次の方法で共有

Defender for Cloud CLI の概要

Defender for Cloud CLI は、CI/CD パイプラインおよび開発者ターミナルでセキュリティ スキャンを調整する開発者ファーストのコマンド ライン ツールです。 ポスチャー管理、コード対ランタイムのコンテキスト、優先順位付け、追跡のために、結果が Microsoft Defender for Cloud にアップロードされます。 最小限のセットアップ、使いやすいコマンドラインオプション、およびチームがフローを中断することなく問題を迅速に解決するのに役立つ実用的なガイダンスを使用して、安全な配信を高速化します。

Defender for Cloud CLI の機能

  • 任意の場所でセキュリティ スキャンを実行します。 ラップトップまたは任意の CI/CD パイプライン システム (GitHub Actions、Azure DevOps、Jenkins、Bitbucket など) からスキャンを開始できます。 このツールでは、最小限の構成 (1 つの実行可能ファイル、適切な既定値、および合理化された認証) が必要です。

  • スキャナーを 1 つのツールで統合する: パイプラインのゲーティングと自動化を最適化する一貫した出力コードと終了コードを使用して、複数のセキュリティ エンジン (コンテナー イメージ分析など) を調整します。

  • Defender for Cloud に結果をアップロードする: 結果は、セキュリティ チームがコードからランタイムへの可視性、攻撃パス コンテキスト、および最初に重要なものをターゲットとする標準的なレコメンデーション コンテンツを取得する単一の場所に配置されます。

  • 開発者エクスペリエンス用に構築: 開発者の動作 (パイプライン、ターミナル、プル要求) に合わせた明確なヘルプ、簡潔なコンソール出力、修復ガイダンスを提供します。

ワークフローにどのように適合するか

  1. CI/CD パイプラインまたはローカルにインストールして認証します。
  2. 作業中の画像をスキャンします。
  3. コンソールで結果を確認し、必要に応じてエクスポートし、Defender for Cloud にアップロードします。

Authentication

Defender for Cloud CLI では、エンタープライズ セキュリティ プラクティスに合わせて 2 つの認証方法がサポートされています。 最初に推奨される方法はコネクタ ベースの認証であり、現在、Azure DevOps と GitHub で使用できます。 これらのソース管理マネージャーと Defender for Cloud の間にコネクタを確立することで、認証が自動的に処理されるため、パイプラインにトークンを追加する必要がなくなります。 2 つ目の方法はトークン ベースの認証です。セキュリティ管理者は Microsoft Defender for Cloud ポータルでトークンを作成し、CI/CD パイプラインまたはローカルターミナルで環境変数として構成します。 このアプローチでは、ビルド システム間で柔軟性が提供され、サブスクリプション別の対象スコープが可能になります。 詳細な手順と例については、「 認証」を参照してください。

CI/CD 統合

Defender for Cloud CLI はプラットフォームに依存せず、ネイティブ コネクタまたは認証トークンを使用する場合に機能します。 Teams では、段階的に導入し、既定値で YAML を最適化し、安定した一貫性のある出口コードに依存してチェックを行うことができます。 サンプルとマーケットプレース エントリ (Azure DevOps タスク) は、オンボードを高速化するための標準ロールアウトの一部です。 詳細な手順と例については、 CI/CD 統合を参照してください。

コマンドリファレンス設計

Defender for Cloud CLI 構文は、単純な参照 name - command - parameter - parameter value パターンに従います。 たとえば、コンテナーをスキャンする方法を次に示します。

defender scan image myregistry.azurecr.io/app:build-123

詳細なリファレンスについては、「 構文」を参照してください。

結果と修復

  • 問題と修復のための次の手順を含む読み取り可能なコンソール出力を提供します。
  • CI/CD パイプラインから呼び出されると、結果が Defender for Cloud にアップロードされます。この結果は、ランタイム コンテキスト (インターネットへの公開や影響を受けるワークロードなど) を使用して資産インベントリ、推奨事項、攻撃パスに表示されます。

結果を確認するには、「 結果の確認」を参照してください。

コードからランタイムへの可視性

結果がアップロードされると、Defender for Cloud はリポジトリ、パイプライン、イメージ、ランタイム リソースの関係をモデル化し、セキュリティ チームが適切な所有者をターゲットにし、爆発半径を理解し、修復をリスクに合わせることができるようにします。 詳細については、「 コンテナー イメージマッピング」を参照してください。

MSDO CLI からの移行

従来の Microsoft Security DevOps (MSDO) CLI を使用している場合は、Defender for Cloud CLI に移行して以下を取得することを検討してください。

  • Microsoft Container Security Scanner (MDVM に基づく) コンテナー スキャン (パイプライン内の Trivy イメージ スキャンを置き換えます)。

  • ユーザー開発者エクスペリエンスの向上 (コマンド ライン オプションを使用してローカルおよび CI で実行)。

  • クラウド CLI 用ディフェンダーによって管理される新しいスキャナーのための将来性のある道筋。 MSDO CLI はメンテナンス サポートに残ります。

次のステップ

  • Last updated on