Defender for API で API を保護する
Microsoft Defender for Cloud の Defender for API では、API のライフサイクル全体における保護、検出、対応を提供します。
Defender for APIs は、ビジネスクリティカルな API を可視化するのに役立ちます。 API のセキュリティ態勢の調査と改善、脆弱性の修正の優先度付け、アクティブなリアルタイムの脅威のすばやい検出を可能にします。
この記事では、Defender for Cloud ポータルで Defender for API プランを有効にしてオンボードする方法について説明します。 または、Azure portal の API Management インスタンス内で Defender for API を有効にすることもできます。
Microsoft Defender for Cloud の Microsoft Defender for API プランの詳細について説明します。 Defender for API の詳細について確認してください。
前提条件
Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
デプロイを開始する前に、Defender for API のサポート、アクセス許可、要件をご確認ください。
Defender for API をサブスクリプション レベルで有効にします。
セキュリティで保護する API が Azure API Management で公開されていることを確認します。 これらの手順に従って、Azure API Management を設定します。
最も最適な価格を受け取るためには、サブスクリプション内の API トラフィック量に適したエンタイトルメントを付与するプランを選択する必要があります。 既定では、サブスクリプションは "プラン 1" にオプトインされるため、サブスクリプションの API トラフィックが 100 万 API 呼び出しエンタイトルメントを超える場合、予期しない超過が発生する可能性があります。
Defender for API のプランを有効にする
プランを選択するときは、次の点を考慮してください。
- Defender for API は、Defender for API にオンボードされている API のみを保護します。 つまり、サブスクリプション レベルでプランをアクティブ化し、オンボードの推奨事項を修正してオンボードの 2 番目の手順を完了できます。 オンボードの詳細については、「オンボード ガイド」を参照してください。
- Defender for API には 5 つの価格プランがあり、それぞれに異なるエンタイトルメント制限と月額料金が設定されています。 課金はサブスクリプション レベルで行われます。
- サブスクリプションの 1 か月間に監視された API トラフィックの合計量に基づいて、サブスクリプション全体に課金が適用されます。
- 課金にカウントされる API トラフィックは、毎月の開始時 (請求サイクルごと) に 0 にリセットされます。
- 超過分は、サブスクリプション全体でその月のプラン選択ごとに、エンタイトルメント制限を超える API トラフィックに基づいて計算されます。
Microsoft Defender for Cloud の価格ページからサブスクリプションに最適なプランを選択するには、次の手順に従って、サブスクリプションの API トラフィック要件に一致するプランを選択します。
ポータルにサインインし、Defender for Cloud で [環境設定] を選びます。
保護するマネージド API を含むサブスクリプションを選びます。
API プランの価格列の下にある [詳細] を選択します。
サブスクリプションに適したプランを選択します。
[保存] を選択します。
Azure API Management API トラフィックの履歴に基づく最適なプランの選択
最も最適な価格を受け取るためには、サブスクリプション内の API トラフィック量に適したエンタイトルメントを付与するプランを選択する必要があります。 既定では、サブスクリプションは プラン 1 にオプトインされるため、サブスクリプションの API トラフィックが 100 万 API 呼び出しエンタイトルメントを超える場合、予期しない超過が発生する可能性があります。
Azure API Management で毎月の API トラフィックを見積もる方法
Azure API Management ポータルに移動し、[監視] メニュー バー項目の下にある [メトリック] を選択します。
[過去 30 日間] として時間範囲を選択します。
次のパラメーターを選択して設定します。
- スコープ: Azure API Management サービス名
- メトリック名前空間: API Management サービスの標準メトリック
- メトリック = 要求
- 集計 = 合計
上記のパラメーターを設定すると、クエリが自動的に実行され、過去 30 日間の要求の合計数が画面の下部に表示されます。 このスクリーンショットの例では、クエリの結果は合計要求数 414 です。
Note
これらの手順は、Azure API Management サービスごとの使用量を計算するためのものです。 Azure サブスクリプション内の "すべて" の API Management サービスの推定トラフィック使用量を計算するには、[スコープ] パラメーターを Azure サブスクリプション内の各 Azure API Management サービスに変更し、クエリを再実行し、クエリ結果を合計します。
メトリック クエリを実行するアクセス権がない場合は、内部の Azure API Management 管理者または Microsoft アカウント マネージャーにお問い合わせください。
Note
Defender for API を有効にした後、オンボードされた API が [推奨事項] タブに表示されるまでに最大 50 分かかります。セキュリティ分析情報は、オンボードから 40 分以内に [ワークロード保護]>[API セキュリティ] ダッシュボードで使用できます。
API をオンボードする
Defender for Cloud ポータルで [推奨事項] を選びます。
Defender for API を検索します。
[強化されたセキュリティ機能を有効にする] で、セキュリティに関する推奨事項の [Azure API Management API を Defender for API にオンボードする必要がある] を選びます。
[推奨事項] ページでは、推奨事項の重大度、更新間隔、説明、修復手順を確認できます。
推奨事項のスコープ内のリソースを確認します。
- 異常なリソース: Defender for API にオンボードされていないリソース。
- 正常なリソース: Defender for API にオンボードされている API リソース。
- 該当なしのリソース: 保護を適用できない API リソース。
[異常なリソース] で、Defender for API で保護する API を選びます。
[修正プログラム] を選択します。
[リソースの修正] で、選んだ API を確認し、[リソースを修正する] を選びます。
修復が成功したことを確認します。
オンボードされた API リソースを追跡する
API リソースをオンボードした後は、Defender for Cloud ポータルの >[ワークロード保護]>[API セキュリティ] でそれらの状態を追跡できます。
他のコレクションに移動して、インベントリに存在する可能性がある分析情報やリスクの種類について確認することもできます。
次のステップ
- API の脅威とセキュリティ態勢を確認する。
- API の検出事項、推奨事項、アラートを調査する