Bearbeiten

Freigeben über


Allgemeine Fragen zur DevOps-Sicherheit

Erhalten Sie Antworten auf häufig gestellte Fragen zu Microsoft DevOps-Sicherheit.

Warum erhalte ich beim Herstellen einer Verbindung eine Fehlermeldung?

Wenn Sie die Schaltfläche Autorisieren auswählen, wird das Konto verwendet, mit dem Sie angemeldet sind. Dieses Konto kann dieselbe E-Mail-Adresse, aber möglicherweise einen anderen Mandanten haben. Stellen Sie sicher, dass Sie die richtige Kombination aus Konto und Mandanten auf dem Popup-Zustimmungsbildschirm und in Visual Studio ausgewählt haben.

Sie können überprüfen, welches Konto angemeldet ist.

Warum finde ich mein Azure DevOps-Repository nicht?

Das Onboarding von DevOps-Sicherheit für Defender for Cloud unterstützt nur den Repositorytyp TfsGit. Der Repositorytyp TFSVC wird derzeit nicht unterstützt.

Stellen Sie sicher, dass das Onboarding Ihrer Repositorys in Microsoft Defender for Cloud durchgeführt wurde. Wenn Ihr Repository immer noch nicht angezeigt wird, stellen Sie sicher, dass Sie mit dem richtigen Benutzerkonto der Azure DevOps-Organisation angemeldet sind. Ihr Azure-Abonnement und Ihre Azure DevOps-Organisation müssen sich im selben Mandanten befinden. Wenn der Connector einem falschen Benutzer zugewiesen ist, müssen Sie den zuvor erstellten Connector löschen, sich mit dem korrekten Benutzerkonto anmelden und den Connector neu erstellen.

Warum sehe ich keine generierte SARIF-Datei an dem Pfad, den ich zum Ablegen ausgewählt habe?

Falls sich die SARIF-Datei nicht am erwarteten Pfad befindet, haben Sie möglicherweise einen anderen Ablagepfad als CodeAnalysisLogs/msdo.sarif gewählt. Derzeit sollten Sie Ihre SARIF-Dateien unter CodeAnalysisLogs/msdo.sarif ablegen.

Warum sehe ich die Ergebnisse für Azure DevOps Projects nicht in Microsoft Defender for Cloud?

Wenn Sie die klassische Pipelinekonfiguration verwenden, dürfen Sie den Artefaktnamen nicht ändern. Dies kann dazu führen, dass die Ergebnisse für Ihr Projekt nicht angezeigt werden. Sie können mehr darüber erfahren, wie Sie Ihre Ergebnisse überprüfen.

Ich habe erfolgreich einen DevOps-Connector integriert. Wo finde ich die zugehörigen Empfehlungen?

Es wird empfohlen, zum Bereich „DevOps-Sicherheit“ zu navigieren, um eine Übersicht über Ihren DevOps-Sicherheitsstatus anzuzeigen. Sie können nach der relevanten DevOps-Ressource sortieren und filtern, um die Empfehlungsdetails anzuzeigen.

Sie können auch die DevOps-Arbeitsmappe verwenden und an Ihre Anforderungen anpassen.

Welche Informationen speichert das DevOps-Sicherheitsprodukt über mich und mein Unternehmen, und wo werden die Daten gespeichert und verarbeitet?

DevOps-Sicherheitsfeatures stellen eine Verbindung mit Ihrem Quellcode-Verwaltungssystem (z. B. Azure DevOps, GitHub und/oder GitLab) her, um eine zentrale Konsole für Ihre DevOps-Ressourcen und für ihren Sicherheitsstatus bereitzustellen. DevOps-Sicherheitsfeatures verarbeiten und speichern folgende Informationen:

  • Metadaten auf Ihren verbundenen Quellcode-Verwaltungssystemen und den zugehörigen Repositorys. Diese Daten umfassen Benutzer-, Organisations- und Authentifizierungsinformationen.

  • Überprüfungsergebnisse für Empfehlungen und Details

DevOps-Sicherheitsfeatures sind Teil von Microsoft Defender for Cloud. Machen Sie sich mit dem folgenden Datenresidenzleitfaden und mit den Details zur EU-Datengrenze im Zusammenhang mit dem Microsoft Defender for Cloud-Dienst vertraut.

Im Rahmen der DevOps-Sicherheit werden aktuell weder Ihr Code noch Ihr Build oder Ihre Überwachungsprotokolle verarbeitet oder gespeichert. Dies kann sich jedoch im Zuge der Erweiterung des Funktionsumfangs der DevOps-Sicherheit ändern.

Hier finden Sie Informationen zur Microsoft-Datenschutzerklärung.

Warum sind für meinen Azure DevOps-Connector Schreibberechtigungen für Arbeitselemente, Build, Code, Service Hooks und erweiterte Sicherheit erforderlich?

Diese Berechtigungen sind für bestimmte DevOps-Features erforderlich (beispielsweise für Pull Request-Anmerkungen).

Wird die Empfehlungsausnahmenfunktion für die Verwaltung von Anwendungssicherheitsrisiken bereitgestellt und nachverfolgt?

Für DevOps-Sicherheitsempfehlungen in Microsoft Defender for Cloud sind derzeit keine Ausnahmen verfügbar.

Warum kann ich GitHub Advanced Security for Azure DevOps-Ergebnisse (GHAzDO) in Defender for Cloud nicht sehen?

Vergewissern Sie sich, dass Ihre Connectors ordnungsgemäß autorisiert sind.

Stellen Sie sicher, dass Sie dieselbe Abonnement-ID für GHAzDO und Defender for Cloud verwenden. Wenn Sie die Ergebnisse immer noch nicht sehen können, kann das Problem dadurch verursacht werden, dass Ihrem ADO-Connector der erforderliche Bereich fehlt. Für die DevOps-Sicherheit wurden im Juni neue Bereiche für Azure DevOps-Connectors eingeführt. Wenn Sie den Connector vor Juni erstellt und noch nicht aktualisiert haben, können Sie GHAzDO-Ergebnisse aufgrund eines fehlenden Bereichs für den Connector nicht sehen. Sie müssen einen neuen ADO-Connector erstellen, der die neuen Bereiche automatisch enthält.

Stellen Sie sicher, dass in den Benutzerberechtigungen für Microsoft Defender for DevOps die Optionen Advanced Security: view alerts und Read auf Allow festgelegt sind. Diese Berechtigungen haben sich möglicherweise geändert, wenn die Umschaltfläche für die Vererbung deaktiviert wurde. Wenn die erforderlichen Berechtigungen auf Not set oder Denyfestgelegt sind, müssen sie manuell auf Allow aktualisiert werden. Andernfalls werden die GHAzDO-Ergebnisse in Defender for Cloud-Empfehlungen nicht angezeigt.

Screenshot mit erweiterten Sicherheitsberechtigungen.

Ist eine kontinuierliche, automatische Überprüfung verfügbar?

Derzeit erfolgt das Scannen zur Buildzeit.

Warum kann ich keine Pull Request-Anmerkungen konfigurieren?

Stellen Sie sicher, dass Sie über Schreibzugriff (Besitzer/Mitwirkender) auf das Abonnement verfügen. Wenn Sie heute nicht über diese Art von Zugriff verfügen, können Sie ihn erhalten, indem Sie eine Microsoft Entra-Rolle in PIM aktivieren.

Welche Programmiersprachen werden von DevOps-Sicherheitsfeatures unterstützt?

Folgende Sprachen werden von DevOps-Sicherheitsfeatures unterstützt:

  • Python
  • JavaScript
  • TypeScript

Eine Liste der Sprachen, die von GitHub Advanced Security unterstützt werden, finden Sie hier.

Kann ich den Connector in eine andere Region migrieren?

Kann ich z. B. den Connector von der Region „USA, Mitte“ in die Region „Europa, Westen“ migrieren?

Die automatische Migration zwischen Regionen wird derzeit für DevOps-Sicherheitsconnectors nicht unterstützt.

Wenn Sie einen DevOps-Connector in eine andere Region verschieben möchten, sollten Sie den vorhandenen Connector löschen und anschließend in der neuen Region neu erstellen.

Werden API-Aufrufe von Defender for Cloud auf meinen Grenzwert für „Verbrauch“ angerechnet?

Ja, API-Aufrufe von Defender for Cloud werden auf den globalen Grenzwert für „Verbrauch“ von Azure DevOps angerechnet. Defender for Cloud führt Aufrufe im Namen des Benutzers durch, der das Onboarding des Connectors vornimmt.

Warum ist meine Organisationsliste auf der Benutzeroberfläche leer?

Wenn Ihre Organisationsliste auf der Benutzeroberfläche leer ist, nachdem Sie das Onboarding eines Azure DevOps-Connectors durchgeführt haben, müssen Sie sicherstellen, dass die Organisation in Azure DevOps mit dem Azure-Mandanten des Benutzers verbunden ist, der den Connector authentifiziert hat.

Informationen zum Beheben dieses Problems finden Sie im Leitfaden zur Problembehandlung für DevOps.

Ich habe eine große Azure DevOps-Organisation mit vielen Repositorys. Kann ich dennoch ein Onboarding durchführen?

Ja. Sie können beliebig viele Azure DevOps-Repositorys für DevOps-Sicherheitsfunktionen integrieren.

Das Onboarding großer Organisationen hat jedoch zwei wichtige Auswirkungen: Geschwindigkeit und Drosselung. Die Ermittlungsgeschwindigkeit für Ihre DevOps-Repositorys wird durch die Anzahl der Projekte für jeden Connector (ca. 100 Projekte pro Stunde) bestimmt. Eine Drosselung kann auftreten, da für Azure DevOps-API-Aufrufe ein globales Übertragungsratenlimit gilt und wir die Aufrufe für die Projektermittlung auf einen kleinen Teil der allgemeinen Kontingentlimits beschränken.

Erwägen Sie die Verwendung einer alternativen Azure DevOps-Identität (d. h. eines Organisationsadministratorkontos, das als Dienstkonto verwendet wird), um zu verhindern, dass einzelne Konten beim Onboarding großer Organisationen gedrosselt werden. Im Anschluss finden Sie einige Szenarien, in denen eine alternative Identität zum Onboarding eines DevOps-Sicherheitsconnectors verwendet werden muss:

  • Große Anzahl von Azure DevOps-Organisationen und -Projekten (mehr als 500 Projekte)
  • Große Anzahl gleichzeitiger Buildvorgänge mit Spitzen während der Arbeitszeiten
  • Autorisierte Benutzer*innen sind Power Platform-Benutzer*innen, die zusätzliche Azure DevOps-API-Aufrufe durchführen und dabei die Kontingente des globalen Übertragungsratenlimits aufbrauchen.

Nachdem Sie die Azure DevOps-Repositorys in dieses Konto integriert und die Microsoft Security DevOps Azure DevOps-Erweiterung in Ihrer CI/CD-Pipeline konfiguriert und ausgeführt haben, werden die Überprüfungsergebnisse nahezu sofort in Microsoft Defender for Cloud angezeigt.