Přehled služby Defender for App Service za účelem ochrany webových aplikací a rozhraní API služby Aplikace Azure Service
Požadavky
Defender pro cloud je nativně integrovaný se službou App Service a eliminuje potřebu nasazení a onboardingu – integrace je transparentní.
K ochraně plánu služby Aplikace Azure pomocí programu Microsoft Defender for App Service potřebujete:
Podporovaný plán služby App Service přidružený k vyhrazeným počítačům.
Rozšířená ochrana Defenderu pro cloud je ve vašem předplatném povolená, jak je popsáno v části Povolení rozšířených funkcí zabezpečení.
Tip
Volitelně můžete povolit jednotlivé plány Programu Microsoft Defender, jako je Microsoft Defender pro App Service.
Microsoft Defender for App Service se fakturuje, jak je znázorněno na stránce s cenami. Fakturace se počítá podle celkových výpočetních instancí v každém plánu.
Podporované plány služby App Service jsou:
- Plán standardní služby
- Plán Premium v2
- Plán služby Premium v3
- App Service Environment v1
- App Service Environment v2
- App Service Environment v3
Podívejte se na dostupnost cloudu služby Defender for App Service.
Jaké jsou výhody služby Microsoft Defender for App Service?
Aplikace Azure Service je plně spravovaná platforma pro vytváření a hostování webových aplikací a rozhraní API. Vzhledem k tomu, že je platforma plně spravovaná, nemusíte se starat o infrastrukturu. Poskytuje přehledy o správě, monitorování a provozu, které splňují požadavky na výkon, zabezpečení a dodržování předpisů na podnikové úrovni. Další informace najdete v tématu Aplikace Azure Service.
Microsoft Defender for App Service používá škálu cloudu k identifikaci útoků, které cílí na aplikace spuštěné přes App Service. Útočníci testují webové aplikace za účelem vyhledání a zneužití slabých stránek. Před směrováním do konkrétních prostředí procházejí požadavky na aplikace spuštěné v Azure několika branami, kde se kontrolují a protokolují. Tato data se pak používají k identifikaci zneužití a útočníků a k seznámení s novými vzory, které je možné použít později.
Když povolíte Microsoft Defender for App Service, okamžitě získáte z následujících služeb nabízených tímto plánem Defenderu:
Zabezpečení – Defender for App Service vyhodnocuje prostředky, na které se vztahuje váš plán služby App Service, a na základě svých zjištění generuje doporučení zabezpečení. Pokud chcete posílit zabezpečení prostředků služby App Service, postupujte podle podrobných pokynů v těchto doporučeních.
Detekce – Defender for App Service detekuje celou řadu hrozeb pro vaše prostředky služby App Service monitorováním:
- instance virtuálního počítače, ve které je spuštěná služba App Service, a její rozhraní pro správu
- požadavky a odpovědi odeslané do a z vašich aplikací App Service
- základní sandboxy a virtuální počítače
- Interní protokoly služby App Service – dostupné díky viditelnosti, kterou Má Azure jako poskytovatel cloudu
Jako řešení nativní pro cloud může Defender for App Service identifikovat metodologie útoků, které se vztahují na více cílů. Například z jednoho hostitele by bylo obtížné identifikovat distribuovaný útok z malé podmnožiny IP adres a procházet podobné koncové body na více hostitelích.
Data protokolů a infrastruktura společně můžou vyprávět příběh: od nového útoku, který se pohybuje v divočině až po ohrožení počítačů zákazníků. Proto i v případě, že je Microsoft Defender for App Service nasazený po zneužití webové aplikace, může být schopen detekovat probíhající útoky.
Jaké hrozby může Defender for App Service rozpoznat?
Hrozby podle taktiky MITRE ATT&CK
Defender for Cloud monitoruje řadu hrozeb pro vaše prostředky služby App Service. Výstrahy pokrývají téměř úplný seznam taktik MITRE ATT&CK od předběžného připojení k příkazům a řízení.
Hrozby před útokem – Defender for Cloud dokáže detekovat provádění více typů skenerů ohrožení zabezpečení, které útočníci často používají k oskenování slabých stránek aplikací.
Při počátečním přístupu k hrozbám Microsoft Threat Intelligence jsou tyto výstrahy - , které zahrnují aktivaci výstrahy, když se známá škodlivá IP adresa připojí k vašemu rozhraní FTP služby Aplikace Azure.
Hrozby spuštění – Defender for Cloud dokáže detekovat pokusy o spouštění příkazů s vysokými oprávněními, linuxové příkazy ve službě Windows App Service, chování při útoku bez souborů, nástroje pro dolování digitálních měn a mnoho dalších podezřelých a škodlivých aktivit provádění kódu.
Detekce dns s danglingem
Defender for App Service také identifikuje všechny položky DNS, které zůstanou ve vašem registrátorovi DNS, když se web služby App Service vyřadí z provozu – označují se jako neprotokolované položky DNS. Když web odeberete a neodeberete jeho vlastní doménu od svého registrátora DNS, položka DNS ukazuje na neexistující prostředek a vaše subdoména je zranitelná vůči převzetí. Defender for Cloud nekontroluje existující záznamy DNS registrátora DNS. Upozorní vás, když se web služby App Service vyřadí z provozu a jeho vlastní doména (položka DNS) se neodstraní.
Převzetí subdomény představují běžnou hrozbu s vysokou závažností pro organizace. Když objekt actor hrozby zjistí dangling DNS entry, vytvoří vlastní web na cílové adrese. Provoz určený pro doménu organizace se pak přesměruje na web herce hrozeb a tento provoz může použít pro širokou škálu škodlivých aktivit.
Dangling DNS protection is available whether your domains are managed with Azure DNS or an external domain registrar and applies to App Service on both Windows and Linux.
Přečtěte si další informace o přeskakování DNS a hrozbě převzetí subdomény, v tématu Jak zabránit přebíjeným položkám DNS a vyhnout se převzetí subdomény.
Úplný seznam výstrah služby App Service najdete v referenční tabulce výstrah.
Poznámka:
Pokud vaše vlastní doména neodkazuje přímo na prostředek služby App Service, nebo pokud Defender for Cloud nemonitoroval provoz na váš web, protože byla povolená ochrana DNS s danglingem DNS (protože se nebudou zobrazovat protokoly, které vám pomůžou identifikovat vlastní doménu).
Další kroky
V tomto článku jste se dozvěděli o programu Microsoft Defender for App Service.
Související materiály najdete v následujících článcích:
- Pokud chcete exportovat upozornění do Služby Microsoft Sentinel, libovolného partnera SIEM nebo jakéhokoli jiného externího nástroje, postupujte podle pokynů v upozorněních služby Stream k monitorování řešení.
- Seznam upozornění služby Microsoft Defender for App Service najdete v referenční tabulce výstrah.
- Další informace o plánech služby App Service najdete v tématu Plány služby App Service.