Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'interfaccia della riga di comando di Defender for Cloud è uno strumento da riga di comando per sviluppatori che orchestra le analisi di sicurezza nelle pipeline CI/CD e nei terminali di sviluppo. Carica i risultati in Microsoft Defender per il cloud per la gestione del comportamento, il contesto da codice a runtime, la definizione delle priorità e il rilevamento. Accelera la distribuzione sicura con una configurazione minima, opzioni della riga di comando facili da usare e indicazioni utili che consentono ai team di risolvere rapidamente i problemi senza interrompere il flusso.
Funzionalità del CLI di Defender for Cloud
Eseguire analisi di sicurezza ovunque: È possibile avviare analisi dal portatile o da qualsiasi sistema di pipeline CI/CD (ad esempio GitHub Actions, Azure DevOps, Jenkins, Bitbucket e altro ancora). Lo strumento richiede una configurazione minima, ovvero un singolo eseguibile, impostazioni predefinite sensibili e autenticazione semplificata.
Unificare gli scanner con uno strumento: Orchestrare più motori di sicurezza (ad esempio, analisi delle immagini dei contenitori e altro quando disponibili) con output coerenti e codici di uscita che ottimizzano il controllo delle pipeline e l'automazione.
Caricare i risultati in Defender for Cloud: I risultati si trovano in un'unica posizione in cui i team di sicurezza ottengono visibilità da codice a runtime, contesto del percorso di attacco e contenuto di raccomandazione standard per assegnare ciò che conta per primo.
Progettato per l'esperienza degli sviluppatori: Fornisce assistenza chiara, output conciso della console e indicazioni di risoluzione allineate al funzionamento degli sviluppatori (pipeline, terminali e richieste pull).
Come si inserisce nel flusso di lavoro
- È possibile installare ed eseguire l'autenticazione nella pipeline CI/CD o in locale.
- Si analizza l'immagine su cui si sta lavorando.
- Esaminare i risultati nella console, esportare, se necessario, e caricare in Defender for Cloud.
Authentication
L'interfaccia della riga di comando di Defender for Cloud supporta due metodi di autenticazione per allinearsi alle procedure di sicurezza aziendali. Il primo metodo preferito è l'autenticazione basata su connettore, attualmente disponibile per Azure DevOps e GitHub. Stabilendo un connettore tra questi gestori del controllo del codice sorgente e Defender for Cloud, l'autenticazione viene gestita automaticamente, eliminando la necessità di aggiungere token alle pipeline. Il secondo metodo è l'autenticazione basata su token, in cui gli amministratori della sicurezza creano token nel portale di Microsoft Defender for Cloud e li configurano come variabili di ambiente nelle pipeline CI/CD o nei terminali locali. Questo approccio offre flessibilità nei sistemi di compilazione e consente uno scoping mirato in base alla sottoscrizione. Per istruzioni dettagliate ed esempi, vedere Autenticazione.
Integrazione CI/CD
L'interfaccia della riga di comando di Defender for Cloud è indipendente dalla piattaforma e funziona se si usa un connettore nativo o token di autenticazione. I team possono adottarlo progressivamente, ottimizzare YAML con impostazioni predefinite e basarsi su codici di uscita stabili e coerenti per collegare i controlli. Esempi e voci del marketplace (attività Azure DevOps) fanno parte dell'implementazione standard per accelerare l'onboarding. Per istruzioni dettagliate ed esempi, vedere Integrazione CI/CD.
Progettazione dei riferimenti ai comandi
La sintassi dell'interfaccia della riga di comando di Defender for Cloud segue un modello di riferimento name - command - parameter - parameter valuesemplice. Ad esempio, ecco come analizzare un contenitore:
defender scan image myregistry.azurecr.io/app:build-123
Per informazioni di riferimento dettagliate, vedere Sintassi.
Risultati e correzione
- Fornisce l'output leggibile della console con eventuali problemi e i passaggi successivi per la risoluzione.
- Quando viene richiamato dalle pipeline CI/CD, carica i risultati in Defender for Cloud, dove i risultati vengono visualizzati negli inventari degli asset, nelle raccomandazioni e nei percorsi di attacco con il contesto di runtime,ad esempio l'esposizione a Internet e i carichi di lavoro interessati.
Per esaminare i risultati, vedere Revisione dei risultati.
Visibilità dal codice al runtime
Quando vengono caricati i risultati, Defender per il cloud modella le relazioni tra repository di modelli, pipeline, immagini e risorse runtime, affinché i team della sicurezza possano individuare i corretti proprietari, comprendere il raggio di attacco e allineare le correzioni con il rischio. Per altri dettagli, vedere Mapping delle immagini del contenitore.
Migrazione dalla CLI MSDO
Se si usa l'interfaccia della riga di comando legacy di Microsoft Security DevOps (MSDO), è consigliabile passare all'interfaccia della riga di comando di Defender for Cloud per ottenere:
L'analisi dei contenitori supportata dal programma di analisi per la sicurezza contenitori di Microsoft Container Security Scanner (MDVM) (sostituzione dell'analisi di immagini Trivy nelle pipeline).
Esperienza di sviluppo utente migliorata (eseguita localmente e in CI con opzioni della riga di comando).
Un percorso a prova di futuro poiché i nuovi scanner vengono orchestrati dal CLI di Defender for Cloud. L'interfaccia della riga di comando MSDO è in fase di supporto di manutenzione.