Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Defender per le API in Microsoft Defender per il cloud offre una protezione completa del ciclo di vita, rilevamento e copertura delle risposte per le API.
Defender per le API consente di ottenere visibilità sulle API critiche per l'azienda. È possibile analizzare e migliorare la postura di sicurezza delle API, assegnare priorità alle correzioni delle vulnerabilità e rilevare rapidamente minacce attive in tempo reale.
Questo articolo descrive come abilitare ed eseguire l'onboarding del piano di Defender per le API nel portale di Defender per il cloud. In alternativa, è possibile abilitare Defender per le API all'interno di un'istanza di Gestione API nel portale di Azure.
Ulteriori informazioni sul piano Microsoft Defender per API nel Microsoft Defender per il cloud. Altre informazioni su Defender per le API.
Prerequisiti
È necessaria una sottoscrizione di Microsoft Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
È necessario abilitare Microsoft Defender for Cloud nella sottoscrizione di Azure.
Prima di iniziare la distribuzione, vedere Supporto, autorizzazioni e requisiti di Defender per le API .
Abilitare Defender per le API a livello di sottoscrizione.
Assicurarsi che le API da proteggere siano pubblicate in Gestione API di Azure. Seguire queste istruzioni per configurare Gestione API di Azure.
È necessario selezionare un piano che concede l'entitlement appropriato per il volume di traffico delle API nella sottoscrizione per ottenere i prezzi più vantaggiosi. Per impostazione predefinita, le sottoscrizioni vengono iscritte a "Piano 1", il che può portare a costi imprevisti se la sottoscrizione genera traffico API superiore al limite di un milione di chiamate API.
Abilitare il piano di Defender per le API
Quando si seleziona un piano, tenere in considerazione questi punti:
- Defender per le API protegge solo le API di cui è stato eseguito l'onboarding in Defender per le API. Ciò significa che è possibile attivare il piano a livello di sottoscrizione e completare il secondo passaggio dell'onboarding correggendo la raccomandazione relativa all'onboarding.
- Defender per le API prevede cinque piani tariffari, ognuno con un limite di entitlement diverso e una tariffa mensile. La fatturazione viene eseguita a livello di sottoscrizione.
- La fatturazione viene applicata all'intera sottoscrizione in base alla quantità totale di traffico delle API monitorata nel corso del mese per la sottoscrizione.
- Il traffico delle API conteggiato ai fini della fatturazione viene reimpostato su 0 all'inizio di ogni mese (ogni ciclo di fatturazione).
- Le eccedenze vengono calcolate sul traffico delle API che supera il limite dell'entitlement per ogni selezione del piano nel corso del mese per l'intera sottoscrizione.
Per selezionare il piano migliore per la sottoscrizione dalla pagina dei prezzi di Microsoft Defender for Cloud. È anche possibile stimare i costi con il calcolatore dei costi di Defender for Cloud. Seguire questa procedura per scegliere il piano corrispondente ai requisiti di traffico api delle sottoscrizioni:
Accedere al portale e in Defender for Cloud selezionare Impostazioni ambiente.
Selezionare la sottoscrizione che contiene le API gestite da proteggere.
Selezionare Dettagli nella colonna dei prezzi per il piano API.
Selezionare il piano adatto per la sottoscrizione.
Selezionare Salva.
Selezionare il piano ottimale in base all'utilizzo cronologico del traffico delle API di Gestione API di Azure
È necessario selezionare un piano che concede l'entitlement appropriato per il volume di traffico delle API nella sottoscrizione per ottenere i prezzi più vantaggiosi. Per impostazione predefinita, le sottoscrizioni sono iscritte al piano 1, che può causare eccedenze impreviste se la sottoscrizione ha un traffico di API superiore a un milione di chiamate API come quota.
Per stimare il traffico dell'API mensile in Gestione API di Azure:
Passare al portale di Gestione API di Azure e selezionare Metriche nella voce della barra dei menu Monitoraggio.
Selezionare l'intervallo di tempo come Ultimi 30 giorni.
Selezionare e impostare i parametri seguenti:
- Ambito: nome del servizio Gestione API di Azure
- Spazio dei nomi delle metriche: metriche standard del servizio Gestione API
- Metrica = Richieste
- Aggregazione = Somma
Dopo aver impostato i parametri precedenti, la query verrà eseguita automaticamente e il numero totale di richieste degli ultimi 30 giorni viene visualizzato nella parte inferiore della schermata. Nell'esempio dello screenshot la query restituisce un numero totale di 414 richieste.
Note
Queste istruzioni si riferiscono al calcolo dell'utilizzo di ogni servizio di Gestione API di Azure. Per calcolare l'utilizzo stimato del traffico per tutti i servizi di Gestione API all'interno della sottoscrizione di Azure, modificare il parametro Scope in ogni servizio di Gestione API di Azure all'interno della sottoscrizione di Azure, eseguire nuovamente la query e sommare i risultati della query.
Se non si ha accesso per eseguire la query sulle metriche, contattare l'amministratore interno di Gestione API di Azure o il proprio account manager Microsoft.
Note
Dopo aver abilitato Defender per le API, le API di cui è stato eseguito l'onboarding richiedono fino a 50 minuti per essere visualizzate nella scheda Raccomandazioni. Le informazioni dettagliate sulla sicurezza sono disponibilinel dashboard> protezione carico di lavoro entro 40 minuti dall'onboarding.
Eseguire l'onboarding delle API
Nel portale di Defender for Cloud selezionare Raccomandazioni.
Cercare per Defender per le API.
Sotto Abilita funzionalità di sicurezza avanzate selezionare la raccomandazione di sicurezza le API di Gestione API di Azure dovrebbero essere integrate a Defender per le API:
Nella pagina delle raccomandazioni è possibile esaminare la gravità della raccomandazione, l'intervallo di aggiornamento, la descrizione e i passaggi per la correzione.
Esaminare le risorse nell'ambito per le raccomandazioni:
- Risorse non integre: risorse non caricate in Defender per le API.
- Risorse integre: risorse API integrate in Defender per le API.
- Risorse non applicabili: risorse API non applicabili per la protezione.
In Risorse non integre selezionare le API da proteggere con Defender per le API.
Selezionare Correggi:
In Correzione delle risorse esaminare le API selezionate e selezionare Correggi risorse:
Verificare che la correzione sia riuscita:
Tenere traccia delle risorse API di cui è stato eseguito l'onboarding
Dopo aver eseguito l'onboarding delle risorse dell'API, è possibile monitorare il loro stato nel portale Defender for Cloud sotto > e Sicurezza API:
È anche possibile passare ad altre raccolte per informazioni sui tipi di informazioni dettagliate o sui rischi presenti nell'inventario:
Visualizzare la copertura corrente
Defender for Cloud consente l'accesso alle cartelle di lavoro tramite cartelle di lavoro di Azure. Le cartelle di lavoro sono report personalizzabili che forniscono informazioni dettagliate sul comportamento di sicurezza.
La cartella di lavoro di copertura ti aiuta a comprendere la copertura attuale mostrando quali piani sono attivati sui tuoi abbonamenti e risorse.
Passaggi successivi
- Recensione Minacce api e comportamento di sicurezza.
- Esaminare i risultati, le raccomandazioni e gli avvisi dell'API.