Microsoft Defender for App Service は、App Service のリソースに対する脅威を検出するサービスです。
外部からの攻撃へのセキュリティ対策として、App Service の前に Font Door の WAF をいれることはありましたが、Defender for App Service は使ったことがなかったので試してみました。
docs.microsoft.com
Defender for App Service とは
Defender for App Service は、Microsoft Defender for Cloud(旧 Azure Security Center)のうち、リソースに対する脅威を検出するカテゴリーに分類されます。
App Service 以外にも、次のようなリソース向けのサービスが提供されています。
- Defender for Servers
- Defender for Storage
- Defender for SQL
- Defender for Containers
- Defender for Key Vault
- Defender for Resource Manager
- Defender for DNS
Defender for App Service で検知できる脅威には、Web サーバー内の不審なプロセスや異常な操作があり、昨年話題になった未解決の DNS とサブドメイン乗っ取りも含まれています。
検知できるアラートの一覧については、公式ドキュメントを参照してください。
docs.microsoft.com
Defender for App Service を有効化する
Defender for Cloud の environment settings から、基本的にはサブスクリプション単位で有効化することが推奨されています。
Defender で保護できるリソース一覧が表示されるので、App Service を有効化します。
App Service の Security でも、Defender が有効化されたことを確認できます。
Defender for App Service のアラートを検証する
実際にテスト用のアラートを発生させて、Defender for App Service を検証してみます。
今回は、App Service の URL の末尾に /This_Will_Generate_ASC_Alert を付けて HTTP リクエストを行うことで発生させられるアラートを試してみます。
$ curl https://<app service name>.azurewebsites.net/This_Will_Generate_ASC_Alert The resource you are looking for has been removed, had its name changed, or is temporarily unavailable.
しばらく待っていると、App Service の Security にセキュリティのアラートが表示されます。
Defender for Cloud の Secirity Alert にも、アラートの詳細が表示されます。
まとめ
Defender for App Service を有効化して、テスト用のアラートを発生させてみました。
Font Door の WAF だけでは保護しきれない脅威もあるので、アプリケーションの要件によっては導入を検討してみてもよさそうだと思いました。
Defender for Storage を試してみた記事は、こちらを参照してください。
gooner.hateblo.jp
