次の方法で共有

Defender CSPM で API セキュリティ態勢を有効にする

  • [アーティクル]

Microsoft Defender for Cloud の Defender クラウド セキュリティ態勢管理 (CSPM) プランでは、Azure API Management の API をあらゆる角度から把握できます。 構成の誤りや脆弱性を検出することで、API のセキュリティを向上します。 この記事では、Defender CSPM プランで API セキュリティ態勢管理を有効にし、API のセキュリティを評価する方法について説明します。 Defender CSPM は、エージェントなしで API をオンボードし、リスクと機密データの公開を定期的にチェックします。 API 攻撃パス分析とセキュリティに関する推奨事項を通じて、優先順位付けされたリスクの分析情報と軽減策が提供されます。

前提条件

API セキュリティ態勢管理の拡張機能を有効にする

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud」を検索して選択します。

  3. [環境設定] に移動します。

  4. 対象範囲内にある、関連するサブスクリプションを選択します。

  5. Defender CSPM プランに移動して、[設定] を選択します。

  6. [API セキュリティ態勢管理 (プレビュー)] を有効にします。

    API セキュリティ態勢管理を有効にするスクリーンショット。

  7. [保存] を選択します。

設定が正常に保存されたことを示す通知メッセージが表示されます。 有効にすると、API はオンボードを開始し、数時間以内に Defender for Cloud Inventory に表示されます。

API インベントリの表示

Defender CSPM プランにオンボードされた API は、API セキュリティ ダッシュボードの [ワークロード保護] と Microsoft Defender for Cloud の [インベントリ] に表示されます。

  1. Defender for Cloud メニューの [クラウド セキュリティ] セクションに移動し、[高度なワークロード保護] の下にある [API セキュリティ] を選択します。

    API セキュリティ ダッシュボードのスクリーンショット。

  2. ダッシュボードには、オンボードされた API の数が、API コレクション、エンドポイント、Azure API Management サービス別に分類して表示されます。 これには、Defender for API のワークロード保護プランを使用した、脅威検出のセキュリティ カバレッジ用にオンボードされた API の概要が含まれています。

  3. 態勢保護のために Defender CSPM プランにオンボードされている API を表示するには、フィルター Defender plan == Defender CSPM を適用します。

    フィルターを適用した、態勢のための Defender CSPM プラン用 API のスクリーンショット。

  4. [API コレクションの詳細] ページにドリルダウンして、特定の API 操作に関するセキュリティの調査結果を確認します。 これらは、目的の API 操作を選択すると、サイド コンテキスト ウィンドウに表示されます。

    [API コレクションの詳細] ページのスクリーンショット。

API エンドポイントに関する詳細な調査結果

  1. 機密情報の種類: API URL パス、クエリ パラメーター、要求本文、サポートされているデータ型に基づく応答本文で公開されている機密情報の詳細と、検出された情報の種類のソースを示します。
  2. 追加情報: API 応答本文の場合、どの HTTP 応答コードに機密情報が含まれていたかを示します (2xx、3xx、4xx など)。

Microsoft Defender for Cloud Inventory エクスペリエンスの API インベントリと共に、API セキュリティ態勢の調査結果を確認します。

Note

インベントリ エクスペリエンスに API リソースを表示するには、Microsoft Defender for Cloud で、Azure Policy for API Management をアクティブにして割り当てる必要があります。

  1. Microsoft Defender for Cloud メニューに移動し、[インベントリ] を選択します。

  2. [インベントリ] ページで、リソースの種類を選択してフィルターを適用し、[API Management API][API Management 操作][API Management サービス] を選択して、すべての API 資産を表示します。

    インベントリ内の API Management リソースのスクリーンショット。

API のセキュリティに関する推奨事項の調査

API エンドポイントは、認証の欠陥や非アクティブな API など、構成の誤りや脆弱性がないかどうかについて継続的に評価されます。 セキュリティに関する推奨事項は、関連するリスク要因 (外部への露出やデータの機密性のリスクなど) と共に生成されます。 セキュリティに関する推奨事項の重要性は、これらのリスク要因に基づいて計算されます。 リスクに基づいたセキュリティに関する推奨事項をご覧ください。

API のセキュリティ態勢に関する推奨事項を調査するには、次の手順を実行します。

  1. Defender for Cloud のメイン メニューに移動し、[推奨事項] を選択します。

  2. [タイトルでグループ化] に切り替え、[リソースの種類] フィルターを適用し、[API Management 操作] を選択します。

  3. セキュリティに関する推奨事項、影響を受けるリソース、リスク要因、リスク レベルを確認します。 API 態勢リスクを修復するためのアクションを実行します。

    API のセキュリティに関する推奨事項のスクリーンショット。

API のリスクを調べ、攻撃パス分析を使用して修復する

クラウド セキュリティ エクスプローラーは、クラウド セキュリティ グラフを照会することで、クラウド環境にある潜在的なセキュリティ リスクの特定を支援します。

  1. Azure portal にサインインします。

  2. [Microsoft Defender for Cloud]>[Cloud Security Explorer] の順に移動します。

  3. 組み込みのクエリ テンプレートを使用して、セキュリティの分析情報を備えた API をすばやく特定します。

    API のセキュリティ分析情報を含むクエリ テンプレートが表示された、クラウド セキュリティ エクスプローラーのスクリーンショット。

  4. または、クラウド セキュリティ エクスプローラーでカスタム クエリを作成して API リスクを見つけ、バックエンド コンピューティングまたはデータ ストアに接続されている API エンドポイントを確認します。 たとえば、リモート コードの脆弱性がある仮想マシンにトラフィックをルーティングする API エンドポイントを確認できます。

    クラウド セキュリティ エクスプローラーのカスタム クエリのスクリーンショット。

Defender for Cloud の攻撃パス分析は、クラウド アプリケーションと環境に直ちに脅威をもたらすセキュリティの問題に対処します。 API 主導の攻撃パスを特定して修復し、組織を深刻に脅かす可能性のある最も重大な API リスクに対処します。

  1. Defender for Cloud メニューで、[攻撃パスの解析] に移動します。

  2. リソースの種類 [API Management 操作] でフィルター処理して、API 関連の攻撃パスを調査します。

    API Management 操作でフィルター処理された攻撃パス分析のスクリーンショット。

  3. 対象範囲にある API エンドポイントのセキュリティに関する推奨事項を表示し、高リスクの攻撃面から API を保護するために推奨事項の内容を修復します。

    攻撃パス分析にある API セキュリティに関する推奨事項のスクリーンショット。

API セキュリティ態勢の保護のオフボード

Defender CSPM プランの一部である API を個別にオフボードすることはできません。 Defender CSPM プランからすべての API をオフボードする場合は、Defender CSPM プランの設定ページに移動し、API 態勢の拡張機能を無効にします。

API セキュリティ態勢管理の無効化を示すスクリーンショット。

関連するコンテンツ