Démarrage rapide : Connecter votre environnement Azure DevOps à Microsoft Defender pour le cloud
Ce guide de démarrage rapide vous montre comment connecter vos organisations Azure DevOps dans la page Paramètres de l’environnement dans Microsoft Defender pour Cloud. Cette page offre une expérience d’intégration simple pour découvrir automatiquement vos dépôts Azure DevOps.
En connectant vos organisations Azure DevOps à Defender pour le cloud, vous étendez les fonctionnalités de sécurité de Defender pour le cloud à vos ressources Azure DevOps. Voici quelques fonctionnalités :
Fonctionnalités de base de CSPM (Gestion de la posture de sécurité cloud) : Vous pouvez évaluer votre posture de sécurité Azure DevOps via des recommandations de sécurité spécifiques à Azure DevOps. Vous pouvez également obtenir des informations sur toutes les ressources de recommandations pour DevOps.
Fonctionnalités de Defender CSPM : les clients de Defender CSPM reçoivent des chemins d’attaque contextualisés du code au cloud, des évaluations des risques et des insights pour identifier les faiblesses les plus critiques que les attaquants peuvent utiliser pour pénétrer dans leur environnement. La connexion de vos dépôts Azure DevOps vous permet de contextualiser les découvertes en matière de sécurité DevOps avec vos charges de travail cloud, et d’identifier l’origine et le développeur pour apporter une correction en temps opportun. Pour plus d’informations, découvrez comment identifier et analyser les risques dans votre environnement.
Les appels d’API effectués par Defender pour le cloud comptent par rapport à la limite de consommation globale Azure DevOps. Pour plus d’informations, consultez les questions courantes sur la sécurité DevOps dans Microsoft Defender pour le cloud.
Prérequis
Pour effectuer ce démarrage rapide, les éléments suivants sont requis :
- Un compte Azure avec Defender pour le cloud intégré. Si vous n’avez pas encore de compte Azure, créez-en un gratuitement.
Disponibilité
| Aspect | Détails |
|---|---|
| État de sortie : | Disponibilité générale. |
| Prix : | Pour plus d’informations sur la tarification, consultez la page des tarifs de Defender pour le cloud. |
| Autorisations nécessaires : | Administrateur de compte disposant des autorisations requises pour se connecter au portail Azure. Contributeur pour créer un connecteur sur l'abonnement Azure. Propriétaire/Administrateur de collection de projets sur l’organisation Azure DevOps. Niveau d’accès De base ou De base + Test Plans sur l’organisation Azure DevOps. Vérifiez que vous disposez des autorisations d’administrateur de collection de projets et du niveau d’accès de base pour toutes les organisations Azure DevOps que vous souhaitez intégrer. Le niveau d’accès de partie prenante n’est pas suffisant. Accès aux applications de tiers via OAuth, qui doit être configuré sur On pour l'organisation Azure DevOps. En savoir plus sur OAuth et comment l’activer dans vos organisations. |
| Régions et disponibilités : | Reportez-vous à la section Support et prérequis pour connaître la prise en charge et la disponibilité des fonctionnalités par région. |
| Clouds : |  Commercial  Nationaux (Azure Government, Microsoft Azure géré par 21Vianet) |
Remarque
Le rôle Lecteur de sécurité peut être appliqué sur l’étendue du groupe de ressources ou du connecteur Azure DevOps, pour éviter de devoir définir des autorisations avec privilèges élevés au niveau d’un abonnement pour l'accès en lecture aux évaluations de la posture de sécurité de DevOps.
Connecter votre organisation Azure DevOps
Remarque
Après avoir connecté Azure DevOps à Microsoft Defender pour le cloud, l’extension de mappage des conteneurs Microsoft Defender pour DevOps est automatiquement partagée et installée sur toutes les organisations Azure DevOps connectées. Cette extension permet à Microsoft Defender pour le cloud d’extraire des métadonnées à partir de pipelines, telles que l’ID de synthèse et le nom d’un conteneur. Ces métadonnées sont utilisées pour connecter des entités DevOps à leurs ressources cloud associées. Découvrez-en davantage sur le mappage de conteneurs.
Pour connecter votre organisation Azure DevOps à Defender pour le cloud à l’aide d’un connecteur natif :
Connectez-vous au portail Azure.
Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.
Sélectionnez Ajouter un environnement.
Sélectionner Azure DevOps.
Entrez un nom, un abonnement, un groupe de ressources et une région.
L’abonnement est l’emplacement où Microsoft Defender pour le cloud crée et stocke la connexion Azure DevOps.
Sélectionnez Suivant : Configurer l’accès.
Sélectionnez Autoriser. Vérifiez que vous autorisez le locataire Azure approprié à l’aide du menu déroulant de Azure DevOps et en vérifiant que vous êtes dans le locataire Azure correct dans Defender pour Cloud.
Dans la boîte de dialogue contextuelle, lisez la liste des demandes d’autorisation, puis sélectionnez Accepter.
Pour les organisations, sélectionnez une des options suivantes :
- Sélectionnez toutes les organisations existantes pour découvrir automatiquement tous les projets et référentiels dans les organisations dans lesquelles vous êtes actuellement administrateur de collection de projets.
- Sélectionnez toutes les organisations existantes et futures pour découvrir automatiquement tous les projets et référentiels dans toutes les organisations actuelles et futures dans lesquelles vous êtes administrateur de collection de projets.
Remarque
L’accès aux applications de tiers via OAuth être configuré sur
Onpour chaque organisation Azure DevOps. En savoir plus sur OAuth et comment l’activer dans vos organisations.Étant donné que les référentiels Azure DevOps sont intégrés sans coût supplémentaire, la découverte automatique est appliquée au sein de l’organisation pour garantir que Defender pour Cloud peut évaluer de manière complète la posture de sécurité et répondre aux menaces de sécurité dans l’ensemble de votre écosystème DevOps. Les organisations peuvent ensuite être ajoutées et supprimées manuellement via Microsoft Defender pour le cloud>Paramètres d’environnement.
Sélectionnez Suivant : Vérifier et générer.
Vérifiez les informations, puis sélectionnez Créer.
Remarque
Pour garantir une fonctionnalité appropriée des fonctionnalités avancées de posture DevOps dans Defender pour cloud, une seule instance d’une organisation Azure DevOps peut être intégrée au locataire Azure dans lequel vous créez un connecteur.
Une fois l’intégration réussie, des ressources DevOps (par exemple, les référentiels, les builds) sont présentes dans l’inventaire et les pages de sécurité DevOps. L’affichage des ressources peut prendre jusqu’à 8 heures. Les recommandations d’analyse de sécurité peuvent nécessiter une étape supplémentaire pour la configuration de vos pipelines. Les intervalles d’actualisation des résultats de sécurité varient en fonction des recommandations et des détails sont disponibles dans la page Recommandations.
Étapes suivantes
- En savoir plus sur la Sécurité DevOps dans Defender pour le cloud.
- Configurer la tâche Microsoft Security DevOps dans vos pipelines Azure.
- Résoudre les problèmes liés à votre connecteur Azure DevOps