Omówienie usługi Defender for App Service w celu ochrony aplikacji internetowych i interfejsów API usługi aplikacja systemu Azure Service
Wymagania wstępne
Defender dla Chmury jest natywnie zintegrowana z usługą App Service, eliminując konieczność wdrażania i dołączania — integracja jest przezroczysta.
Aby chronić plan usługi aplikacja systemu Azure Service za pomocą usługi Microsoft Defender for App Service, potrzebne są następujące elementy:
Obsługiwany plan usługi App Service skojarzony z dedykowanymi maszynami.
rozszerzone zabezpieczenia Defender dla Chmury włączone w ramach subskrypcji zgodnie z opisem w temacie Włącz ulepszone funkcje zabezpieczeń.
Napiwek
Opcjonalnie możesz włączyć poszczególne plany usługi Microsoft Defender, takie jak usługa Microsoft Defender dla usługi App Service.
Opłaty za usługę Microsoft Defender for App Service są naliczane, jak pokazano na stronie cennika. Rozliczenia są obliczane zgodnie z całkowitymi wystąpieniami obliczeniowymi w każdym planie.
Obsługiwane plany usługi App Service to:
- Plan usług w warstwie Standardowa
- Plan usługi w warstwie Premium V2
- Plan usługi w warstwie Premium v3
- Środowisko usługi App Service — wersja 1
- Środowisko App Service Environment v2
- Środowisko App Service Environment v3
Zapoznaj się z dostępnością chmury usługi Defender for App Service.
Jakie są zalety usługi Microsoft Defender for App Service?
aplikacja systemu Azure Service to w pełni zarządzana platforma do tworzenia i hostowania aplikacji internetowych i interfejsów API. Ponieważ platforma jest w pełni zarządzana, nie musisz martwić się o infrastrukturę. Zapewnia ona funkcje zarządzania, monitorowania i szczegółowych informacji operacyjnych w celu spełnienia wymagań dotyczących wydajności, zabezpieczeń i zgodności klasy korporacyjnej. Aby uzyskać więcej informacji, zobacz aplikacja systemu Azure Service.
Usługa Microsoft Defender for App Service używa skali chmury do identyfikowania ataków przeznaczonych dla aplikacji działających w usłudze App Service. Osoby atakujące sondują aplikacje internetowe w celu znalezienia słabych stron i wykorzystania ich. Przed skierowaniem do określonych środowisk żądania do aplikacji działających na platformie Azure przechodzą przez kilka bram, gdzie są sprawdzane i rejestrowane. Te dane są następnie używane do identyfikowania luk w zabezpieczeniach i osób atakujących oraz do uczenia się nowych wzorców, które mogą być używane później.
Po włączeniu usługi Microsoft Defender dla usługi App Service możesz natychmiast korzystać z następujących usług oferowanych przez ten plan usługi Defender:
Zabezpieczanie — usługa Defender dla usługi App Service ocenia zasoby objęte planem usługi App Service i generuje zalecenia dotyczące zabezpieczeń na podstawie jego ustaleń. Aby wzmocnić zasoby usługi App Service, skorzystaj ze szczegółowych instrukcji podanych w tych zaleceniach.
Wykryj — usługa Defender for App Service wykrywa wiele zagrożeń dla zasobów usługi App Service przez monitorowanie:
- wystąpienie maszyny wirtualnej, w którym działa usługa App Service i jego interfejs zarządzania
- żądania i odpowiedzi wysyłane do i z aplikacji usługi App Service
- podstawowe piaskownice i maszyny wirtualne
- Wewnętrzne dzienniki usługi App Service — dostępne dzięki widoczności, którą platforma Azure ma jako dostawcę usług w chmurze
Jako rozwiązanie natywne dla chmury usługa Defender for App Service może identyfikować metodologie ataków stosowane do wielu obiektów docelowych. Na przykład z jednego hosta trudno byłoby zidentyfikować atak rozproszony z małego podzbioru adresów IP, przeszukiwając podobne punkty końcowe na wielu hostach.
Dane dziennika i infrastruktura mogą razem opowiedzieć historię: od nowego ataku krążącego w środowisku naturalnym po naruszenia zabezpieczeń na maszynach klientów. W związku z tym nawet jeśli usługa Microsoft Defender for App Service zostanie wdrożona po wykorzystaniu aplikacji internetowej, może ona wykrywać trwające ataki.
Jakie zagrożenia mogą wykrywać usługa Defender for App Service?
Zagrożenia według taktyki MITRE ATT&CK
Defender dla Chmury monitoruje wiele zagrożeń dla zasobów usługi App Service. Alerty obejmują prawie pełną listę taktyk MITRE ATT&CK z preattack do poleceń i kontroli.
Zagrożenia przed atakiem — Defender dla Chmury mogą wykrywać wykonywanie wielu typów skanerów luk w zabezpieczeniach, których osoby atakujące często używają do sondowania aplikacji pod kątem słabych stron.
Początkowe zagrożenia - dostępu microsoft Threat Intelligence obsługuje te alerty, które obejmują wyzwalanie alertu, gdy znany złośliwy adres IP łączy się z interfejsem FTP usługi aplikacja systemu Azure.
Zagrożenia związane z wykonywaniem — Defender dla Chmury może wykrywać próby uruchamiania poleceń wysokiego poziomu uprawnień, poleceń systemu Linux w usłudze Windows App Service, zachowania bez plików, narzędzi do wyszukiwania walut cyfrowych oraz wielu innych podejrzanych i złośliwych działań związanych z wykonywaniem kodu.
Zwisające wykrywanie DNS
Usługa Defender for App Service identyfikuje również wszelkie wpisy DNS pozostające u rejestratora DNS, gdy witryna internetowa usługi App Service zostanie zlikwidowana — są one znane jako zwisające wpisy DNS. Gdy usuniesz witrynę internetową i nie usuniesz jej domeny niestandardowej z rejestratora DNS, wpis DNS wskazuje na nieistniejący zasób, a domena podrzędna jest podatna na przejęcie. Defender dla Chmury nie skanuje rejestratora DNS pod kątem istniejących zwisanych wpisów DNS; powiadamia o wycofaniu witryny internetowej usługi App Service, a jej domena niestandardowa (wpis DNS) nie zostanie usunięta.
Przejęcia poddomeny są typowym zagrożeniem o wysokiej ważności dla organizacji. Gdy aktor zagrożeń wykryje zwisające wpis DNS, tworzy własną witrynę na adres docelowy. Ruch przeznaczony dla domeny organizacji jest następnie kierowany do witryny aktora zagrożeń i może używać tego ruchu do szerokiego zakresu złośliwych działań.
Ochrona dns zwisająca jest dostępna niezależnie od tego, czy domeny są zarządzane za pomocą usługi Azure DNS, czy zewnętrznego rejestratora domen, i dotyczy usługi App Service w systemach Windows i Linux.
Dowiedz się więcej na temat zwisania DNS i zagrożenia przejęcia poddomeny, w artykule Zapobieganie zwisaniu wpisów DNS i unikanie przejęcia poddomeny.
Aby uzyskać pełną listę alertów usługi App Service, zobacz tabelę Dokumentacja alertów.
Uwaga
Defender dla Chmury może nie wyzwalać zwisających alertów DNS, jeśli domena niestandardowa nie wskazuje bezpośrednio na zasób usługi App Service lub jeśli Defender dla Chmury nie monitorował ruchu do witryny internetowej, ponieważ włączono zwisającą ochronę DNS (ponieważ nie będzie dzienników ułatwiających identyfikację domeny niestandardowej).
Następne kroki
W tym artykule przedstawiono informacje o usłudze Microsoft Defender for App Service.
Aby zapoznać się z powiązanym materiałem, zobacz następujące artykuły:
- Aby wyeksportować alerty do usługi Microsoft Sentinel, dowolnego partnera SIEM lub innego narzędzia zewnętrznego, postępuj zgodnie z instrukcjami w artykule Alerty usługi Stream w celu monitorowania rozwiązań.
- Aby uzyskać listę alertów usługi Microsoft Defender for App Service, zobacz tabelę Dokumentacja alertów.
- Aby uzyskać więcej informacji na temat planów usługi App Service, zobacz Plany usługi App Service.