Guida introduttiva: Connessione l'ambiente Azure DevOps per Microsoft Defender per il cloud
Questa guida introduttiva illustra come connettere le organizzazioni di Azure DevOps nella pagina Impostazioni dell'ambiente in Microsoft Defender per il cloud. Questa pagina offre un'esperienza di onboarding semplice per l'individuazione automatica dei repository Di Azure DevOps.
Connettendo le organizzazioni di Azure DevOps a Defender per il cloud, si estendono le funzionalità di sicurezza di Defender per il cloud alle risorse di Azure DevOps. Queste funzionalità sono:
Funzionalità di base per la gestione del comportamento di sicurezza cloud (CSPM): è possibile valutare il comportamento di sicurezza di Azure DevOps tramite raccomandazioni di sicurezza specifiche di Azure DevOps. È anche possibile ottenere informazioni su tutte le raccomandazioni per le risorse DevOps .
Funzionalità cspm di Defender: i clienti di Defender CSPM ricevono codice per percorsi di attacco contestualizzati nel cloud, valutazioni dei rischi e informazioni dettagliate per identificare i punti deboli più critici che gli utenti malintenzionati possono usare per violare il proprio ambiente. Connessione i repository Di Azure DevOps consente di contestualizzare i risultati della sicurezza devOps con i carichi di lavoro cloud e identificare l'origine e lo sviluppatore per una correzione tempestiva. Per altre informazioni, vedere Come identificare e analizzare i rischi nell'ambiente in uso.
Chiamate API che Defender per il cloud esegue il conteggio rispetto al limite di consumo globale di Azure DevOps. Per altre informazioni, vedere le domande comuni sulla sicurezza di DevOps in Defender per il cloud.
Prerequisiti
Per completare l'esercitazione introduttiva, sono necessari gli elementi seguenti:
- È stato eseguito l’onboarding di un account Azure con Defender per il cloud. Se non si ha già un account Azure, crearne uno gratuitamente.
Disponibilità
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Disponibilità generale. |
| Prezzi: | Per i prezzi, vedere la pagina dei prezzi Defender per il cloud. |
| Autorizzazioni obbligatorie: | Account Amministrazione istrator con autorizzazioni per accedere al portale di Azure. Collaboratore per creare un connettore nella sottoscrizione di Azure. Raccolta di progetti Amministrazione istrator nell'organizzazione Azure DevOps. Livello di accesso Basic o Basic + Test Plans nell'organizzazione Di Azure DevOps. Assicurarsi di disporre di entrambe le autorizzazioni Amministrazione istrator della raccolta di progetti e del livello di accesso di base per tutte le organizzazioni di Azure DevOps di cui si vuole eseguire l'onboarding. Il livello di accesso degli stakeholder non è sufficiente. Accesso alle applicazioni di terze parti tramite OAuth, che deve essere impostato su On nell'organizzazione Azure DevOps. Altre informazioni su OAuth e su come abilitarla nelle organizzazioni. |
| Aree e disponibilità: | Per informazioni sul supporto e sulla disponibilità delle funzionalità, vedere la sezione Supporto e prerequisiti . |
| Cloud: |  Commerciale  Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet) |
Nota
Il ruolo con autorizzazioni di lettura per la sicurezza può essere applicato nell'ambito del connettore Gruppo di risorse/Azure DevOps per evitare di impostare autorizzazioni con privilegi elevati a livello di sottoscrizione per l'accesso in lettura delle valutazioni del comportamento di sicurezza DevOps.
Connessione'organizzazione di Azure DevOps
Nota
Dopo aver connesso Azure DevOps a Defender per il cloud, l'estensione Mapping contenitori di Microsoft Defender per DevOps verrà condivisa e installata automaticamente in tutte le organizzazioni di Azure DevOps connesse. Questa estensione consente Defender per il cloud di estrarre i metadati dalle pipeline, ad esempio l'ID digest e il nome di un contenitore. Questi metadati vengono usati per connettere le entità DevOps alle risorse cloud correlate. Altre informazioni sul mapping dei contenitori.
Per connettere l'organizzazione di Azure DevOps a Defender per il cloud usando un connettore nativo:
Accedere al portale di Azure.
Passare a Microsoft Defender per il cloud>Impostazioni ambiente.
Selezionare Aggiungi ambiente.
Selezionare Azure DevOps.
Immettere un nome, una sottoscrizione, un gruppo di risorse e un'area.
La sottoscrizione è il percorso in cui Microsoft Defender per il cloud crea e archivia la connessione di Azure DevOps.
Selezionare Avanti: Configurare l'accesso.
Seleziona Autorizza. Assicurarsi di autorizzare il tenant di Azure corretto usando il menu a discesa in Azure DevOps e verificando di essere nel tenant di Azure corretto in Defender per il cloud.
Nella finestra di dialogo popup leggere l'elenco delle richieste di autorizzazione e quindi selezionare Accetta.
Per Organizzazioni selezionare una delle opzioni seguenti:
- Selezionare tutte le organizzazioni esistenti per individuare automaticamente tutti i progetti e i repository nelle organizzazioni in cui si è attualmente una raccolta di progetti Amministrazione istrator.
- Selezionare tutte le organizzazioni esistenti e future per individuare automaticamente tutti i progetti e i repository in tutte le organizzazioni correnti e future in cui si è una raccolta di progetti Amministrazione istrator.
Nota
L'accesso alle applicazioni di terze parti tramite OAuth deve essere impostato su
Onon per ogni organizzazione di Azure DevOps. Altre informazioni su OAuth e su come abilitarla nelle organizzazioni.Poiché i repository Di Azure DevOps vengono distribuiti senza costi aggiuntivi, l'individuazione automatica viene applicata nell'organizzazione per garantire che Defender per il cloud possa valutare in modo completo il comportamento di sicurezza e rispondere alle minacce alla sicurezza nell'intero ecosistema DevOps. Le organizzazioni possono successivamente essere aggiunte e rimosse manualmente tramite le impostazioni di Microsoft Defender per il cloud> Environment.
Selezionare Avanti: Esamina e genera.
Esaminare le informazioni e quindi selezionare Crea.
Nota
Per garantire una funzionalità appropriata delle funzionalità avanzate del comportamento DevOps in Defender per il cloud, è possibile caricare nel tenant di Azure una sola istanza di un'organizzazione Di Azure DevOps in cui si sta creando un connettore.
Al termine dell'onboarding, le risorse DevOps (ad esempio, repository, compilazioni) saranno presenti nelle pagine di sicurezza Inventory e DevOps. La visualizzazione delle risorse può richiedere fino a 8 ore. Le raccomandazioni per l'analisi della sicurezza possono richiedere un passaggio aggiuntivo per configurare le pipeline. Gli intervalli di aggiornamento per i risultati della sicurezza variano in base alle raccomandazioni e i dettagli sono disponibili nella pagina Consigli.
Passaggi successivi
- Altre informazioni sulla sicurezza di DevOps in Defender per il cloud.
- Configurare l'attività Microsoft Security DevOps in Azure Pipelines.
- Risolvere i problemi del connettore Azure DevOps