用于應(yīng)用服務(wù)的 Azure Defender 簡介

Azure應(yīng)用服務(wù)是一種完全托管的平臺，用于構(gòu)建和托管Web應(yīng)用及API。該平臺是完全托管的，因此你無需擔(dān)心基礎(chǔ)結(jié)構(gòu)。它提供管理、監(jiān)視和操作見解，以滿足企業(yè)級的性能、安全性和符合性要求。有關(guān)詳細(xì)信息，請參閱Azure應(yīng)用服務(wù)。

用于應(yīng)用服務(wù)的Azure Defender使用云的規(guī)模來識別針對應(yīng)用服務(wù)運(yùn)行的應(yīng)用程序受到的攻擊。攻擊者會探查Web應(yīng)用程序，以找出并惡意利用其中的弱點(diǎn)。向Azure中運(yùn)行的應(yīng)用程序發(fā)出的請求在路由到特定的環(huán)境之前會流經(jīng)多個網(wǎng)關(guān)，網(wǎng)關(guān)會對其進(jìn)行檢查并記錄其狀態(tài)。然后，將使用這些數(shù)據(jù)來識別惡意利用行為和攻擊者，并了解稍后要使用的新模式。

可用性

適用于應(yīng)用服務(wù)的Azure Defender有哪些優(yōu)點(diǎn)？

啟用適用于應(yīng)用服務(wù)的Azure Defender后，你立即就能從該Azure Defender計(jì)劃提供的下列服務(wù)中受益：

·安全-安全中心會對你的應(yīng)用服務(wù)計(jì)劃覆蓋的資源進(jìn)行評估，并根據(jù)發(fā)現(xiàn)結(jié)果生成安全建議?？砂凑者@些建議中的詳細(xì)說明來強(qiáng)化你的應(yīng)用服務(wù)資源。

·檢測-Azure Defender會監(jiān)視以下內(nèi)容，檢測你的應(yīng)用服務(wù)資源面臨的多種威脅：

正在運(yùn)行Azure應(yīng)用服務(wù)的VM實(shí)例及其管理接口

發(fā)送至/發(fā)送自你的應(yīng)用服務(wù)應(yīng)用的請求和響應(yīng)

基礎(chǔ)沙盒和VM

應(yīng)用服務(wù)內(nèi)部日志-得益于Azure作為云提供商而具備的可見性，有這些日志可供查看

Azure Defender是一種云原生解決方案，可識別應(yīng)用于多個目標(biāo)的攻擊方法。例如，從單個主機(jī)上很難確定來自一小部分IP的分布式攻擊，這些IP對多個主機(jī)上相似的終結(jié)點(diǎn)進(jìn)行爬網(wǎng)。

而日志數(shù)據(jù)和基礎(chǔ)結(jié)構(gòu)結(jié)合起來，可呈現(xiàn)從四處傳播的新攻擊到客戶計(jì)算機(jī)遭到入侵的整個情況。因此，即使是在Web應(yīng)用被惡意利用后再部署安全中心，它也能夠檢測不斷發(fā)生的攻擊。

適用于應(yīng)用服務(wù)的Azure Defender可檢測哪些威脅？

按MITRE ATT&CK技巧排列的威脅

Azure Defender會監(jiān)視指向應(yīng)用服務(wù)資源的多種威脅。警報(bào)涵蓋了從預(yù)攻擊到命令和控制措施等各種MITRE ATT&CK技巧的完整列表。Azure Defender可檢測：

·預(yù)攻擊威脅-Defender可檢測攻擊者經(jīng)常用來探測應(yīng)用程序薄弱之處的多種漏洞掃描程序類型的執(zhí)行。

·初始訪問威脅-Microsoft威脅情報(bào)為這些警報(bào)提供支持，其中包括在已知惡意IP地址連接到Azure應(yīng)用服務(wù)FTP接口時(shí)觸發(fā)警報(bào)。

·執(zhí)行威脅-Defender可檢測嘗試運(yùn)行高權(quán)限命令、Windows應(yīng)用服務(wù)上的Linux命令、無文件攻擊行為、數(shù)字貨幣挖掘工具，以及其他許多可疑和惡意代碼執(zhí)行活動的操作。

檢測無關(guān)聯(lián)的DNS

適用于應(yīng)用服務(wù)的Azure Defender還可識別當(dāng)應(yīng)用服務(wù)網(wǎng)站被解除授權(quán)時(shí)DNS注冊器中剩下了任何DNS條目-它們被稱作無關(guān)聯(lián)的DNS條目。如果刪除某個網(wǎng)站但不從DNS注冊機(jī)構(gòu)刪除其自定義域，則該DNS條目將指向一個不存在的資源，并且子域容易遭到接管。Azure Defender不會在DNS注冊器中掃描當(dāng)前是否存在無關(guān)聯(lián)的DNS條目；當(dāng)應(yīng)用服務(wù)網(wǎng)站解除授權(quán)，但其自定義域（DNS條目）沒被刪除時(shí)，它會發(fā)出警報(bào)。

子域接管是組織常見的嚴(yán)重威脅。當(dāng)威脅執(zhí)行者檢測到無關(guān)聯(lián)的DNS條目時(shí)，會在目標(biāo)地址創(chuàng)建自己的網(wǎng)站。然后，本打算發(fā)送給組織的域的流量會被定向到威脅執(zhí)行者的網(wǎng)站中，他們會利用該流量實(shí)施各種惡意活動。

無論你的域是由Azure DNS托管還是由外部域注冊器托管，可都使用無關(guān)聯(lián)DNS防護(hù)；該服務(wù)既適用于Windows上的應(yīng)用服務(wù)，也適用于Linux上的應(yīng)用服務(wù)。

關(guān)于已發(fā)現(xiàn)的無關(guān)聯(lián)DNS條目的Azure Defender警報(bào)示例。啟用適用于應(yīng)用服務(wù)的Azure Defender來接收此警報(bào)以及針對你的環(huán)境的其他警報(bào)。

若要詳細(xì)了解無關(guān)聯(lián)的DNS和子域接管威脅，請查看防止無關(guān)聯(lián)的DNS條目并避免子域接管。

有關(guān)Azure應(yīng)用服務(wù)警報(bào)的完整列表，請查看警報(bào)參考表。

備注

如果你的自定義域不直接指向應(yīng)用服務(wù)資源，或者由于已啟用無關(guān)聯(lián)DNS防護(hù)，因此Defender未監(jiān)視指向你的網(wǎng)站的流量（原因是沒有日志來幫助識別自定義域），那么Defender可能不會觸發(fā)無關(guān)聯(lián)DNS警報(bào)。

如何保護(hù)Azure應(yīng)用服務(wù)Web應(yīng)用和API

若要通過適用于應(yīng)用服務(wù)的Azure Defender保護(hù)Azure應(yīng)用服務(wù)計(jì)劃：

1.確保具有與專用計(jì)算機(jī)關(guān)聯(lián)的受支持的應(yīng)用服務(wù)計(jì)劃。上文中的可用性中列出了支持的計(jì)劃。

2.按照Azure安全中心定價(jià)中所述，在訂閱上啟用Azure Defender。

可選擇啟用Azure Defender中的單個計(jì)劃（例如適用于應(yīng)用服務(wù)的Azure Defender）。

安全中心原生與應(yīng)用服務(wù)集成，因此不需要部署和載入-集成是透明的。