Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez az útmutató egy tesztkörnyezeti projekt beállítási lépéseit ismerteti, amely segít kiértékelni GitHub Advanced Security (GHAS) és Microsoft Defender for Cloud integrációs folyamatot egy egyszerű használati esettel.
Ez az integráció segít maximalizálni Microsoft natív felhőbeli alkalmazásbiztonságát azáltal, hogy a futásidejű kockázatokat és kontextust az eredeti kóddal korrelálja a gyorsabb AI-alapú szervizelés érdekében.
Az útmutatót követve:
- Állítsa be a GitHub-adattárat a Defender for Cloud-lefedettséghez.
- Hozzon létre egy futásidejű kockázati tényezőt.
- Kód csatolása futtatókörnyezeti erőforrásokhoz.
- Valós használati esetek tesztelése a Defender for Cloudban.
Prerequisites
| Tulajdonság | Részletek |
|---|---|
| Környezetvédelmi követelmények | – GitHub-fiók a Defender for Cloudban létrehozott összekötővel - GHAS-licenc - Defender cloud security posture management (DCSPM) engedélyezve van az előfizetésben - Microsoft Security Copilot (nem kötelező az automatikus szervizeléshez) |
| Szerepkörök és engedélyek | – Biztonsági rendszergazdai engedélyek - Biztonsági rendszergazda a Azure-előfizetésen (a Defender for Cloud eredményeinek megtekintéséhez) - GitHub-szervezet tulajdonosa |
| Felhőkörnyezetek | Csak kereskedelmi felhőkben érhető el (nem Azure Government, Azure által üzemeltetett 21Vianet vagy más szuverén felhők). |
A környezet előkészítése
1. lépés: A GitHub-adattár beállítása és a munkafolyamat futtatása
Az integráció teszteléséhez használja a tesztkörnyezeti példát GitHub adattárat, amely már rendelkezik az összes tartalommal egy sebezhető tárolólemezkép létrehozásához.
Az adattár beállítása előtt győződjön meg arról, hogy:
- Adjon meg egy összekötőt a Defender for Cloud portálon használni kívánt GitHub szervezet számára. Kövesse a GitHub-környezet csatlakoztatása a Microsoft Defender for Cloudhoz című témakörben leírt lépéseket.
- Konfiguráljon ügynök nélküli kódkeresést a GitHub-összekötőhöz. Kövesse az ügynök nélküli kódkeresés (előzetes verzió) konfigurálásához szükséges lépéseket.
- Az integrációhoz használjon privát adattárat.
- Klónozza a következő adattárat a GitHub szervezetnek:
- https://github.com/build25-woodgrove/mdc-customer-playbook Ez az adattár GHAS-szel engedélyezve van, és egy Defender CSPM engedélyezett Azure bérlőhöz van csatlakoztatva.
Az adattárban kövesse az alábbi lépéseket:
- Ugrás a beállításokhoz .
- A bal oldali panelen válassza a Titkos kódok és változók > műveletek lehetőséget. Ezután válassza az Új adattár titkos kódját.
- Adja hozzá a következő titkos kódokat az adattár vagy a szervezet szintjén:
| Változó | Leírás |
|---|---|
| ACR_ENDPOINT | A tárolóregisztrációs adatbázis hitelesítési kiszolgálója. |
| ACR_USERNAME | A tárolóregisztrációs adatbázis felhasználóneve. |
| ACR_PASSWORD | A tárolóregisztrációs adatbázis jelszava. |
Megjegyzés:
Ezekhez a változókhoz bármilyen nevet választhat. Nem kell egy adott mintát követniük.
Ezeket az információkat az Azure Portalon az alábbi lépések végrehajtásával találja meg:
- Válassza ki azt a tárolóregisztrációs adatbázist, amelybe üzembe szeretne helyezni.
- A Beállítások területen válassza az Access-kulcsokat.
- A Hozzáférési kulcsok panel a hitelesítési kiszolgáló, a felhasználónév és a jelszó kulcsait jeleníti meg.
Az adattárban válassza a Műveletek lehetőséget, válassza a Build and Push to ACR munkafolyamatot, majd a Munkafolyamat futtatása lehetőséget.
Ellenőrizze, hogy a rendszerkép üzembe lett-e helyezve a tárolóregisztrációs adatbázisban. A példaadattár esetében a rendszerképnek a mdc-mock-0001 regiszterben kell lennie a mdc-ghas-integration címkével.
Telepítse ugyanazt a képet futó tárolóként a fürtön. Ennek a lépésnek az egyik módja a fürthöz való csatlakozás és a kubectl run parancs használata. Íme egy példa az Azure Kubernetes Service (AKS) szolgáltatásra:
A klaszter-előfizetés konfigurálása:
az account set --subscription $subscriptionID
A fürt hitelesítő adatainak beállítása:
az aks get-credentials --resource-group $resourceGroupName --name $kubernetesClusterName --overwrite-existing
A rendszerkép üzembe helyezése:
kubectl run $containerName --image=$registryName.azurecr.io/mdc-mock-0001:mdc-ghas-integration
2. lépés: A példa kockázati tényező létrehozása (üzleti szempontból kritikus szabály)
A Defender for Cloud a integráció során észlelhető kockázati tényezők közé tartozik az üzleti fontosság. A szervezetek szabályokat hozhatnak létre az erőforrások üzleti szempontból kritikusként való címkézéséhez.
- A Defender for Cloud portálon nyissa meg a Környezeti beállítások>erőforrás-kritikusságát.
- A jobb oldali panelen kattintson a hivatkozásra a Microsoft Defender megnyitásához.
- Válassza az Új besorolás létrehozása lehetőséget.
- Adjon meg egy nevet és egy leírást.
- A lekérdezésszerkesztőben válassza a Felhőerőforrás lehetőséget. Írjon egy lekérdezést, amely az ellenőrzéshez a fürtön üzembe helyezett tároló nevével egyenlő erőforrásnevet állítja be. Ezután válassza a Tovább lehetőséget.
- Ha a Microsoft Defender már észlelte az erőforrást, az Előzetes verziójú eszközök lapon a tároló neve K8s-container vagy K8s-pod típusú objektumtípussal jelenik meg. Még ha a név még nem látható, folytassa a következő lépéssel.
- Válasszon egy kritikussági szintet, majd tekintse át és küldje el a besorolási szabályt.
Megjegyzés:
A Microsoft Defender a tároló észlelése után alkalmazza a kritikussági címkét a tárolóra. A folyamat akár 24 órát is igénybe vehet.
3. lépés: Annak ellenőrzése, hogy a környezet készen áll-e
Az ellenőrzés megerősíti, hogy a környezet megfelelően van konfigurálva a felületi kódhoz a futtatókörnyezeti javaslatokhoz, és végrehajtható eredményeket hoz létre.
Ebben a lépésben Defender ellenőrzi a teljes kódot a futtatókörnyezet láthatósága érdekében.
- Microsoft Defender for Cloud folyamatosan figyeli a forráskódtárakat a biztonsági rések miatt.
- A buildelési összetevőket, például a tárolórendszerképeket a rendszer az üzembe helyezés előtt ellenőrzi a tárolóregisztrációs adatbázisokban.
- A Kubernetes-fürtökön üzembe helyezett futtatási munkaterheléseket biztonsági kockázatok szempontjából ellenőrzik.
- Defender for Cloud korrelálja és nyomon követi az egyes összetevőket a kódtól a buildelésen és üzembe helyezésen át a futtatókörnyezetig és vissza.
Megjegyzés:
Az alábbi eredmények megtekintéséhez akár 24 órát is igénybe vehet az előző lépések alkalmazása.
Tesztelje, hogy GitHub ügynök nélküli vizsgálat felveszi az adattárat.
Nyissa meg a Cloud Security Explorert, és hajtsa végre a lekérdezést. Az érvényesítési lekérdezések ellenőrzik, hogy Defender azonosítani tudják-e a folyamatok és számítási feladatok által előállított összetevőket. Ha a lekérdezések eredményeket adnak vissza, az azt jelzi, hogy a vizsgálat és a korreláció a várt módon működik.
Megjegyzés:
Ha nem ad vissza eredményt, az azt jelezheti, hogy az artefaktumok még nincsenek létrehozva, a vizsgálat nincs beállítva, vagy hiányoznak az engedélyek.
- Ellenőrizze, hogy a Defender for Cloud (az Azure Container Registryben) megvizsgálta-e a tárolórendszerképet, és használta-e egy tároló létrehozásához.
- A lekérdezésben adja meg az adott üzembe helyezés feltételeit.
- Ellenőrizze, hogy fut-e a tároló, és hogy a Defender for Cloud megvizsgálta-e az AKS-fürtöt.
- Ellenőrizze, hogy a kockázati tényezők megfelelően vannak-e konfigurálva a Defender for Cloud oldalán. Keresse meg a tároló nevét a Defender for Cloud készletoldalon, és kritikusként lesz megjelölve.
Megjegyzés:
Ez a lépés csak akkor szükséges, ha a kockázati tényezők még nincsenek konfigurálva a környezetben.
A sikeres érvényesítés biztosítja, hogy a további lépések, például javaslatok, kampányok és GitHub probléma generálása értelmes eredményeket eredményeznek.