Aktivieren des API-Sicherheitsstatus mit Defender CSPM

Defender Cloud Security Posture Management (Defender CSPM) verschafft Ihnen Transparenz über APIs in Azure API Management, Function Apps und Logic Apps. Es hilft Ihnen, Fehlkonfigurationen und Sicherheitsrisiken zu erkennen. In diesem Artikel erfahren Sie, wie Sie den API-Sicherheitsstatus aktivieren, Inventar und Ergebnisse überprüfen und Korrekturaktionen priorisieren.

Voraussetzungen

Cloud- und Regionsunterstützung

Api Security Posture Management in Defender CSPM ist in der kommerziellen Azure-Cloud in den folgenden Regionen verfügbar:

  • Asien (Südostasien, Ostasien)
  • Australien (Australien, Osten; Australien, Südosten; Australien:Mitte; Australien, Mitte 2)
  • Brasilien (Brasilien, Süden; Brasilien, Südosten)
  • Kanada (Kanada, Mitte; Kanada, Osten)
  • Europa (Westeuropa, Nordeuropa)
  • Frankreich (Frankreich Zentral, Frankreich Süd)
  • Deutschland (Westmittelland, Deutschland Nord)
  • Indien (Zentralindien, Südindien, Westindien)
  • Italien (Italien Nord)
  • Japan (Japan, Osten; Japan, Westen)
  • Korea (Zentralkorea, Südkorea)
  • Norwegen (Norwegen Ost, Norwegen West)
  • Südafrika (Südafrika Nord, Südafrika West)
  • Schweden (Schweden Zentral, Schweden Süd)
  • Schweiz (Schweiz, Norden, Schweiz, Westen)
  • UAE (UAE Central, UAE North)
  • Vereinigtes Königreich (Vereinigtes Königreich, Süden; Vereinigtes Königreich, Westen)
  • USA (USA, Osten; USA, Osten 2; USA, Westen; USA, Westen 2; USA, Westen 3; USA, Mitte; USA, Norden-Mitte; USA, Süden-Mitte; USA, Westen-Mitte; USA, Osten 2 EUAP; USA, Mitte EUAP)

Lesen Sie die neuesten Cloud-Support-Informationen zu Plänen und Funktionen von Defender for Cloud in der Cloud-Support-Matrix.

API-Unterstützung

Verwenden Sie die folgende Tabelle, um unterstützte Ebenen und API-Typen für die API-Sicherheitsstatusverwaltung zu überprüfen.

Feature Supported
Verfügbarkeit Azure API Management: Dieses Feature ist in den Stufen Premium, Standard, Basic und Developer von Azure API Management verfügbar. ApIs, die über das selbst gehostete API-Verwaltungsgateway verfügbar gemacht oder über API-Verwaltungsarbeitsbereiche verwaltet werden, werden nicht unterstützt.

Azure-App Services: Die unterstützten Hostingebenen für Azure Functions-Apps umfassen Premium, Elastic Premium, Dedicated (App Service) und App Service-Umgebung (ASE). Für Azure Logic Apps umfassen unterstützte Ebenen Standard (Single-Tenant) und App Service-Umgebung (ASE). Nutzungsebenen-Funktions-Apps, Nutzungsebenenlogik-Apps und Azure Arc-fähige Logik-Apps werden nicht unterstützt.
API-Typen Unterstützung nur für REST-APIs.

Aktivieren der Erweiterung für die API-Sicherheitsstatusverwaltung

  1. Melden Sie sich im Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

  3. Wählen Sie das relevante Abonnement aus.

  4. Suchen Sie den Defender CSPM-Plan, und wählen Sie Einstellungen aus.

  5. Aktivieren Sie die API-Sicherheitsstatusverwaltung.

    Screenshot der Aktivierung der API-Sicherheitsstatusverwaltung

  6. Wählen Sie "Weiter" aus.

  7. Wählen Sie Speichern aus.

Eine Benachrichtigung erscheint, die bestätigt, dass die Einstellungen erfolgreich gespeichert wurden. Nach der Aktivierung beginnen APIs mit dem Onboarding und werden innerhalb weniger Stunden in Ihrem Defender for Cloud Inventar angezeigt.

Anzeigen des API-Bestands

APIs, die in den Defender CSPM Plan integriert sind, werden im API-Sicherheitsdashboard unter Workload-Schutz und Microsoft Defender for Cloud Inventory angezeigt.

  1. Navigieren Sie zum Abschnitt "Cloud Security" des Menüs Defender for Cloud, und wählen Sie API-Sicherheit unter Advanced Workload Protections aus.

    Screenshot des API-Sicherheitsdashboards.

  2. Das Dashboard zeigt die Anzahl der integrierten APIs, aufgeschlüsselt nach API-Sammlungen, Endpunkten und Azure API Management-Diensten. Sie enthält eine Zusammenfassung der APIs, die für die Sicherheitsabdeckung zur Bedrohungserkennung integriert sind, indem sie den Defender für APIs-Workloadschutzplan verwenden.

  3. Wenden Sie den Filter Defender-Plan == Defender CSPM , um die APIs anzuzeigen, die in den Defender CSPM-Plan integriert sind.

Screenshot der gefilterten APIs im Defender CSPM-Plan für den Status

  1. Wählen Sie OK aus.

  2. Wählen Sie einen API-Vorgang aus, der von Interesse ist, um die Sicherheitsergebnisse für bestimmte API-Vorgänge zu überprüfen.

    Screenshot der Seite

Detaillierte Erkenntnisse zu API-Endpunkten

Auf der Seite "API-Endpunktdetails" werden die folgenden Ergebnisse für jeden Vorgang angezeigt:

  1. Vertraulicher Informationstyp: Stellt Details zu den vertraulichen Informationen bereit, die in API-URL-Pfaden, Abfrageparametern, Anforderungstexten und Antworttexten basierend auf unterstützten Datentypen verfügbar gemacht werden, sowie die Quelle des gefundenen Informationstyps.

  2. Zusätzliche Informationen: Bei API-Antworttexten zeigt dieses Feld an, welche HTTP-Antwortcodes vertrauliche Informationen enthalten (z. B. 2xx, 3xx, 4xx).

Überprüfen Sie die Ergebnisse der API-Sicherheitslage zusammen mit Ihrem API-Inventar in der Microsoft Defender for Cloud Inventarerfahrung.

Untersuchen von API-Sicherheitsempfehlungen

Defender for Cloud bewertet kontinuierlich API-Endpunkte für Fehlkonfigurationen und Sicherheitsrisiken, einschließlich Authentifizierungsfehlern und inaktiven APIs. Es generiert Sicherheitsempfehlungen mit zugeordneten Risikofaktoren wie externe Expositions- und Datenempfindlichkeitsrisiken. Defender for Cloud berechnet die Wichtigkeit der Sicherheitsempfehlungen basierend auf diesen Risikofaktoren. Erfahren Sie mehr über risikobasierte Sicherheitsempfehlungen.

So untersuchen Sie Ihre API-Sicherheitsstatusempfehlungen

  1. Wechseln Sie zum Hauptmenü von Defender für Cloud, und wählen Sie "Empfehlungen" aus.

  2. Wählen Sie die Umschaltfläche " Nach Titel gruppieren " aus, um Empfehlungen zu organisieren.

  3. Filtern Sie nach Ressourcentyp (z. B. API-Verwaltungsvorgang oder API-Endpunkt) oder filtern Sie nach Empfehlungsname , um API-bezogene Empfehlungen auf bestimmte API-Sicherheitsprobleme einzugrenzen.

Sehen Sie sich den Abschnitt "APIs" im Referenzhandbuch zu Defender for Cloud an, um die vollständige Liste der API-bezogenen Empfehlungen zu erhalten.

Erkunden von API-Risiken und -Korrekturen mit der Analyse des Angriffspfads

Der Cloud-Sicherheits-Explorer hilft Ihnen, potenzielle Sicherheitsrisiken in Ihrer Cloudumgebung zu identifizieren, indem Sie das Cloudsicherheitsdiagramm abfragen.

  1. Melden Sie sich im Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Cloud Security Explorer.

  3. Verwenden Sie die integrierte Abfragevorlage, um APIs mit Sicherheitserkenntnissen schnell zu identifizieren.

    Screenshot des Cloud Security Explorers mit ABFRAGEvorlage für API-Sicherheitseinblicke.

  4. Erstellen Sie alternativ eine benutzerdefinierte Abfrage mit Cloud Security Explorer , um API-Risiken zu finden und API-Endpunkte anzuzeigen, die mit dem Back-End-Compute oder Datenspeicher verbunden sind. So können Sie beispielsweise API-Endpunkte anzeigen, die Datenverkehr an VMs mit einem Sicherheitsrisiko für Remotecodeausführungen weiterleiten.

    Screenshot der benutzerdefinierten Abfrage im Cloud Security Explorer.

Die Analyse des Angriffspfads in Defender for Cloud behebt Sicherheitsprobleme, die sofortige Bedrohungen für Ihre Cloudanwendungen und -umgebungen darstellen. Identifizieren und beheben Sie API-geführte Angriffspfade , um Ihre kritischsten API-Risiken zu beheben, die Ihre Organisation erheblich gefährden können.

  1. Wechseln Sie im Defender für Cloud-Menü zur Analyse des Angriffspfads.

  2. Filtern Sie nach API-Verwaltungsvorgang des Ressourcentyps, um API-bezogene Angriffspfade zu untersuchen.

    Screenshot der Analyse des Angriffspfads, gefiltert nach API-Verwaltungsvorgang.

  3. Zeigen Sie die Sicherheitsempfehlungen für Ihre API-Endpunkte im Geltungsbereich an, und wenden Sie die Empfehlungen an, um APIs mit Angriffsflächen mit einem hohen Risiko zu schützen.

    Screenshot der API-Sicherheitsempfehlungen in der Analyse des Angriffspfads.

Offboarding des API-Sicherheitsstatusschutzes durchführen

Sie können keine einzelnen APIs offboarden, die Teil des Defender CSPM-Plans sind. Um alle APIs aus dem Defender CSPM-Plan zu entfernen, wechseln Sie zur Seite Defender CSPM-Plan-Einstellungen und deaktivieren Sie die API-Sicherheitserweiterung.

Screenshot des Deaktivierens der API-Sicherheitsstatusverwaltung.

Wählen Sie "Weiter" und dann " Speichern " aus, um dies zu bestätigen. Diese Aktion entfernt alle APIs aus dem Defender CSPM-Plan, und die Verwaltung der API-Sicherheitslage ist deaktiviert.

Nächster Schritt