用于應(yīng)用服務(wù)的 Azure Defender 簡(jiǎn)介

Azure應(yīng)用服務(wù)是一種完全托管的平臺(tái)，用于構(gòu)建和托管Web應(yīng)用及API。該平臺(tái)是完全托管的，因此你無(wú)需擔(dān)心基礎(chǔ)結(jié)構(gòu)。它提供管理、監(jiān)視和操作見(jiàn)解，以滿(mǎn)足企業(yè)級(jí)的性能、安全性和符合性要求。有關(guān)詳細(xì)信息，請(qǐng)參閱Azure應(yīng)用服務(wù)。

用于應(yīng)用服務(wù)的Azure Defender使用云的規(guī)模來(lái)識(shí)別針對(duì)應(yīng)用服務(wù)運(yùn)行的應(yīng)用程序受到的攻擊。攻擊者會(huì)探查Web應(yīng)用程序，以找出并惡意利用其中的弱點(diǎn)。向Azure中運(yùn)行的應(yīng)用程序發(fā)出的請(qǐng)求在路由到特定的環(huán)境之前會(huì)流經(jīng)多個(gè)網(wǎng)關(guān)，網(wǎng)關(guān)會(huì)對(duì)其進(jìn)行檢查并記錄其狀態(tài)。然后，將使用這些數(shù)據(jù)來(lái)識(shí)別惡意利用行為和攻擊者，并了解稍后要使用的新模式。

可用性

適用于應(yīng)用服務(wù)的Azure Defender有哪些優(yōu)點(diǎn)？

啟用適用于應(yīng)用服務(wù)的Azure Defender后，你立即就能從該Azure Defender計(jì)劃提供的下列服務(wù)中受益：

·安全-安全中心會(huì)對(duì)你的應(yīng)用服務(wù)計(jì)劃覆蓋的資源進(jìn)行評(píng)估，并根據(jù)發(fā)現(xiàn)結(jié)果生成安全建議。可按照這些建議中的詳細(xì)說(shuō)明來(lái)強(qiáng)化你的應(yīng)用服務(wù)資源。

·檢測(cè)-Azure Defender會(huì)監(jiān)視以下內(nèi)容，檢測(cè)你的應(yīng)用服務(wù)資源面臨的多種威脅：

正在運(yùn)行Azure應(yīng)用服務(wù)的VM實(shí)例及其管理接口

發(fā)送至/發(fā)送自你的應(yīng)用服務(wù)應(yīng)用的請(qǐng)求和響應(yīng)

基礎(chǔ)沙盒和VM

應(yīng)用服務(wù)內(nèi)部日志-得益于Azure作為云提供商而具備的可見(jiàn)性，有這些日志可供查看

Azure Defender是一種云原生解決方案，可識(shí)別應(yīng)用于多個(gè)目標(biāo)的攻擊方法。例如，從單個(gè)主機(jī)上很難確定來(lái)自一小部分IP的分布式攻擊，這些IP對(duì)多個(gè)主機(jī)上相似的終結(jié)點(diǎn)進(jìn)行爬網(wǎng)。

而日志數(shù)據(jù)和基礎(chǔ)結(jié)構(gòu)結(jié)合起來(lái)，可呈現(xiàn)從四處傳播的新攻擊到客戶(hù)計(jì)算機(jī)遭到入侵的整個(gè)情況。因此，即使是在Web應(yīng)用被惡意利用后再部署安全中心，它也能夠檢測(cè)不斷發(fā)生的攻擊。

適用于應(yīng)用服務(wù)的Azure Defender可檢測(cè)哪些威脅？

按MITRE ATT&CK技巧排列的威脅

Azure Defender會(huì)監(jiān)視指向應(yīng)用服務(wù)資源的多種威脅。警報(bào)涵蓋了從預(yù)攻擊到命令和控制措施等各種MITRE ATT&CK技巧的完整列表。Azure Defender可檢測(cè)：

·預(yù)攻擊威脅-Defender可檢測(cè)攻擊者經(jīng)常用來(lái)探測(cè)應(yīng)用程序薄弱之處的多種漏洞掃描程序類(lèi)型的執(zhí)行。

·初始訪問(wèn)威脅-Microsoft威脅情報(bào)為這些警報(bào)提供支持，其中包括在已知惡意IP地址連接到Azure應(yīng)用服務(wù)FTP接口時(shí)觸發(fā)警報(bào)。

·執(zhí)行威脅-Defender可檢測(cè)嘗試運(yùn)行高權(quán)限命令、Windows應(yīng)用服務(wù)上的Linux命令、無(wú)文件攻擊行為、數(shù)字貨幣挖掘工具，以及其他許多可疑和惡意代碼執(zhí)行活動(dòng)的操作。

檢測(cè)無(wú)關(guān)聯(lián)的DNS

適用于應(yīng)用服務(wù)的Azure Defender還可識(shí)別當(dāng)應(yīng)用服務(wù)網(wǎng)站被解除授權(quán)時(shí)DNS注冊(cè)器中剩下了任何DNS條目-它們被稱(chēng)作無(wú)關(guān)聯(lián)的DNS條目。如果刪除某個(gè)網(wǎng)站但不從DNS注冊(cè)機(jī)構(gòu)刪除其自定義域，則該DNS條目將指向一個(gè)不存在的資源，并且子域容易遭到接管。Azure Defender不會(huì)在DNS注冊(cè)器中掃描當(dāng)前是否存在無(wú)關(guān)聯(lián)的DNS條目；當(dāng)應(yīng)用服務(wù)網(wǎng)站解除授權(quán)，但其自定義域（DNS條目）沒(méi)被刪除時(shí)，它會(huì)發(fā)出警報(bào)。

子域接管是組織常見(jiàn)的嚴(yán)重威脅。當(dāng)威脅執(zhí)行者檢測(cè)到無(wú)關(guān)聯(lián)的DNS條目時(shí)，會(huì)在目標(biāo)地址創(chuàng)建自己的網(wǎng)站。然后，本打算發(fā)送給組織的域的流量會(huì)被定向到威脅執(zhí)行者的網(wǎng)站中，他們會(huì)利用該流量實(shí)施各種惡意活動(dòng)。

無(wú)論你的域是由Azure DNS托管還是由外部域注冊(cè)器托管，可都使用無(wú)關(guān)聯(lián)DNS防護(hù)；該服務(wù)既適用于Windows上的應(yīng)用服務(wù)，也適用于Linux上的應(yīng)用服務(wù)。

關(guān)于已發(fā)現(xiàn)的無(wú)關(guān)聯(lián)DNS條目的Azure Defender警報(bào)示例。啟用適用于應(yīng)用服務(wù)的Azure Defender來(lái)接收此警報(bào)以及針對(duì)你的環(huán)境的其他警報(bào)。

若要詳細(xì)了解無(wú)關(guān)聯(lián)的DNS和子域接管威脅，請(qǐng)查看防止無(wú)關(guān)聯(lián)的DNS條目并避免子域接管。

有關(guān)Azure應(yīng)用服務(wù)警報(bào)的完整列表，請(qǐng)查看警報(bào)參考表。

備注

如果你的自定義域不直接指向應(yīng)用服務(wù)資源，或者由于已啟用無(wú)關(guān)聯(lián)DNS防護(hù)，因此Defender未監(jiān)視指向你的網(wǎng)站的流量（原因是沒(méi)有日志來(lái)幫助識(shí)別自定義域），那么Defender可能不會(huì)觸發(fā)無(wú)關(guān)聯(lián)DNS警報(bào)。

如何保護(hù)Azure應(yīng)用服務(wù)Web應(yīng)用和API

若要通過(guò)適用于應(yīng)用服務(wù)的Azure Defender保護(hù)Azure應(yīng)用服務(wù)計(jì)劃：

1.確保具有與專(zhuān)用計(jì)算機(jī)關(guān)聯(lián)的受支持的應(yīng)用服務(wù)計(jì)劃。上文中的可用性中列出了支持的計(jì)劃。

2.按照Azure安全中心定價(jià)中所述，在訂閱上啟用Azure Defender。

可選擇啟用Azure Defender中的單個(gè)計(jì)劃（例如適用于應(yīng)用服務(wù)的Azure Defender）。

安全中心原生與應(yīng)用服務(wù)集成，因此不需要部署和載入-集成是透明的。