Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender for Cloud CLI ist ein Entwickler-erstes Befehlszeilentool, das Sicherheitsscans in CI/CD-Pipelines und auf Entwicklerterminals orchestriert. Es lädt Ergebnisse für die Haltungsverwaltung, den Kontext von Code zu Laufzeit, die Priorisierung und die Nachverfolgung in Microsoft Defender für die Cloud hoch. Es beschleunigt die sichere Zustellung mit minimalen Setup-, einfach zu bedienenden Befehlszeilenoptionen und umsetzbaren Anleitungen, die Teams dabei helfen, Probleme schnell zu beheben, ohne unterbrechungsfrei zu arbeiten.
Funktionsweise der Defender for Cloud CLI
Führen Sie Sicherheitsüberprüfungen überall aus: Sie können Scans von Ihrem Laptop oder einem beliebigen CI/CD-Pipelinesystem (z. B. GitHub-Aktionen, Azure DevOps, Jenkins, Bitbucket und mehr) initiieren. Das Tool erfordert minimale Konfiguration – eine einzelne ausführbare Datei, vernünftige Standardeinstellungen und optimierte Authentifizierung.
Vereinheitliche Scanner mit einem Tool: Orchestriere mehrere Sicherheits-Engines (z. B. Containerimageanalyse und mehr, sobald diese verfügbar sind) mit konsistenten Ausgabe- und Ausgangscodes, die Pipeline-Gating und Automatisierung optimieren.
Ergebnisse in Defender for Cloud hochladen: Die Ergebnisse landen an einem zentralen Ort, an dem Sicherheitsteams Code-zu-Runtime-Sichtbarkeit, Angriffspfadkontext und Standardempfehlungsinhalte gewinnen, um zuerst auf das Wesentliche abzuzielen.
Für Entwicklererfahrung entwickelt: Bietet klare Hilfe, präzise Konsolenausgabe und Wartungsanleitungen, die sich an der Funktionsweise von Entwicklern (Pipelines, Terminals und Pullanforderungen) orientieren.
Wie sie in Ihren Workflow passt
- Sie installieren und authentifizieren sich in Ihrer CI/CD-Pipeline oder lokal.
- Sie scannen das Bild, an dem Sie arbeiten.
- Sie überprüfen die Ergebnisse in der Konsole, exportieren Sie bei Bedarf, und laden Sie sie nach Defender for Cloud hoch.
Authentifizierung
Defender für Cloud CLI unterstützt zwei Authentifizierungsmethoden, um die Sicherheitspraktiken des Unternehmens zu berücksichtigen. Die erste und bevorzugte Methode ist die connectorbasierte Authentifizierung, die derzeit für Azure DevOps und GitHub verfügbar ist. Durch das Einrichten eines Connectors zwischen diesen Quellcodeverwaltungs-Managern und Defender für Cloud wird die Authentifizierung automatisch behandelt, sodass keine Token zu Pipelines hinzugefügt werden müssen. Die zweite Methode ist die tokenbasierte Authentifizierung, bei der Sicherheitsadministratoren Token im Microsoft Defender für Cloud-Portal erstellen und als Umgebungsvariablen in CI/CD-Pipelines oder lokalen Terminals konfigurieren. Dieser Ansatz bietet Flexibilität über verschiedene Buildsysteme und ermöglicht eine gezielte Bereichsdefinition durch Abonnement. Ausführliche Schritte und Beispiele finden Sie unter "Authentifizierung".
CI/CD-Integration
Defender für Cloud CLI ist plattformunabhängig und funktioniert, wenn Sie einen nativen Connector oder Authentifizierungstoken verwenden. Teams können es schrittweise übernehmen, YAML mit Standardeinstellungen optimieren und sich auf stabile, konsistente Rückgabecodes verlassen, um Prüfungen einzubinden. Beispiele und Marketplace-Einträge (Azure DevOps Task) sind Teil des Standardrollouts, um das Onboarding zu beschleunigen. Ausführliche Schritte und Beispiele finden Sie unter CI/CD-Integration.
Referenzdesign für Befehle
Defender für Cloud CLI-Syntax folgt einem einfachen Referenzmustername - command - parameter - parameter value. Hier erfahren Sie beispielsweise, wie Sie einen Container scannen:
defender scan image myregistry.azurecr.io/app:build-123
Ausführliche Referenz finden Sie unter Syntax.
Ergebnisse und Korrekturen
- Stellt eine lesbare Konsolenausgabe mit Problemen und nächsten Schritten zur Behebung bereit.
- Wenn sie von CI/CD-Pipelines aufgerufen wird, werden Ergebnisse in Defender for Cloud hochgeladen, bei denen Ergebnisse in Bestandsbeständen, Empfehlungen und Angriffspfaden mit Laufzeitkontext (z. B. Internetexposition und betroffene Workloads) angezeigt werden.
Informationen zum Überprüfen von Ergebnissen finden Sie unter "Überprüfen von Ergebnissen".
Code-zu-Laufzeit-Sichtbarkeit
Wenn Ergebnisse hochgeladen werden, modelliert Defender for Cloud die Beziehungen zwischen Repository, Pipeline, Image und Runtimeressourcen, damit Sicherheitsteams die richtigen Besitzer ansprechen, den Auswirkungsradius verstehen und die Behebung auf das Risiko abstimmen können. Weitere Informationen finden Sie unter Container Image Mapping.
Migration von MSDO CLI
Wenn Sie die ältere Microsoft Security DevOps (MSDO)-CLI verwenden, ziehen Sie in Betracht, zu Defender for Cloud CLI zu wechseln, um Folgendes zu erhalten:
Containerscans mit Microsoft Container Security Scanner (MDVM-gestützt) (als Ersatz für Trivy-Imagescans in Pipelines).
Verbesserte Benutzerentwicklererfahrung (lokal und in CI mit Befehlszeilenoptionen ausgeführt).
Ein zukunftssicherer Pfad, da neue Scanner von Defender für Cloud CLI orchestriert werden. MSDO CLI bleibt im Wartungsmodus.