你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Defender CSPM 启用 API 安全态势

Microsoft Defender for Cloud 中的 Defender 云安全态势管理 (CSPM) 计划提供了 Azure API 管理中 API 的完整视图。 可帮助你通过查找错误配置和漏洞来帮助提高 API 安全性。 本文介绍如何在 Defender CSPM 计划中启用 API 安全态势管理并评估 API 的安全性。 Defender CSPM 可在没有代理的情况下载入 API，并定期检查风险和敏感数据泄露。 它通过 API 攻击路径分析和安全建议提供优先级的风险见解和缓解措施。

先决条件

• 阅读有关改进 API 安全态势（预览版）的信息。
• 需要 Microsoft Azure 订阅。 如果你还没有该订阅内容，可注册以获得免费订阅。
• 启用 Azure 订阅上的 Defender for Cloud。
• 在 Azure 订阅上启用 Defender 云安全态势管理 (CSPM)。
• 订阅所有者必须启用 CSPM 计划才能访问所有功能。
• 确保要保护的 API 已在 Azure API 管理中发布。 按照这些说明设置 Azure API 管理。

启用 API 安全态势管理扩展

1. 登录到 Azure 门户。

2. 搜索并选择“Microsoft Defender for Cloud”。

3. 导航到“环境设置”。

4. 选择在范围内的相关订阅。

5. 前往 Defender CSPM 计划并选择“设置”。

6. 启用 API 安全态势管理（预览）。

   

7. 选择“保存”。

你将看到一条通知消息，确认设置已成功保存。 启用后，API 开始载入并会在几个小时内显示在 Defender for Cloud 清单中。

查看 API 清单

载入 Defender CSPM 计划的 API 显示在工作负载保护和 Microsoft Defender for Cloud 清单下的 API 安全仪表板中。

1. 导航到 Defender for Cloud 菜单的“云安全性”部分，并在“高级工作负荷保护”下选择“API 安全性”。

   

2. 仪表板显示已载入 API 的数量，并按 API 集合、终结点和 Azure API Management 服务进行细分。 其中包括使用 Defender for API 工作负载保护计划载入的威胁检测安全覆盖的 API 摘要。

3. 若要查看载入 Defender CSPM 计划的 API，以执行态势保护，请应用筛选器 Defender 计划 == Defender CSPM。

   

4. 向下钻取到 API 集合详细信息页，以查看特定 API 操作的安全发现。 选择感兴趣的 API 操作时，这些内容将显示在侧面上下文窗格中。

   

API 终结点详细发现

1. 敏感信息类型：提供有关敏感信息的详细信息，这些信息公开于 API URL 路径、查询参数、请求正文、基于支持的数据类型的响应正文以及找到的信息类型的源中。
2. 其他信息：对于 API 响应正文，这会显示哪些 HTTP 响应代码包含敏感信息（例如 2xx、3xx、4xx）。

在 Microsoft Defender for Cloud 清单体验中查看 API 安全态势发现以及 API 清单。

注意

若要使 API 资源显示在清单体验中，Microsoft Defender for Cloud 需要启用并分配 API 管理的 Azure 策略。

1. 导航到“Microsoft Defender for Cloud”菜单，然后选择“清单”。

2. 在“清单”页面中，通过选择资源类型并选择“API 管理 API”、“API 管理操作”和“API 管理服务”来应用筛选器，以查看所有 API 资产。

   

调查 API 安全建议

API 终结点会持续评估错误配置和漏洞，包括身份验证缺陷和非活动 API。 生成安全建议时存在相关的风险因素，例如外部暴露和数据敏感度风险。 安全建议的重要性根据这些风险因素计算得出。 详细了解基于风险的安全建议。

若要调查 API 安全态势建议，请执行以下操作：

1. 导航到 Defender for Cloud 主菜单并选择“建议”。

2. 切换按标题分组并应用资源类型筛选器，然后选择“API 管理操作”。

3. 查看安全建议、受影响的资源、风险因素和风险级别。 采取措施修正 API 态势风险。

   

探索 API 风险并使用攻击路径分析进行修正

云安全资源管理器可帮助你通过查询云安全图表来识别云环境中的潜在安全风险。

1. 登录到 Azure 门户。

2. 导航到 Microsoft Defender for Cloud > 云安全资源管理器。

3. 使用内置查询模板快速识别具有安全见解的 API。

   

4. 或者，使用云安全资源管理器生成自定义查询，以查找 API 风险，并查看连接到后端计算或数据存储的 API 终结点。 例如，你可以看到 API 终结点使用远程代码漏洞将流量路由到虚拟机。

   

Defender for Cloud 中的攻击路径分析解决了对云应用程序和环境构成直接威胁的安全问题。 识别并修正 API 主导的攻击路径，以解决可能严重威胁你组织的关键 API 风险。

1. 在 Defender for Cloud 菜单中，转到“攻击路径分析”。

2. 按资源类型 API 管理操作进行筛选，以调查与 API 相关的攻击路径。

   

3. 查看范围内 API 终结点的安全建议，并修正建议，防止 API 受到高风险攻击面的攻击。

   

登出 API 安全态势保护

无法单独登出属于 Defender CSPM 计划的 API。 如果要从 Defender CSPM 计划登出所有 API，请转到“Defender CSPM 计划设置”页面并禁用 API 态势扩展。

相关内容

• 使用 Defender for API 工作负荷保护监视 API 威胁。