Schnellstart: Herstellen einer Verbindung zwischen Ihrer Azure DevOps-Umgebung und Microsoft Defender for Cloud
In dieser Schnellstartanleitung erfahren Sie, wie Sie auf der Seite Umgebungseinstellungen in Microsoft Defender for Cloud eine Verbindung für Ihre Azure DevOps-Organisationen herstellen. Diese Seite bietet eine einfache Onboarding-Erfahrung zur automatischen Ermittlung Ihrer Azure DevOps-Repositorys.
Durch die Verbindung Ihrer Azure DevOps-Organisationen mit Defender for Cloud erweitern Sie die Sicherheitsfunktionen von Defender for Cloud auf Ihre Azure DevOps-Ressourcen. Zu diesen Features zählen:
Grundlegende Funktionen zur Verwaltung der Cloudsicherheit (Cloud Security Posture Management, CSPM): Sie können Ihren Azure DevOps-Sicherheitsstatus anhand von Azure DevOps-spezifischen Sicherheitsempfehlungen bewerten. Sie können sich auch ausführlicher über alle Empfehlungen für DevOps-Ressourcen informieren.
Defender CSPM-Features: Defender CSPM-Kunden erhalten Code für kontextbezogene Cloudangriffspfade, Risikobewertungen und Erkenntnisse, um die wichtigsten Schwachstellen zu identifizieren, die Angreifer*innen nutzen können, um in ihre Umgebung einzudringen. Durch die Verbindung Ihrer Azure DevOps-Repositorys können Sie DevOps-Sicherheitsergebnisse mit Ihren Cloudworkloads kontextualisieren und den Ursprung sowie den Entwickler bzw. die Entwicklerin identifizieren, um eine zeitnahe Korrektur zu ermöglichen. Weitere Informationen finden Sie unter Identifizieren und Analysieren von Risiken in Ihrer Umgebung.
Von Defender for Cloud ausgeführte API-Aufrufe werden auf den globalen Grenzwert für „Verbrauch“ von Azure DevOps angerechnet. Weitere Informationen finden Sie unter Allgemeine Fragen zur DevOps-Sicherheit.
Voraussetzungen
Für die Durchführung dieses Schnellstarts benötigen Sie Folgendes:
- Ein Azure-Konto, in das Defender for Cloud integriert ist. Wenn Sie noch kein Azure-Konto besitzen, erstellen Sie ein kostenloses Konto.
Verfügbarkeit
| Aspekt | Details |
|---|---|
| Status des Release: | Allgemeine Verfügbarkeit |
| Preise: | Preisinformationen finden Sie unter Microsoft Defender for Cloud – Preise. |
| Erforderliche Berechtigungen: | Kontoadministrator mit Berechtigungen zum Anmelden beim Azure-Portal. Mitwirkender, um einen Connector im Azure-Abonnement zu erstellen Projektsammlungsadministrator für die Azure DevOps-Organisation Zugriffsebene Basic oder Basic + Test Plans in der Azure DevOps-Organisation. Stellen Sie sicher, dass Sie über Berechtigungen als Projektsammlungsadministrator*in UND die Standardzugriffsebene für alle Azure DevOps-Organisationen verfügen, die Sie integrieren möchten. Die Zugriffsebene als Projektbeteiligte reicht nicht aus. Zugriff auf Anwendungen von Drittanbietern über OAuth: Diese Option muss auf für die Azure DevOps-Organisation auf On festgelegt werden. Weitere Informationen zu OAuth und zur Aktivierung in Ihren Organisationen finden Sie hier. |
| Regionen und Verfügbarkeit: | Weitere Informationen zur regionalen Unterstützung und Verfügbarkeit von Features finden Sie unter Unterstützung und Voraussetzungen: DevOps-Sicherheit. |
| Clouds: |  Kommerziell  National (Azure Government, Microsoft Azure betrieben von 21Vianet) |
Hinweis
Die Rolle Sicherheitsleseberechtigter kann auf den Bereich „Ressourcengruppe/Azure DevOps-Connector“ angewendet werden, um das Festlegen sehr privilegierter Berechtigungen auf einer Abonnementebene für Lesezugriff auf DevOps-Sicherheitsstatusbewertungen zu vermeiden.
Verbinden Ihrer Azure DevOps-Organisation
Hinweis
Nachdem Sie Azure DevOps mit Defender for Cloud verbunden haben, wird die Containerzuordnungserweiterung von Microsoft Defender for DevOps automatisch freigegeben und in allen verbundenen Azure DevOps-Organisationen installiert. Mit dieser Erweiterung kann Defender for Cloud Metadaten aus Pipelines extrahieren, z. B. die Digest-ID und den Namen eines Containers. Diese Metadaten werden verwendet, um DevOps-Entitäten mit ihren zugehörigen Cloudressourcen zu verbinden. Weitere Informationen zur Containerzuordnung finden Sie hier.
So verbinden Sie Ihre Azure DevOps-Organisation mithilfe eines nativen Connectors mit Defender for Cloud:
Melden Sie sich beim Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.
Wählen Sie Umgebung hinzufügen aus.
Wählen Sie Azure DevOps aus.
Geben Sie einen Namen, ein Abonnement, eine Ressourcengruppe und eine Region ein.
Das Abonnement ist der Ort, an dem Microsoft Defender for Cloud die Azure DevOps-Verbindung erstellt und speichert.
Wählen Sie Weiter: Zugriff konfigurieren aus.
Wählen Sie Autorisieren. Achten Sie im Dropdownmenü Azure DevOps darauf, dass Sie den richtigen Azure-Mandanten autorisieren, und vergewissern Sie sich auch, dass Sie sich in Defender for Cloud im richtigen Azure-Mandanten befinden.
Lesen Sie die Liste der Berechtigungsanforderungen im Popupdialogfeld, und wählen Sie Akzeptieren aus.
Wählen Sie für „Organisationen“ eine der folgenden Optionen aus:
- Wählen Sie die Option Alle vorhandenen Organisationen aus, um alle Projekte und Repositorys in Organisationen, in denen Sie derzeit Projektsammlungsadministrator*in sind, automatisch zu ermitteln.
- Wählen Sie die Option Alle vorhandenen und zukünftigen Organisationen aus, um alle Projekte und Repositorys in allen aktuellen und zukünftigen Organisationen, in denen Sie Projektsammlungsadministrator*in sind, automatisch zu ermitteln.
Hinweis
Zugriff auf Anwendungen von Drittanbietern über OAuth muss für die Azure DevOps-Organisation auf
Onfestgelegt werden. Weitere Informationen zu OAuth und zur Aktivierung in Ihren Organisationen finden Sie hier.Da das Onboarding von Azure DevOps-Repositorys keine zusätzlichen Kosten verursacht, wird die automatische Erkennung auf die gesamte Organisation angewendet, um sicherzustellen, dass Defender for Cloud den Sicherheitsstatus umfassend bewerten und auf Sicherheitsbedrohungen in Ihrem gesamten DevOps-Ökosystem reagieren kann. Organisationen können später manuell unter Microsoft Defender for Cloud>Umgebungseinstellungen hinzugefügt und entfernt werden.
Wählen Sie Weiter: Überprüfen und generieren aus.
Überprüfen Sie die Informationen, und wählen Sie Erstellen aus.
Hinweis
Damit die erweiterten DevOps-Statusfunktionen in Defender for Cloud ordnungsgemäß funktionieren, kann nur eine einzelne Instanz einer Azure DevOps-Organisation in den Azure-Mandanten integriert werden, in dem Sie einen Connector erstellen.
Nach erfolgreichem Onboarding werden DevOps-Ressourcen (z. B. Repositorys, Builds) auf den Sicherheitsseiten „Inventar“ und „DevOps“ angezeigt. Es kann bis zu 8 Stunden dauern, bis die Ressourcen angezeigt werden. Empfehlungen zur Sicherheitsüberprüfung erfordern möglicherweise einen zusätzlichen Schritt zum Konfigurieren Ihrer Pipelines. Die Aktualisierungsintervalle für Sicherheitsergebnisse variieren je nach Empfehlung. Einzelheiten finden Sie auf der Seite „Empfehlungen“.
Nächste Schritte
- Erfahren Sie mehr über DevOps-Sicherheit in Defender for Cloud.
- Konfigurieren Sie die Aufgabe „Microsoft Security DevOps“ in Azure Pipelines.
- Behandeln Sie Probleme mit Ihrem Azure DevOps-Connector.