угрозы по тактикам MITRE ATT&CK
Defender для облака отслеживает множество угроз для ресурсов Службы приложений. Оповещения охватывают почти полный список тактик MITRE ATT&CK от предварительной атаки до команды и контроля.
Угрозы предварительной атаки — Defender для облака может обнаруживать выполнение нескольких типов сканеров уязвимостей, которые злоумышленники часто используют для поиска слабых мест в приложениях.
Угрозы начального доступа - Платформа Microsoft Defender Threat Intelligence предоставляет эти оповещения, которые включают, например, срабатывание оповещения при подключении известного вредоносного IP-адреса к интерфейсу FTP службы приложений Azure.
Угрозы выполнения — Defender для облака может обнаруживать попытки запуска команд с высоким уровнем привилегий, команд Linux в Службе приложений Windows, бесфайловые атаки, инструменты майнинга цифровых валют и многие другие действия по выполнению подозрительного и вредоносного кода.
Определение недействительных записей DNS
Defender для Службы приложений также определяет записи DNS, оставшиеся в вашем регистраторе DNS при прекращении использования веб-сайта Службы приложений. Такие записи называются недействительными записями DNS. При удалении веб-сайта и если не удалить его пользовательский домен из регистратора DNS, запись DNS будет указывать на несуществующий ресурс, что делает ваш поддомен уязвимым для захвата. Defender для облака не проверяет регистратор DNS на предмет существующих недействительных DNS-записей. Он предупреждает о том, что веб-сайт Службы приложений уже не используется, но его личный домен (запись DNS) не был удален.
Перехват поддоменов — это распространенная угроза высокого уровня серьезности для организаций. Когда злоумышленник обнаруживает недействительные записи DNS, он создает свой собственный сайт по адресу назначения. Трафик, предназначенный для домена организации, направляется на сайт злоумышленника, который затем может использовать этот трафик для широкого спектра вредоносных действий.
Защита от устаревших записей DNS обеспечивается независимо от того, управляются ли ваши домены с помощью Azure DNS или внешнего регистратора домена, и применяется к службе приложений в Windows и Linux.
Узнайте больше о недействительных записях DNS и угрозах перехвата поддоменнов в Предотвращение появления недействительных записей DNS и перехвата поддоменов.
Полный список оповещений Службы приложений см. в справочной таблице оповещений.
Примечание.
Defender для облака может не запускать оповещения о недействительных записях DNS, если ваш личный домен не указывает непосредственно на ресурс Службы приложений или если Defender для облака не отслеживал трафик на ваш веб-сайт с момента включения защиты от недействительных записей DNS (так как не будет журналов, которые помогут определить личный домен).
Следующие шаги
Из этой статьи вы узнали о том, что такое Microsoft Defender для Службы приложений.
Связанные материалы см. в следующих статьях:
- Чтобы экспортировать оповещения в Microsoft Sentinel, партнерское SIEM или любое другое внешнее средство, следуйте инструкциям в разделе передача оповещений в решения для мониторинга.
- Список оповещений Microsoft Defender для Службы приложений см. в справочной таблице оповещений.
- Для получения дополнительной информации о планах Службы приложений см. планы Службы приложений.