Microsoft Defender for Cloud を使用して高度な API セキュリティ機能を有効にする

適用対象: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium | Premium v2

Microsoft Defender for Cloud の機能である Defender for API は、Azure API Management で管理される API の完全なライフサイクル保護、検出、応答カバレッジを提供します。 このサービスを使用すると、セキュリティ専門家は、ビジネス クリティカルな API を可視化し、セキュリティ体制を理解し、脆弱性の修正に優先順位を付け、アクティブなランタイムの脅威を数分以内に検出できます。

Defender for API の機能は次のとおりです。

• 外部、未使用、または認証されていない API を特定する
• 機密データを受信または応答する API を分類する
• 構成に関する推奨事項を適用して、API と API Management インスタンスのセキュリティ体制を強化する
• 異常で疑わしい API トラフィック パターンを検出し、OWASP API の上位 10 件の脆弱性を悪用する
• 脅威の修復に優先順位を付ける
• SIEM システムおよび Defender クラウド セキュリティ態勢管理と統合する

この記事では、Azure portal を使用して、API Management インスタンスから Defender for API を有効にし、オンボードされた API のセキュリティに関する推奨事項とアラートの概要を表示する方法について説明します。

プランの制限事項

• 現在、Defender for API は REST API のみを検出して分析します。
• 現在、Defender for API では、API Management の セルフホステッド ゲートウェイ を介して公開される API や、API Management ワークスペースを介して管理される API はオンボードされません。
• 一部の機械学習ベースの検出とセキュリティの分析情報 (データ分類、認証チェック、未使用および外部 API) は、 複数リージョン デプロイのセカンダリ リージョンではサポートされていません。 Defender for API は、ローカル データ パイプラインに依存して、リージョンのデータ所在地を確保し、このようなデプロイのパフォーマンスを向上させます。 

前提条件

• Azure サブスクリプション内の少なくとも 1 つの API Management インスタンス。 Defender for API は、Azure サブスクリプションのレベルで有効になります。
• API Management インスタンスにインポートされる 1 つ以上のサポートされている API。
• Defender for API プランを有効にするロールの割り当て。
• セキュリティで保護する関連する Azure サブスクリプション、リソース グループ、または API Management インスタンスに対する共同作成者または所有者のロールの割り当て。

Defender for API にオンボードする

API の Defender for API へのオンボードは、サブスクリプションに対して Defender for API プランを有効にし、API Management インスタンスで保護されていない API をオンボードする 2 段階のプロセスです。  

サブスクリプションで Defender for API のプランを有効にする

1. ポータルにサインインし、API Management インスタンスに移動します。

2. 左側のウィンドウの [ セキュリティ] で、[ Defender for Cloud] を選択します。

3. [サブスクリプションで Defender を有効にする (推奨)] を選択します。

   

4. [Defender プラン] ページで、API プランの [オン] を選択します。

5. プランを選択し、[ 保存] を選択し、ページの上部にある [保存] をもう一度選択します。

保護されていない API を Defender for API にオンボードする

1. ポータルで、API Management インスタンスに戻ります。

2. 左側のウィンドウの [ セキュリティ] で、[ Defender for Cloud] を選択します。

3. [推奨事項] で、[Azure API Management API を Defender for API にオンボードする必要がある] を選択します。

   

4. [Azure API Management API を Defender for API にオンボードする必要があります] ページの [推奨事項の表示] 列で、一覧表示されている API の 1 つの [表示] ボタンを選択します。

5. 結果のページで、推奨事項の詳細を確認します。

   • 重大度
   • セキュリティ結果の鮮度間隔
   • 説明と修復の手順
   • [正常] (Defender for API にオンボード済み)、[異常] (オンボードされていない)、または [適用不可] として分類された影響を受けるリソースと、API Management からの関連付けられたメタデータ

   Note

   影響を受けるリソースには、サブスクリプションのすべての API Management インスタンスからの API コレクション (API) が含まれます。

6. Defender for API にオンボードする API を選択します。

7. [修正] を選択し、[x 個のリソースの修正] を選択します。

   

8. [通知] ウィンドウで、オンボードされたリソースの状態を追跡します。

セキュリティ カバレッジを表示する

API Management から API をオンボードすると、Defender for API は、セキュリティの分析情報を構築し、脅威を監視するために使用される API トラフィックを受け取ります。 Defender for API により、危険で脆弱な API のセキュリティに関する推奨事項が生成されます。

API Management インスタンスのナビゲーション メニューで Defender for Cloud を選択すると、オンボードされた API のすべてのセキュリティに関する推奨事項とアラートの概要を表示できます。

1. ポータルで、API Management インスタンスに移動します。

2. [ セキュリティ] で、左側のウィンドウで Defender for Cloud を選択します。

3. 推奨事項とセキュリティ インシデントとアラートを確認します。

   

受信したセキュリティ アラートについて、Defender for API は、必要な分析を実行し、API に関連付けられている潜在的な悪用または異常を検証するために必要な手順を提案します。 セキュリティ アラートの手順に従って、API を修正し、正常な状態に戻します。

Defender for API から保護された API をオフボードする

ポータルで Defender for Cloud を使用して、Defender for API による保護から API を削除できます。 詳細については、「Defender for API のデプロイを管理する」を参照してください。

関連コンテンツ

• Defender for Cloud
• API の結果、推奨事項、およびアラート
• 包括的な API セキュリティ戦略を構築する
• API Management インスタンスのアップグレードとスケーリング