Jak Defender for Cloud Apps pomáhá chránit vaše prostředí GitHub Enterprise

  • Článek

GitHub Enterprise Cloud je služba, která organizacím pomáhá ukládat a spravovat kód a sledovat a řídit změny kódu. Spolu s výhodami vytváření a škálování úložišť kódu v cloudu můžou být nejdůležitější prostředky vaší organizace vystavené hrozbám. Vystavené prostředky zahrnují úložiště s potenciálně citlivými informacemi, podrobnostmi o spolupráci a partnerství a dalšími informacemi. Zabránění vystavení těchto dat vyžaduje nepřetržité monitorování, aby se zabránilo jakýmkoli škodlivým aktérům nebo účastníkům, kteří si nejsou vědomi zabezpečení, v exfiltraci citlivých informací.

Připojení GitHub Enterprise Cloud to Defender for Cloud Apps poskytuje lepší přehled o aktivitách uživatelů a poskytuje detekci hrozeb pro neobvyklé chování.

Pomocí tohoto konektoru aplikace můžete získat přístup k funkcím správy stavu zabezpečení (SSPM) SaaS prostřednictvím bezpečnostních prvků, které se projeví ve skóre zabezpečení Microsoftu. Další informace.

Hlavní hrozby

  • Ohrožené účty a vnitřní hrozby
  • Únik dat
  • Nedostatečné povědomí o zabezpečení
  • Nespravované používání vlastního zařízení (BYOD)

Jak Defender for Cloud Apps pomáhá chránit vaše prostředí

Správa stavu zabezpečení SaaS

Pokud chcete zobrazit doporučení týkající se stavu zabezpečení pro GitHub ve službě Microsoft Secure Score, vytvořte konektor rozhraní API prostřednictvím karty Připojení orů s oprávněními Vlastník a Enterprise. V části Skóre zabezpečení vyberte Doporučené akce a vyfiltrujte je podle GitHubu produktu = .

Mezi doporučení pro GitHub patří například:

  • Povolení vícefaktorového ověřování (MFA)
  • Povolení jednotného přihlašování (SSO)
  • Zakažte možnost Povolit členům měnit pravděpodobnosti úložiště pro tuto organizaci.
  • Zakažte členy s oprávněními správce pro úložiště, která můžou odstranit nebo převést úložiště.

Pokud konektor už existuje a ještě nevidíte doporučení GitHubu, aktualizujte připojení odpojením konektoru rozhraní API a jeho opětovným připojením s oprávněními Vlastník a Enterprise .

Další informace naleznete v tématu:

Ochrana GitHubu v reálném čase

Projděte si naše osvědčené postupy pro zabezpečení a spolupráci s externími uživateli.

Připojení GitHub Enterprise Cloud do Microsoft Defenderu for Cloud Apps

Tato část obsahuje pokyny pro připojení Microsoft Defenderu pro Cloud Apps ke stávající cloudové organizaci GitHub Enterprise pomocí rozhraní API Připojení or. Toto připojení vám dává přehled o používání cloudu GitHub Enterprise vaší organizace a kontrolu nad nimi. Další informace o tom, jak Defender for Cloud Apps chrání GitHub Enterprise Cloud, najdete v tématu Ochrana GitHub Enterprise.

Pomocí tohoto konektoru aplikace můžete získat přístup k funkcím správy stavu zabezpečení (SSPM) SaaS prostřednictvím bezpečnostních prvků, které se projeví ve skóre zabezpečení Microsoftu. Další informace.

Požadavky

  • Vaše organizace musí mít licenci GitHub Enterprise Cloud.
  • Účet GitHubu používaný pro připojení k Defenderu for Cloud Apps musí mít pro vaši organizaci oprávnění vlastníka.
  • U možností SSPM musí být zadaný účet vlastníkem podnikového účtu.
  • Pokud chcete ověřit vlastníky vaší organizace, přejděte na stránku vaší organizace, vyberte Lidé a pak vyfiltrujte podle vlastníka.

Ověření domén GitHubu

Ověření, že vaše domény jsou volitelné. Důrazně ale doporučujeme ověřit domény, aby Defender for Cloud Apps mohl odpovídat e-mailům domény členů vaší organizace GitHubu s odpovídajícím uživatelem Azure Active Directory.

Tyto kroky je možné provést nezávisle na postupu konfigurace cloudu GitHub Enterprise a můžete ho přeskočit, pokud jste už ověřili své domény.

  1. Upgradujte organizaci na firemní podmínky služby.

  2. Ověřte domény vaší organizace.

    Poznámka:

    Nezapomeňte ověřit všechny spravované domény uvedené v nastavení Defenderu pro Cloud Apps. Pokud chcete zobrazit spravované domény, přejděte na portál Microsoft Defenderu a vyberte Nastavení. Pak zvolte Cloud Apps. V části Systém zvolte Podrobnosti organizace a pak přejděte do části Spravované domény .

Konfigurace cloudu GitHub Enterprise

  1. Vyhledejte přihlašovací jméno vaší organizace. Na GitHubu přejděte na stránku vaší organizace a z adresy URL si poznamenejte přihlašovací jméno vaší organizace, budete ho potřebovat později.

    Poznámka:

    Stránka bude mít adresu URL, například https://github.com/<your-organization>. Pokud je https://github.com/sample-organizationnapříklad stránka vaší organizace , přihlašovací jméno organizace je ukázková organizace.

    Snímek obrazovky znázorňující získání přihlašovacího jména organizace

  2. Vytvořte aplikaci OAuth pro Defender for Cloud Apps pro připojení vaší organizace Na GitHubu. Tento krok opakujte pro každou další propojenou organizaci.

    Poznámka:

    Pokud máte zapnuté funkce preview a zásady správného řízení aplikací, použijte k provedení tohoto postupu stránku zásad správného řízení aplikace místo stránky aplikací OAuth.

  3. Přejděte do Nastavení> NastaveníDeveloper, vyberte OAuth Apps a pak vyberte Zaregistrovat aplikaci. Pokud máte existující aplikace OAuth, můžete také vybrat novou aplikaci OAuth.

    Snímek obrazovky znázorňující vytvoření aplikace oauth

  4. Vyplňte podrobnosti o nové aplikaci OAuth a pak vyberte Zaregistrovat aplikaci.

    • Do pole Název aplikace zadejte název aplikace.
    • Do pole Adresa URL domovské stránky zadejte adresu URL domovské stránky aplikace.
    • Do pole Adresa URL zpětného volání autorizace zadejte následující hodnotu: https://portal.cloudappsecurity.com/api/oauth/connect.

    Poznámka:

    • Pro zákazníky GCC státní správy USA zadejte následující hodnotu: https://portal.cloudappsecuritygov.com/api/oauth/connect
    • Pro zákazníky GCC pro státní správu USA zadejte následující hodnotu: https://portal.cloudappsecurity.us/api/oauth/connect

    Snímek obrazovky znázorňující registraci aplikace oauth

    Poznámka:

    • Aplikace vlastněné organizací mají přístup k aplikacím organizace. Další informace najdete v tématu O omezeních přístupu k aplikacím OAuth.

  5. Přejděte na Nastavení> OAuth Apps, vyberte aplikaci OAuth, kterou jste právě vytvořili, a poznamenejte si id klienta a tajný klíč klienta.

    Snímek obrazovky s podrobnostmi o aplikaci oauth

Konfigurace Defenderu pro Cloud Apps

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojení ed apps (Aplikace) vyberte App Připojení ors (Připojení ors).

  2. Na stránce Konektor aplikace s vyberte +Připojení aplikaci a potom GitHub.

  3. V dalším okně zadejte popisný název spojnice a pak vyberte Další.

  4. V okně Zadat podrobnosti vyplňte ID klienta, tajný klíč klienta a přihlašovací jméno organizace, které jste si poznamenali dříve.

    Připojení GitHubu.

    Pro podporu možností SSPM je potřeba pro podnikovou slug, označovanou také jako název podniku. Vyhledání slug Enterprise:

    1. Vyberte profilový obrázek GitHubu –> vaše podniky.
    2. Vyberte svůj podnikový účet a zvolte účet, který chcete připojit k Microsoft Defenderu for Cloud Apps.
    3. Ověřte, že adresa URL je podniková slug. Například v tomto příkladu https://github.com/enterprises/testEnterprisetestEnterprise je podnikový slug.

  5. Vyberte Další.

  6. Vyberte Připojení GitHubu.

    Otevře se přihlašovací stránka GitHubu. V případě potřeby zadejte svoje přihlašovací údaje správce GitHubu, aby defender for Cloud Apps mohl přistupovat k instanci cloudu GitHub Enterprise vašeho týmu.

  7. Požádejte o přístup organizace a autorizujte aplikaci, aby poskytla defenderu pro Cloud Apps přístup k vaší organizaci Na GitHubu. Defender for Cloud Apps vyžaduje následující obory OAuth:

    • admin:org – vyžaduje se pro synchronizaci protokolu auditu vaší organizace.
    • read:user and user:email – vyžaduje se pro synchronizaci členů vaší organizace.
    • úložiště:status – vyžadováno pro synchronizaci událostí souvisejících s úložištěm v protokolu auditu
    • admin:enterprise – vyžaduje se pro možnosti SSPM. Upozorňujeme, že zadaný uživatel musí být vlastníkem podnikového účtu.

    Další informace o oborech OAuth najdete v tématu Principy oborů pro aplikace OAuth.

    Snímek obrazovky znázorňující autorizaci oauth GitHubu

    Zpátky v konzole Defender for Cloud Apps byste měli obdržet zprávu, že GitHub byl úspěšně připojen.

  8. Ve spolupráci s vlastníkem organizace GitHubu udělte organizaci přístup k aplikaci OAuth vytvořenou v nastavení přístupu třetích stran GitHubu. Další informace najdete v dokumentaci k GitHubu.

    Vlastník organizace najde žádost z aplikace OAuth až po připojení GitHubu k Defenderu for Cloud Apps.

  9. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojení ed apps (Aplikace) vyberte App Připojení ors (Připojení ors). Ujistěte se, že je stav připojené aplikace Připojení or Připojení.

Po připojení GitHub Enterprise Cloudu obdržíte události po dobu 7 dnů před připojením.

Pokud máte s připojením aplikace nějaké problémy, přečtěte si téma Řešení potíží s Připojení ory aplikací.

Další kroky

Řízení cloudových aplikací pomocí zásad

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.