클라우드용 Defender 앱이 GitHub Enterprise 환경을 보호하는 방법
GitHub Enterprise Cloud는 조직에서 코드를 저장 및 관리하고 코드 변경 내용을 추적하고 제어할 수 있도록 도와주는 서비스입니다. 클라우드에서 코드 리포지토리를 빌드하고 크기를 조정하는 이점과 함께 조직의 가장 중요한 자산은 위협에 노출될 수 있습니다. 노출된 자산에는 잠재적으로 중요한 정보가 포함된 리포지토리, 협업 및 파트너 관계 세부 정보 등이 포함됩니다. 이 데이터의 노출을 방지하려면 악의적인 행위자 또는 보안에 인식하지 못하는 내부자가 중요한 정보를 반출하지 못하도록 지속적인 모니터링이 필요합니다.
GitHub Enterprise Cloud를 클라우드용 Defender 앱에 연결하면 사용자의 활동에 대한 인사이트를 향상시키고 비정상적인 동작에 대한 위협 탐지를 제공합니다.
이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SSPM(SaaS 보안 상태 관리) 기능에 액세스합니다. 자세히 알아보기.
주요 위협
- 손상된 계정 및 내부자 위협
- 데이터 유출
- 보안 인식 부족
- 관리되지 않는 사용자 고유의 디바이스 가져오기(BYOD)
클라우드용 Defender 앱이 환경을 보호하는 데 도움이 되는 방법
SaaS 보안 상태 관리
Microsoft Secure Score에서 GitHub에 대한 보안 상태 권장 사항을 보려면 소유자 및 엔터프라이즈 권한이 있는 커넥터 탭을 통해 API 커넥터를 만듭니다. 보안 점수에서 권장 작업을 선택하고 Product = GitHub로 필터링합니다.
예를 들어 GitHub에 대한 권장 사항은 다음과 같습니다.
- MFA(다단계 인증) 사용
- SSO(Single Sign-On) 사용
- '구성원이 이 조직의 리포지토리 visibilities를 변경할 수 있도록 허용' 사용 안 함
- '리포지토리에 대한 관리자 권한이 있는 멤버가 리포지토리를 삭제하거나 전송할 수 있습니다.' 사용 안 함
커넥터가 이미 있고 GitHub 권장 사항이 아직 표시되지 않는 경우 API 커넥터의 연결을 끊은 다음 소유자 및 엔터프라이즈 권한으로 다시 연결하여 연결을 새로 고칩니다.
자세한 내용은 다음을 참조하세요.
실시간으로 GitHub 보호
외부 사용자 보안 및 공동 작업에 대한 모범 사례를 검토합니다.
GitHub Enterprise Cloud를 클라우드용 Microsoft Defender 앱에 연결
이 섹션에서는 App Connector API를 사용하여 기존 GitHub Enterprise Cloud 조직에 클라우드용 Microsoft Defender 앱을 연결하기 위한 지침을 제공합니다. 이 연결을 통해 조직의 GitHub Enterprise Cloud 사용을 파악하고 제어할 수 있습니다. 클라우드용 Defender 앱이 GitHub Enterprise Cloud를 보호하는 방법에 대한 자세한 내용은 GitHub Enterprise 보호를 참조하세요.
이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SSPM(SaaS 보안 상태 관리) 기능에 액세스합니다. 자세히 알아보기.
필수 조건
- 조직에 GitHub Enterprise Cloud 라이선스가 있어야 합니다.
- 클라우드용 Defender 앱에 연결하는 데 사용되는 GitHub 계정에는 조직에 대한 소유자 권한이 있어야 합니다.
- SSPM 기능의 경우 제공된 계정은 엔터프라이즈 계정 소유자여야 합니다.
- 조직의 소유자를 확인하려면 조직의 페이지로 이동하여 사용자를 선택한 다음 소유자별로 필터링합니다.
GitHub 도메인 확인
도메인 확인은 선택 사항입니다. 그러나 클라우드용 Defender 앱이 GitHub 조직 구성원의 도메인 전자 메일을 해당 Azure Active Directory 사용자와 일치시킬 수 있도록 도메인을 확인하는 것이 좋습니다.
이러한 단계는 GitHub Enterprise Cloud 구성 단계와 독립적으로 완료할 수 있으며 도메인을 이미 확인한 경우 건너뛸 수 있습니다.
조직을 회사 서비스 약관으로 업그레이드합니다.
조직의 도메인을 확인 합니다.
참고 항목
클라우드용 Defender 앱 설정에 나열된 관리되는 각 도메인을 확인해야 합니다. 관리되는 도메인을 보려면 Microsoft Defender 포털로 이동하여 설정을 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 시스템 아래에서 조직 세부 정보를 선택한 다음 관리되는 도메인 섹션으로 이동합니다.
GitHub Enterprise Cloud 구성
조직의 로그인 이름을 찾습니다. GitHub에서 조직의 페이지로 이동하고 URL에서 조직 로그인 이름을 기록해 두면 나중에 필요합니다.
참고 항목
페이지에는 다음과 같은
https://github.com/<your-organization>
URL이 있습니다. 예를 들어 조직의 페이지인https://github.com/sample-organization
경우 조직의 로그인 이름은 샘플 조직입니다.클라우드용 Defender 앱용 OAuth 앱 만들어 GitHub 조직에 연결합니다. 연결된 각 추가 조직에 대해 이 단계를 반복합니다.
참고 항목
미리 보기 기능 및 앱 거버넌스가 켜져 있는 경우 OAuth 앱 페이지 대신 앱 거버넌스 페이지를 사용하여 이 절차를 수행합니다.
설정>개발자 설정으로 이동하고, OAuth 앱 선택한 다음, 애플리케이션 등록을 선택합니다. 또는 기존 OAuth 앱이 있는 경우 새 OAuth 앱 선택합니다.
새 OAuth 앱 세부 정보 등록을 입력한 다음, 애플리케이션 등록을 선택합니다.
- 애플리케이션 이름 상자에 앱의 이름을 입력합니다.
- 홈페이지 URL 상자에 앱 홈페이지의 URL을 입력합니다.
- 권한 부여 콜백 URL 상자에 다음 값을
https://portal.cloudappsecurity.com/api/oauth/connect
입력합니다.
참고 항목
- 미국 정부 GCC 고객의 경우 다음 값을 입력합니다.
https://portal.cloudappsecuritygov.com/api/oauth/connect
- 미국 정부 GCC High 고객의 경우 다음 값을 입력합니다.
https://portal.cloudappsecurity.us/api/oauth/connect
참고 항목
- 조직 소유의 앱은 조직의 앱에 액세스할 수 있습니다. 자세한 내용은 OAuth 앱 액세스 제한 정보를 참조하세요.
설정>OAuth 앱 찾아보고, 방금 만든 OAuth 앱 선택하고, 해당 클라이언트 ID 및 클라이언트 암호를 기록해 둡니다.
클라우드용 Defender 앱 구성
Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다.
앱 커넥터 페이지에서 +앱 연결, GitHub를 선택합니다.
다음 창에서 커넥터에 설명이 포함된 이름을 지정하고 다음을 선택합니다.
세부 정보 입력 창에서 이전에 기록한 클라이언트 ID, 클라이언트 암호 및 조직 로그인 이름을 입력합니다.
엔터프라이즈 이름이라고도 하는 Enterprise 슬러그의 경우 SSPM 기능을 지원하는 데 필요합니다. Enterprise 슬러그를 찾으려면 다음을 수행합니다.
- GitHub 프로필 사진 ->엔터프라이즈를 선택합니다.
- 엔터프라이즈 계정 선택하고 클라우드용 Microsoft Defender 앱에 연결할 계정을 선택합니다.
- URL이 엔터프라이즈 슬러그인지 확인합니다. 예를 들어 이 예제
https://github.com/enterprises/testEnterprise
에서 testEnterprise 는 엔터프라이즈 슬러그입니다.
다음을 선택합니다.
GitHub 연결을 선택합니다.
GitHub 로그인 페이지가 열립니다. 필요한 경우 클라우드용 Defender 앱이 팀의 GitHub Enterprise Cloud 인스턴스에 액세스할 수 있도록 GitHub 관리자 자격 증명을 입력합니다.
조직 액세스를 요청하고 클라우드용 Defender 앱에 GitHub 조직에 대한 액세스 권한을 부여하도록 앱에 권한을 부여합니다. 클라우드용 Defender 앱에는 다음 OAuth 범위가 필요합니다.
- admin:org - 조직의 감사 로그를 동기화하는 데 필요
- read:user 및 user:email - 조직의 구성원을 동기화하는 데 필요
- repo:status - 감사 로그에서 리포지토리 관련 이벤트를 동기화하는 데 필요
- admin:enterprise - SSPM 기능에 필요합니다. 제공된 사용자는 엔터프라이즈 계정 소유자여야 합니다.
OAuth 범위에 대한 자세한 내용은 OAuth 앱 범위 이해를 참조하세요.
클라우드용 Defender 앱 콘솔로 돌아가면 GitHub가 성공적으로 연결되었다는 메시지가 표시됩니다.
GitHub 조직 소유자 사용하여 GitHub 타사 액세스 설정에서 만든 OAuth 앱에 대한 조직 액세스 권한을 부여합니다. 자세한 내용은 GitHub 설명서를 참조 하세요.
조직 소유자 GitHub를 클라우드용 Defender 앱에 연결한 후에만 OAuth 앱에서 요청을 찾습니다.
Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다. 연결된 App Connector의 상태가 연결되었는지 확인합니다.
GitHub Enterprise Cloud를 연결한 후 연결 전 7일 동안 이벤트를 받게 됩니다.
앱 연결에 문제가 있는 경우 앱 커넥터 문제 해결을 참조 하세요.
다음 단계
문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.