Microsoft Defender for Cloud を使用して高度な API セキュリティ機能を有効にする
適用対象: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium | Premium v2
Microsoft Defender for Cloud の機能である Defender for API は、Azure API Management で管理されている API の完全なライフサイクル保護、検出、応答カバレッジを提供します。 このサービスを使用すると、セキュリティ担当者は、ビジネスクリティカルな API を可視化し、セキュリティ態勢を把握し、脆弱性の修正に優先順位を付け、アクティブなランタイムの脅威を数分で検出できます。
Note
現在、この機能はワークスペースでは使用できません。
Defender for API の機能は次のとおりです。
- 外部、未使用、または認証されていない API を特定する
- 機密データを受信または応答する API を分類する
- 構成に関する推奨事項を適用して、API と API Management サービスのセキュリティ態勢を強化する
- 異常で疑わしい API トラフィック パターンと OWASP API の上位 10 個の脆弱性の悪用を検出する
- 脅威の修復に優先順位を付ける
- SIEM システムおよび Defender クラウド セキュリティ態勢管理と統合する
この記事では、Azure portal を使用して、API Management インスタンスから Defender for API を有効にし、オンボードされた API のセキュリティに関する推奨事項とアラートの概要を表示する方法について説明します。
プランの制限事項
- 現在、Defender for API は REST API のみを検出して分析します。
- 現在、Defender for API では、API Management のセルフホステッド ゲートウェイを使用して公開される API や、API Management のワークスペースを使用して管理される API はオンボードされません。
- 一部の ML ベースの検出とセキュリティ分析情報 (データ分類、認証チェック、未使用および外部の API) は、マルチリージョン デプロイのセカンダリ リージョンではサポートされていません。 Defender for API は、ローカル データ パイプラインに依存して、リージョンのデータ所在地を確保し、このようなデプロイのパフォーマンスを向上させます。
前提条件
- Azure サブスクリプション内の少なくとも 1 つの API Management インスタンス。 Defender for API は、Azure サブスクリプションのレベルで有効になります。
- サポートされている 1 つ以上の API を API Management インスタンスにインポートする必要があります。
- Defender for API プランを有効にするロールの割り当て。
- セキュリティで保護する関連する Azure サブスクリプション、リソース グループ、または API Management インスタンスに対する共同作成者または所有者のロールの割り当て。
Defender for API にオンボードする
API の Defender for API へのオンボードは、サブスクリプションに対して Defender for API プランを有効にし、API Management インスタンスで保護されていない API をオンボードする 2 段階のプロセスです。
ヒント
Defender for Cloud インターフェイスで Defender for API に直接オンボードすることもできます。このインターフェイスでは、より多くの API セキュリティ分析情報とインベントリ エクスペリエンスを利用できます。
サブスクリプションで Defender for API のプランを有効にする
ポータルにサインインし、API Management インスタンスに移動します。
左側のメニューで、[Microsoft Defender for Cloud] を選択します。
[サブスクリプションで Defender を有効にする] を選びます。
[Defender プラン] ページで、API プランの [オン] を選択します。
[保存] を選択します。
保護されていない API を Defender for API にオンボードする
注意事項
Defender for API に API をオンボードすると、API Management インスタンスのコンピューティング、メモリ、ネットワーク使用率が増加する可能性があり、極端なケースでは、API Management インスタンスが停止する可能性があります。 API Management インスタンスが高い使用率で実行されている場合は、一度にすべての API をオンボードしないでください。 インスタンスの使用率を監視し (容量メトリックなどを使用)、必要に応じてスケールアウトしながら、慎重に API を段階的にオンボードしてください。
ポータルで、API Management インスタンスに戻ります。
左側のメニューで、[Microsoft Defender for Cloud] を選択します。
[推奨事項] で、[Azure API Management API を Defender for API にオンボードする必要がある] を選択します。
次の画面で、推奨事項の詳細を確認します。
- 重大度
- セキュリティに関する検出内容の更新間隔
- 説明と修復の手順
- [正常] (Defender for API にオンボード済み)、[異常] (オンボードされていない)、または [適用不可] として分類された影響を受けるリソースと、API Management からの関連付けられたメタデータ
Note
影響を受けるリソースには、サブスクリプションのすべての API Management インスタンスからの API コレクション (API) が含まれます。
[異常] リソースの一覧から、Defender for API にオンボードする API を選択します。
[通知] でオンボードされたリソースの状態を追跡します。
Note
Defender for API では、API のオンボード後に最初のセキュリティ分析情報を生成するのに 30 分かかります。 その後、セキュリティ分析情報は 30 分ごとに更新されます。
セキュリティ カバレッジを表示する
API Management から API をオンボードすると、Defender for API は、セキュリティの分析情報を構築し、脅威を監視するために使用される API トラフィックを受け取ります。 Defender for API により、危険で脆弱な API のセキュリティに関する推奨事項が生成されます。
オンボードされた API のすべてのセキュリティに関する推奨事項とアラートの概要を表示するには、API Management インスタンスのメニューで [Microsoft Defender for Cloud] を選択します。
ポータルで、API Management インスタンスに移動し、左側のメニューから [Microsoft Defender for Cloud] を選択します。
[推奨事項] と [セキュリティ インシデントとアラート] を確認します。
受信したセキュリティ アラートについて、Defender for API から、必要な分析を実行し、API に関連付けられている潜在的な悪用または異常を検証するために必要な手順が提案されます。 セキュリティ アラートの手順に従って、API を修正し、正常な状態に戻します。
Defender for API から保護された API をオフボードする
ポータルで Defender for Cloud を使用して、Defender for API による保護から API を削除できます。 詳細については、「Defender for API のデプロイを管理する」を参照してください。
次のステップ
- Defender for Cloud の詳細を確認する
- Defender for API での API の検出事項、推奨事項、アラート の詳細、包括的な API セキュリティ戦略を構築する方法の詳細
- API Management インスタンスのアップグレードとスケーリングの方法を確認する