Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato příručka obsahuje kroky nastavení pro sandboxový projekt, který vám umožní vyhodnotit GitHub Advanced Security (GHAS) a jeho integraci s Microsoft Defenderem pro Cloud na jednoduchém příkladu použití.
Tato integrace pomáhá maximalizovat zabezpečení aplikací nativních pro cloud Microsoft tím, že koreluje rizika modulu runtime a kontext s původním kódem, aby se urychlila náprava založená na umělé inteligenci.
Podle této příručky:
- Nastavte úložiště GitHubu pro pokrytí cloudu v programu Defender.
- Vytvořte faktor rizika během běhu
- Propojte kód s prostředky modulu runtime.
- Otestujte skutečné případy použití v defenderu pro cloud.
Předpoklady
| Aspekt | Podrobnosti |
|---|---|
| Požadavky na životní prostředí | – Účet GitHubu s konektorem vytvořeným v defenderu pro cloud - Licence GHAS - Na předplatném je povolený nástroj Defender Cloud Security Posture Management (DCSPM) – Microsoft Security Copilot (volitelné pro automatizovanou nápravu) |
| Role a oprávnění | – Oprávnění správce zabezpečení – Správce zabezpečení v předplatném Azure (pro zobrazení zjištění v Defender for Cloud) – Vlastník organizace GitHubu |
| Cloudová prostředí | Dostupné jenom v komerčních cloudech (ne v Azure Government, Azure provozované společností 21Vianet nebo jinými suverénními cloudy). |
Příprava prostředí
Krok 1: Nastavení úložiště GitHub a spuštění pracovního postupu
K otestování integrace použijte ukázkové úložiště sandboxu GitHub, které už má veškerý obsah k sestavení zranitelné image kontejneru.
Před nastavením úložiště se ujistěte, že:
- Definujte konektor pro organizaci GitHub, kterou máte v úmyslu použít v rámci portálu Defender for Cloud. Postupujte podle kroků v tématu Připojení prostředí GitHubu ke službě Microsoft Defender for Cloud.
- Nakonfigurujte kontrolu kódu bez agentů pro váš konektor GitHub. Postupujte podle kroků v části Konfigurace kontroly kódu bez agentů (Preview).
- Pro integraci použijte privátní úložiště.
- Naklonujte do své organizace GitHub následující úložiště:
- https://github.com/build25-woodgrove/mdc-customer-playbook Toto úložiště má povolenou službu GHAS a je integrované do Azure tenanta, který má povolen Defender CSPM.
V úložišti postupujte takto:
- Přejděte na Nastavení.
- V levém podokně vyberte Tajné kódy a proměnné akce>. Pak vyberte Nový tajný klíč úložiště.
- Na úrovni úložiště nebo organizace přidejte následující tajné kódy:
| Proměnná | Description |
|---|---|
| ACR_ENDPOINT | Ověřovací server registru kontejneru. |
| ACR_USERNAME | Uživatelské jméno registru kontejneru. |
| ACR_PASSWORD | Heslo pro registr kontejneru. |
Note
Můžete zvolit názvy těchto proměnných. Nemusí dodržovat konkrétní vzor.
Tyto informace najdete na webu Azure Portal pomocí následujícího postupu:
- Vyberte registr kontejneru, do kterého chcete nasadit.
- V části Nastavení vyberte Přístupové klíče.
- Podokno Přístupové klíče zobrazuje klíče pro ověřovací server, uživatelské jméno a heslo.
V úložišti vyberte Akce, poté vyberte pracovní postup Build and Push to ACR, a nakonec vyberte Spustit pracovní postup.
Zkontrolujte, jestli byla image nasazená do vašeho registru kontejneru. V příkladu úložiště by obraz měl být v registru nazvaném mdc-mock-0001 s tagem mdc-ghas-integration.
Nasaďte stejný image jako běžící kontejner ve vašem clusteru. Jedním ze způsobů, jak tento krok dokončit, je připojení ke clusteru a použití kubectl run příkazu. Tady je příklad pro Azure Kubernetes Service (AKS):
Nastavení předplatného clusteru:
az account set --subscription $subscriptionID
Nastavte přihlašovací údaje pro cluster:
az aks get-credentials --resource-group $resourceGroupName --name $kubernetesClusterName --overwrite-existing
Nasazení obrazu:
kubectl run $containerName --image=$registryName.azurecr.io/mdc-mock-0001:mdc-ghas-integration
Krok 2: Vytvoření příkladového rizikového faktoru (pravidlo kritické pro podnikání)
Jedním z rizikových faktorů, které Defender for Cloud detekuje pro tuto integraci, je obchodní důležitost. Organizace mohou vytvářet pravidla, která označí zdroje jako kritické pro podnikání.
- Na portálu Defender for Cloud přejděte do části Nastavení prostředí>Důležitost prostředků.
- V pravém podokně vyberte odkaz a otevřete Microsoft Defender.
- Vyberte Vytvořit novou klasifikaci.
- Zadejte jméno a popis.
- V nástroji pro tvorbu dotazů vyberte Cloudový prostředek. Napište dotaz pro nastavení názvu prostředku , který se rovná názvu kontejneru, který jste nasadili do clusteru pro ověření. Pak vyberte Další.
- Na stránce Prostředky ve verzi Preview se zobrazí název kontejneru s typem prostředku K8s-container nebo K8s-pod, pokud Microsoft Defender již detekoval váš zdroj. I když název ještě není viditelný, pokračujte dalším krokem.
- Zvolte úroveň závažnosti a pak zkontrolujte a odešlete pravidlo klasifikace.
Note
Microsoft Defender použije popisek závažnosti u kontejneru po zjištění kontejneru. Tento proces může trvat až 24 hodin.
Krok 3: Ověření připravenosti vašeho prostředí
Ověření potvrzuje, že je vaše prostředí správně nakonfigurované tak, aby zkonfigurovalo kód na doporučení modulu runtime a vygenerovalo použitelné výsledky.
Během tohoto kroku Defender ověřuje úplnou viditelnost kódu při běhu.
- Microsoft Defender for Cloud nepřetržitě monitoruje úložiště zdrojového kódu z hlediska ohrožení zabezpečení.
- Artefakty sestavení, jako jsou image kontejnerů, se před nasazením naskenují v registrech kontejnerů.
- Úlohy runtime nasazené do clusterů Kubernetes se monitorují kvůli bezpečnostním rizikům.
- Defender for Cloud koreluje a trasuje každý artefakt od kódu, přes sestavení a nasazení až po běh a zpět.
Note
Zobrazení následujících výsledků může trvat až 24 hodin po použití předchozích kroků.
Otestujte, že skenování bez agenta GitHub zachytí úložiště.
Přejděte do Průzkumníka zabezpečení cloudu a proveďte dotaz. Ověřovací dotazy testují, jestli Defender dokáže identifikovat artefakty vytvořené vašimi kanály a úlohami. Pokud dotazy vrátí výsledky, znamená to, že kontrola a korelace fungují podle očekávání.
Note
Pokud nejsou vráceny žádné výsledky, může to znamenat, že artefakty ještě nejsou vygenerovány, skenování není nakonfigurováno nebo chybí oprávnění.
- Ověřte, že Defender for Cloud (ve službě Azure Container Registry) naskenuje image kontejneru a použil ji k vytvoření kontejneru.
- Do dotazu přidejte podmínky pro konkrétní nasazení.
- Ověřte, že je kontejner spuštěný a že Defender for Cloud naskenuje cluster AKS.
- Ověřte, že jsou rizikové faktory správně nakonfigurované na straně Defenderu pro cloud. Vyhledejte název kontejneru na stránce inventáře Defenderu pro cloud a měli byste vidět, že je označený jako kritický.
Note
Tento krok se vyžaduje jenom v případě, že ve vašem prostředí ještě nejsou nakonfigurované rizikové faktory.
Úspěšné ověření zajišťuje, aby následné kroky, jako jsou doporučení, kampaně a GitHub generování problémů, vytvořily smysluplné výsledky.