使用適用於 API 的 Defender 來保護您的 API
適用於雲端的 Microsoft Defender 中的適用於 API 的 Defender 可提供完整生命週期保護、偵測和回應含蓋範圍。
適用於 API 的 Defender 可協助您了解業務關鍵 API。 您可以調查並改善 API 安全性態勢、排定弱點修正的優先順序,以及快速偵測作用中的即時威脅。
本文說明如何在適用於雲端的 Defender 入口網站中啟用和上架適用於 API 的 Defender 方案。 或者,您也可以在 Azure 入口網站中的 API 管理執行個體內啟用適用於 API 的 Defender。
深入了解適用於雲端的 Microsoft Defender 中的適用於 API 的 Microsoft Defender 方案。 深入了解適用於 API 的 Defender。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
在開始部署之前,請先檢閱 Defender 的 API 支援、權限和需求。
您可以在訂用帳戶層級啟用適用於 API 的 Defender。
確保要保護的 API 已在 Azure API 管理中發佈。 請依照這些指示設定 Azure API 管理。
您必須選取一個方案,授與訂用帳戶中 API 流量量的適當權利,以接收最理想的定價。 根據預設,訂用帳戶會選擇加入「方案 1」,如果您的訂用帳戶的 API 流量高於 1 百萬 API 呼叫權利,可能會導致非預期的超額。
啟用適用於 API 的 Defender 方案
選取方案時,請考慮下列幾點:
- 適用於 API 的 Defender 只會保護已上線至適用於 API 的 Defender 的 API。 這表示您可以在訂用帳戶層級啟用方案,並藉由修正上線建議來完成上線的第二個步驟。 如需上線的詳細資訊,請參閱上線指南。
- 適用於 API 的 Defender 有五個定價方案,每個方案都有不同的權利限制和每月費用。 計費會在訂用帳戶層級完成。
- 計費會根據訂用帳戶當月監視的 API 流量總數,套用至整個訂用帳戶。
- 每個月開始時 (每個計費週期),計入計費的 API 流量會重設為 0。
- 超額會在 API 流量上計算,超過整個訂用帳戶當月每個方案選項的權利限制。
若要從適用於雲端的 Microsoft Defender 定價頁面選取您訂用帳戶的最佳方案,請遵循下列步驟,選擇符合訂用帳戶 API 流量需求的方案:
登入入口網站,然後在適用於雲端的 Defender 中,選取 [環境設定]。
選取您要保護且包含受控 IP 的訂用帳戶。
在 API 方案的定價資料行底下,選取 [詳細資料]。
選取適合您訂用帳戶的方案。
選取儲存。
根據歷程記錄 Azure API 管理 API 流量使用量選取最佳方案
您必須選取一個方案,授與訂用帳戶中 API 流量量的適當權利,以接收最理想的定價。 根據預設,訂用帳戶會選擇加入「方案 1」,如果您的訂用帳戶的 API 流量高於 1 百萬 API 呼叫權利,可能會導致非預期的超額。
若要估計 Azure API 管理中的每月 API 流量:
瀏覽至 Azure API 管理入口網站,然後選取 [監視] 功能表列項目下的 [計量]。
選取 [過去 30 天] 作為時間範圍。
選取並設定下列參數:
- 範圍:Azure API 管理服務名稱
- 計量命名空間:API 管理服務標準計量
- 計量 = 要求
- 彙總 = 總和
設定上述參數之後,查詢會自動執行,而過去 30 天的要求總數會出現在畫面底部。 在螢幕擷取畫面範例中,查詢會產生 414 個要求總數。
注意
這些指示是用於計算每個 Azure API 管理服務的使用量。 若要計算 Azure 訂用帳戶內「所有」API 管理服務的估計流量使用量,請將「範圍」參數變更為 Azure 訂用帳戶內的每個 Azure API 管理服務、重新執行查詢,然後加總查詢結果。
如果您沒有執行計量查詢的存取權,請連絡內部 Azure API 管理系統管理員或 Microsoft 帳戶管理員。
注意
啟用適用於 API 的 Defender 之後,上架的 API 最多需要 50 分鐘才會出現在 [建議] 索引標籤。在上架 40 分鐘內,在 [工作負載保護]>[API 安全性]儀表板中即可提供安全性深入解析。
上線 API
在適用於雲端的 Defender 入口網站中,選取 [建議]。
搜尋 [適用於 API 的 Defender]。
在 [啟用增強式安全性功能] 下,選取 [Azure APIM API 應上架至適用於 API 的 Defender] 安全性建議:
在建議頁面中,您可以檢閱建議嚴重性、更新間隔、描述和補救步驟。
檢閱範圍中的資源以取得建議:
- 狀況不良的資源:未上架至適用於 API 的 Defender 的資源。
- 良好的資源:上架至適用於 API 的 Defender 的資源。
- 不適用的資源:不適用於保護的 API 資源。
在 [狀況不良的資源] 中,選取您想要使用適用於 API 的 Defender 保護的 API。
選取 [修正]:
在 [修正資源] 中,檢閱選取的 API,然後選取 [修正資源]:
確認補救成功:
追蹤上線的 API 資源
將 API 資源上架之後,您可以在適用於雲端的 Defender 入口網站 > [工作負載保護]>[API 安全性] 中追蹤其狀態:
您也可以瀏覽至其他集合,以了解詳細目錄中可能存在哪些類型的深入解析或風險:
下一步
- 檢閱 API 威脅和安全性態勢。
- 調查 API 結果、建議和警示。