Comment Defender for Cloud Apps contribue à la protection de votre environnement GitHub Enterprise

GitHub Enterprise Cloud est un service qui permet aux organisations de stocker et de gérer leur code, ainsi que de suivre et de contrôler les modifications apportées à leur code. Outre les avantages de la création et de la mise à l’échelle de référentiels de code dans le cloud, les ressources les plus critiques de votre organisation peuvent être exposées à des menaces. Les ressources exposées incluent des référentiels avec des informations potentiellement sensibles, des informations de collaboration et des détails de partenariat, etc. La prévention de l’exposition de ces données nécessite une surveillance continue pour empêcher les acteurs malveillants ou les insiders sans sécurité d’exfiltrer les informations sensibles.

La connexion de GitHub Enterprise Cloud à Defender for Cloud Apps vous donne des insights améliorés sur les activités de vos utilisateurs et fournit une détection des menaces en cas de comportement anormal.

Utilisez ce connecteur d’applications pour accéder aux fonctionnalités SaaS Security Posture Management (SSPM), par le biais de contrôles de sécurité reflétés dans le niveau de sécurité Microsoft. Plus d’informations

Menaces principales

• Comptes compromis et menaces internes
• Fuite de données
• Sensibilisation insuffisante à la sécurité
• Appareil BYOD (apportez votre propre appareil) non géré

Comment Defender for Cloud Apps contribue à la protection de votre environnement

• Détecter les menaces du cloud, les comptes compromis et les insiders malveillants
• Utiliser la piste d’audit des activités pour les examens forensiques

Gestion de la posture de sécurité SaaS

Pour consulter les recommandations de sécurité pour GitHub dans Microsoft Secure Score, créez un connecteur API via l'onglet Connecteurs, avec les autorisations Propriétaire et Entreprise. Dans Secure Score, sélectionnez Actions recommandées et filtrez par Produit = GitHub.

Voici quelques-unes des recommandations pour GitHub :

• Activez l'authentification multifacteur (MFA)
• Activez l'authentification unique (SSO)
• Désactivez l'option « Autoriser les membres à modifier la visibilité du référentiel pour cette organisation ».
• Désactivez l'option « Les membres ayant des droits d'administrateur sur les référentiels peuvent supprimer ou transférer des référentiels ».

Si un connecteur existe déjà et que vous ne voyez pas encore de recommandations GitHub, rafraîchissez la connexion en déconnectant le connecteur API, puis en le reconnectant avec les autorisations Propriétaire et Entreprise.

Pour plus d’informations, consultez l’article suivant :

• Gestion de la posture de sécurité pour les applications SaaS
• Score sécurisé Microsoft

Protéger GitHub en temps réel

Passez en revue nos meilleures pratiques pour sécuriser et collaborer avec des utilisateurs externes.

Connecter GitHub Enterprise Cloud à Microsoft Defender for Cloud Apps

Cette section fournit des instructions pour connecter Microsoft Defender pour Cloud Apps à votre organisation GitHub Enterprise Cloud existante à l'aide des API App Connector. Cette connexion vous permet de bénéficier de plus de visibilité et de contrôle sur l’utilisation de GitHub Enterprise Cloud de votre organisation. Pour plus d’informations sur la façon dont Defender for Cloud Apps protège GitHub Enterprise Cloud, consultez Protéger GitHub Enterprise.

Utilisez ce connecteur d’applications pour accéder aux fonctionnalités SaaS Security Posture Management (SSPM), par le biais de contrôles de sécurité reflétés dans le niveau de sécurité Microsoft. Plus d’informations

Prérequis

• Votre organisation doit disposer d’une licence GitHub Enterprise Cloud.
• Le compte GitHub utilisé pour la connexion à Defender for Cloud Apps doit disposer des autorisations Propriétaire pour votre organisation.
• Pour les fonctionnalités SSPM, le compte fourni doit être le propriétaire du compte de société.
• Pour vérifier les propriétaires de votre organisation, accédez à la page de votre organisation, sélectionnez Personnes, puis filtrez par Propriétaire.

Vérifier vos domaines GitHub

La vérification de vos domaines est facultative. Cependant, nous vous recommandons vivement de vérifier vos domaines afin que Defender for Cloud Apps puisse faire correspondre les e-mails de domaine des membres de votre organisation GitHub à leur utilisateur Azure Active Directory correspondant.

Ces étapes peuvent être effectuées indépendamment des étapes Configurer GitHub Enterprise Cloud et peuvent être ignorées si vous avez déjà vérifié vos domaines.

1. Mettez à niveau votre organisation vers les conditions d’utilisation de la société.

2. Vérifiez les domaines de votre organisation.

   Remarque

   Veillez à vérifier chacun des domaines managés répertoriés dans vos paramètres Defender for Cloud Apps. Pour afficher vos domaines managés, accédez au portail Microsoft Defender, puis sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Système, choisissez Détails de l’organisation, puis accédez à la section Domaines managés.

Configurer GitHub Enterprise Cloud

1. Recherchez le nom de connexion de votre organisation. Dans GitHub, accédez à la page de votre organisation et, à partir de l’URL, notez le nom de connexion de votre organisation. Vous en aurez besoin ultérieurement.

   Remarque

   La page aura une URL telle que https://github.com/<your-organization>. Par exemple, si la page de votre organisation est https://github.com/sample-organization, le nom de connexion de l’organisation est sample-organization.

   

2. Créez une Application OAuth pour Defender for Cloud Apps afin de connecter votre organisation GitHub. Répétez cette étape pour chaque organisation connectée supplémentaire.

   Remarque

   Si les fonctionnalités d'évaluation et la gouvernance des applications sont activées, utilisez la page Gouvernance des applications au lieu de la page Applications OAuth pour effectuer cette procédure.

3. Accédez à Paramètres>Paramètres du développeur, sélectionnez Applications OAuth, puis sélectionnez Inscrire une application. Sinon, si vous avez des applications OAuth existantes, sélectionnez Nouvelle application OAuth.

   

4. Renseignez les détails Inscrire une nouvelle application OAuth, puis sélectionnez Inscrire l’application.

   • Dans la zone Nom de l’application, entrez un nom pour l’application.
   • Dans la zone URL de la page d’accueil, saisissez l’URL de la page d’accueil de l’application.
   • Dans la case URL de rappel d’autorisation, saisissez la valeur suivante : https://portal.cloudappsecurity.com/api/oauth/connect.

   Remarque

   • Pour les clients GCC du Gouvernement américain, saisissez la valeur suivante : https://portal.cloudappsecuritygov.com/api/oauth/connect
   • Pour les clients GCC High du gouvernement américain, entrez la valeur suivante : https://portal.cloudappsecurity.us/api/oauth/connect

   

   Remarque

   • Les applications appartenant à une organisation ont accès aux applications de l’organisation. Pour plus d’informations, consultez À propos des restrictions d’accès des applications OAuth.

5. Accédez à Paramètres>Applications OAuth, sélectionnez l’application OAuth que vous venez de créer, puis notez son ID client et sa clé secrète client.

   

Configurer Defender for Cloud Apps

1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications.

2. Dans la page Connecteurs d’applications, sélectionnez +Connecter une application, puis sur GitHub.

3. Dans la fenêtre suivante, donnez au connecteur un nom descriptif, puis sélectionnez Suivant.

4. Dans la fenêtre Saisir les détails, renseignez l’ID client, la clé secrète client et le nom de connexion de l’organisation que vous avez noté précédemment.

   

   Pour le champ de données dynamiques de la société, également appelée nom d’entreprise, il est nécessaire de prendre en charge les fonctionnalités SSPM. Pour trouver le champ de données dynamiques de l’entreprise :

   1. Sélectionnez l’image de profil GitHub ->vos entreprises.
   2. Sélectionnez votre compte d'entreprise et choisissez le compte que vous souhaitez vous connecter à Microsoft Defender for Cloud Apps.
   3. Vérifiez que l’URL est le champ de données dynamiques de l’entreprise. Par exemple, dans cet exemple https://github.com/enterprises/testEnterprise, testEnterprise est le champ de données dynamiques de l’entreprise.

5. Cliquez sur Suivant.

6. Sélectionnez Connecter GitHub.

   La page de connexion à GitHub s’ouvre. Si nécessaire, entrez vos identifiants d’administrateur GitHub pour autoriser Defender for Cloud Apps à accéder à l’instance GitHub Enterprise Cloud de votre équipe.

7. Demandez l’accès de l’organisation et autorisez l’application à accorder à l’accès de votre organisation GitHub à Defender for Cloud Apps. Defender for Cloud Apps nécessite les étendues OAuth suivantes :

   • admin:org : requis pour synchroniser le journal d’audit de votre organisation
   • read:user et user:email - requis pour synchroniser les membres de votre organisation
   • repo:status : requis pour la synchronisation des événements liés au référentiel dans le journal d’audit
   • admin :enterprise : requis pour les fonctionnalités SSPM. Notez que l’utilisateur fourni doit être le propriétaire du compte d'entreprise.

   Pour plus d’informations sur les étendues OAuth, consultez Comprendre des étendues pour les applications OAuth

   

   De retour dans la console Defender for Cloud Apps, vous devez recevoir un message indiquant que GitHub a été correctement connecté.

8. Collaborez avec le propriétaire de votre organisation GitHub pour accorder l'accès de l'organisation à l'application OAuth créée dans les paramètres d'accès des tiers à GitHub. Pour plus d'informations, consultez la documentation GitHub.

   Le propriétaire d'organisation trouvera la requête de l’application OAuth uniquement après la connexion de GitHub à Defender for Cloud Apps.

9. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté.

Après avoir connecté GitHub Enterprise Cloud, vous recevez les événements des 7 jours précédant la connexion.

Si vous rencontrez des problèmes lors de la connexion de l’application, consultez Résolution des problèmes liés aux connecteurs d’applications.

Étapes suivantes

Contrôler les applications cloud avec des stratégies

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.