Inicio rápido: Conectar el entorno de Azure DevOps a Microsoft Defender for Cloud
En este inicio rápido se muestra cómo puede conectar las organizaciones de Azure DevOps en la página Configuración del entorno de Microsoft Defender for Cloud. En esta página se proporciona una experiencia de incorporación sencilla para detectar automáticamente los repositorios de Azure DevOps.
Al conectar las organizaciones de Azure DevOps a Defender for Cloud, amplía las funcionalidades de seguridad de Defender for Cloud a los recursos de Azure DevOps. Entre ellas se incluyen:
Características de Administración de la posición de seguridad en la nube (CSPM) básica: puede evaluar la posición de seguridad de Azure DevOps a través de recomendaciones de seguridad específicas de Azure DevOps. Puede ver todas las recomendaciones para recursos de DevOps.
Características de CSPM de Defender: los clientes de CSPM de Defender reciben código para rutas de acceso de ataque contextualizadas en la nube, evaluaciones de riesgos e información para identificar las debilidades más críticas que los atacantes pueden usar para vulnerar su entorno. La conexión de los repositorios de Azure DevOps le permite contextualizar los resultados de seguridad de DevOps con las cargas de trabajo en la nube e identificar el origen y el desarrollador para una corrección oportuna. Para obtener más información, aprenda a identificar y analizar riesgos en todo el entorno.
Las llamadas API realizadas por Defender for Cloud cuentan con el límite de consumo global de Azure DevOps. Para obtener más información, consulte las preguntas frecuentes sobre la seguridad de DevOps en Defender for Cloud.
Requisitos previos
Para completar este inicio rápido necesita instalar:
- Una cuenta de Azure con Defender for Cloud incorporado. Si aún no tiene una cuenta de Azure, cree una de forma gratuita.
Disponibilidad
| Aspecto | Detalles |
|---|---|
| Estado de la versión: | Disponibilidad general. |
| Precios: | Para conocer los precios, consulte la página de precios de Defender for Cloud. |
| Permisos necesarios: | Administrador de cuentas con permisos para iniciar sesión en Azure Portal. Colaborador para crear un conector en la suscripción de Azure. Administrador de colecciones de proyectos en la organización de Azure DevOps. Nivel de acceso básico o Básico + Test Plans en la organización de Azure DevOps. Asegúrese de que tiene tanto permisos de administrador de colecciones de proyectos como nivel de acceso básico para todas las organizaciones de Azure DevOps que desea incorporar. El nivel de acceso de las partes interesadas no es suficiente. Acceso a aplicaciones de terceros a través de OAuth, que debe establecerse en On en la organización de Azure DevOps. Obtenga más información sobre OAuth y cómo habilitarlo en las organizaciones. |
| Regiones y disponibilidad: | Consulte la sección Compatibilidad y requisitos previos para obtener compatibilidad con regiones y disponibilidad de características. |
| Nubes: |  Comercial  Nacional (Azure Government, Microsoft Azure operado por 21Vianet) |
Nota:
El rol Lector de seguridad se puede aplicar en el ámbito del conector de Grupo de recursos o Azure DevOps para evitar establecer permisos con privilegios elevados en un nivel de suscripción para el acceso de lectura de las evaluaciones de la posición de seguridad de DevOps.
Conexión de la organización de Azure DevOps
Nota:
Después de conectar Azure DevOps a Defender for Cloud, la extensión de asignación de contenedores de Microsoft Defender for DevOps se compartirá e instalará automáticamente en todas las organizaciones de Azure DevOps conectadas. Esta extensión permite que Defender for Cloud extraiga metadatos de canalizaciones, como el identificador de resumen y el nombre de un contenedor. Estos metadatos se usan para conectar entidades de DevOps con sus recursos en la nube relacionados. Más información sobre la asignación de contenedores.
Para conectar la organización de Azure DevOps a Defender for Cloud mediante un conector nativo:
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender for Cloud>Configuración del entorno.
Seleccione Agregar entorno.
Seleccione Azure DevOps.
Escriba un nombre, una suscripción, un grupo de recursos y una región.
La suscripción es la ubicación en la que Microsoft Defender for Cloud crea y almacena la conexión de Azure DevOps.
Seleccione Siguiente: Configurar acceso.
Seleccione Autorizar. Asegúrese de autorizar el inquilino de Azure correcto mediante el menú desplegable de Azure DevOps y compruebe que está en el inquilino de Azure correcto en Defender for Cloud.
En el diálogo emergente, lea la lista de solicitudes de permisos y, a continuación, seleccione Aceptar.
En Organizaciones, seleccione una de las siguientes opciones:
- Seleccione todas las organizaciones existentes para detectar automáticamente todos los proyectos y repositorios de las organizaciones en las que actualmente es administrador de colección de proyectos.
- Seleccione todas las organizaciones existentes y futuras para detectar automáticamente todos los proyectos y repositorios en todas las organizaciones actuales y futuras en las que es administrador de colección de proyectos.
Nota:
En Acceso a aplicaciones de terceros a través de OAuthse debe seleccionar
Onen cada organización de Azure DevOps. Obtenga más información sobre OAuth y cómo habilitarlo en las organizaciones.Dado que los repositorios de Azure DevOps se incorporan sin costo adicional, la detección automática se aplica en toda la organización para asegurarse de que Defender for Cloud puede evaluar exhaustivamente la posición de seguridad y responder a las amenazas de seguridad en todo el ecosistema de DevOps. Las organizaciones se pueden agregar y quitar manualmente a través de Microsoft Defender for Cloud>Configuración del entorno.
Seleccione Next: Review and generate (Siguiente: Revisar y crear).
Examine la información y, a continuación, seleccione Crear.
Nota:
Para garantizar la funcionalidad adecuada de las funcionalidades avanzadas de posición de DevOps en Defender for Cloud, solo se puede incorporar una instancia de una organización de Azure DevOps al inquilino de Azure en el que está creando un conector.
Tras su correcta incorporación, los recursos de DevOps (por ejemplo, repositorios o compilaciones) estarán presentes en las páginas de seguridad de Inventario y DevOps. Los recursos pueden tardar hasta 8 horas en aparecer. Las recomendaciones del examen de seguridad pueden requerir un paso adicional para configurar las canalizaciones. Los intervalos de actualización de los resultados de seguridad varían en función de la recomendación y los detalles se pueden encontrar en la página Recomendaciones.
Pasos siguientes
- Obtenga más información sobre Seguridad de DevOps en Defender for Cloud.
- Configurar la tarea de Microsoft Security DevOps en Azure Pipelines.
- Solucionar problemas del conector de Azure DevOps