Delen via

Integratie van GitHub Advanced Security implementeren met Microsoft Defender voor Cloud

Deze handleiding begeleidt u bij het instellen van stappen en andere acties om u te helpen bij het integreren van GitHub Advanced Security (GHAS) en Microsoft Defender for Cloud. Met deze integratie kunt u de cloudeigen toepassingsbeveiliging van Microsoft maximaliseren.

Door deze handleiding te volgen, gaat u als volgt te werk:

  • Stel uw GitHub-opslagplaats in voor Defender for Cloud-dekking.
  • Maak een runtime-risicofactor.
  • Test echte gebruiksscenario's in Defender for Cloud.
  • Koppel code aan cloudresources.
  • Start een beveiligingscampagne op GitHub. Deze campagne maakt gebruik van runtimecontext om prioriteit te geven aan beveiligingswaarschuwingen van GHAS op basis van runtimecontext.
  • Maak GitHub-problemen van Defender voor Cloud om herstel te starten.
  • Sluit de lus tussen technische en beveiligingsteams.

Vereiste voorwaarden

Kenmerk Bijzonderheden
Milieuvereisten - GitHub-account met een connector die is gemaakt in Defender for Cloud
- GHAS-licentie
- Defender Cloud Security Posture Management (CSPM) ingeschakeld voor het abonnement
- Microsoft Security Copilot (optioneel voor geautomatiseerd herstel)
Rollen en machtigingen - Machtigingen voor beveiligingsbeheerders
- Beveiligingslezer voor het Azure-abonnement (om bevindingen weer te geven in Defender for Cloud)
- Eigenaar van GitHub-organisatie
Cloudomgevingen - Alleen beschikbaar in commerciële clouds (niet in Azure Government, Azure beheerd door 21Vianet of andere onafhankelijke clouds)

Uw omgeving voorbereiden

Stap 1: De GitHub-opslagplaats instellen en de werkstroom uitvoeren

Als u de integratie wilt testen, gebruikt u uw eigen opslagplaatsen of een voorbeeld van een GitHub-opslagplaats met alle inhoud om een kwetsbare containerinstallatiekopieën te bouwen. Voordat u een opslagplaats instelt, moet u ervoor zorgen dat:

Als u een voorbeeldopslagplaats wilt gebruiken, kloont u de volgende opslagplaats naar uw GitHub-organisatie: build25-woodgrove/mdc-customer-playbook. Deze opslagplaats is bedoeld voor klanten om de integratie van Defender for Cloud en GHAS te testen. Het heeft GHAS ingeschakeld en is gekoppeld aan een Azure-tenant waarvoor Defender CSPM is geactiveerd.

Voer in de opslagplaats de volgende stappen uit:

  1. Ga naar Instellingen.

  2. Selecteer Geheimen en variabelen>Acties in het linkerdeelvenster. Selecteer vervolgens Nieuw opslagplaatsgeheim.

    Schermopname van selecties voor het maken van een nieuw opslagplaatsgeheim in GitHub.

  3. Voeg de volgende geheimen toe op het niveau van de opslagplaats of organisatie:

    Variable Description
    ACR_ENDPOINT De aanmeldingsserver van het containerregister
    ACR_USERNAME De gebruikersnaam voor het containerregister
    ACR_PASSWORD Het wachtwoord voor het containerregister

    Opmerking

    De namen kunnen vrij worden gekozen en hoeven geen specifiek patroon te volgen.

    U vindt deze informatie in Azure Portal door de volgende stappen uit te voeren:

    1. Selecteer het containerregister waarnaar u wilt implementeren.

    2. Selecteer onder Instellingende optie Toegangssleutels. In het deelvenster Toegangssleutels worden de sleutels voor de aanmeldingsserver, gebruikersnaam en wachtwoord weergegeven.

      Schermopname van het deelvenster met toegangssleutels voor een containerregister in Azure Portal.

  4. Selecteer Acties in uw opslagplaats.

  5. Selecteer de werkstroom Bouwen en pushen naar ACR en selecteer vervolgens Werkstroom uitvoeren.

    Schermopname van de sectie Acties van een GitHub-opslagplaats met de werkstroomgeschiedenis en de knop voor het uitvoeren van een werkstroom.

  6. Controleer of het image is gedeponeerd in uw containerregister.

    Voor de voorbeeldopslagplaats moet de containerafbeelding in een register genaamd mdc-mock-0001 staan, met de tag mdc-ghas-integration.

  7. Implementeer dezelfde image als een draaiende container op uw cluster. Een manier om deze stap te voltooien, is door verbinding te maken met het cluster en de kubectl run opdracht te gebruiken. Hier volgt een voorbeeld voor Azure Kubernetes Service (AKS):

    1. Stel het clusterabonnement in:

      az account set --subscription $subscriptionID

    2. Stel de referenties voor het cluster in:

      az aks get-credentials --resource-group $resourceGroupName --name $kubernetesClusterName --overwrite-existing

    3. De installatiekopieën implementeren:

      kubectl run $containerName --image=$registryName.azurecr.io/mdc-mock-0001:mdc-ghas-integration

Stap 2: De eerste risicofactor maken (bedrijfskritieke regel)

Een van de risicofactoren die Defender voor Cloud detecteert voor deze integratie is bedrijfskritiek. Organisaties kunnen regels maken om middelen als bedrijfskritisch te labelen.

  1. Ga in de Defender for Cloud-portal naar Omgevingsinstellingen>resourcekritiek.

  2. Selecteer in het rechterdeelvenster de koppeling om Microsoft Defender te openen.

    Schermopname van de Defender voor Cloud-interface met selecties voor het openen van de Microsoft Defender-portal.

  3. Selecteer Een nieuwe classificatie maken.

    Schermopname van de knop voor het maken van een nieuwe classificatie.

  4. Voer een naam en een beschrijving in.

  5. Selecteer cloudresource in de opbouwfunctie voor query's.

  6. Schrijf een query om resourcenaam in te stellen die gelijk is aan de naam van de container die u voor validatie in uw cluster hebt geïmplementeerd. Klik daarna op Volgende.

    Schermopname van de opbouwfunctie voor Microsoft Defender-query's met een resourcenaamfilter dat is toegepast op een cloudresource.

  7. Als Microsoft Defender uw resource al heeft gedetecteerd op de pagina Voorbeeldassets, wordt de naam van de container weergegeven met een assettype K8s-container of K8s-pod.

    Zelfs als de naam nog niet zichtbaar is, gaat u verder met de volgende stap. Microsoft Defender past het kritieklabel toe op de container nadat de container is gedetecteerd. Dit proces kan maximaal 24 uur duren.

  8. Kies een kritiek niveau en controleer en dien vervolgens uw classificatieregel in.

Stap 3: Controleren of uw omgeving gereed is

Opmerking

Het kan tot 24 uur duren voordat de vorige stappen zijn toegepast om de volgende resultaten te zien.

  1. Test of het scannen zonder agent van GitHub de opslagplaats ophaalt.

  2. Ga naar Cloud Security Explorer en voer de query uit.

    Schermopname van zoekresultaten in de opbouwfunctie voor query's van Cloud Security Explorer, met filters ingesteld op GitHub-opslagplaatsen en containerinstallatiekopieën.

  3. Controleer of Defender for Cloud (in Azure Container Registry) de containerafbeeldingen heeft gescand en gebruikt om een container te maken. Voeg in uw query de voorwaarden voor uw specifieke implementatie toe.

    Schermopname van Cloud Security Explorer met scanresultaten voor een query met filters voor GitHub-opslagplaatsen en containerinstallatiekopieën.

  4. Controleer of de container wordt uitgevoerd en of Defender for Cloud het AKS-cluster heeft gescand.

    Schermopname van queryresultaten van Cloud Security Explorer met filters voor GitHub-opslagplaatsen en containerinstallatiekopieën.

  5. Controleer of de risicofactoren correct zijn geconfigureerd aan de zijde van Defender voor Cloud. Zoek de containernaam op de Defender for Cloud-inventarispagina en u zou deze gemarkeerd als kritieke status moeten zien.

Stap 4: Een GitHub-campagne maken

Omdat de werkstroom een image implementeert dat een draaiende container met een van de bedrijfs-kritische risicofactoren bevat, kunnen ontwikkelaars risicofactoren op GitHub zien.

Opmerking

Nadat u uw resource als kritiek hebt geclassificeerd, kan het tot 12 uur duren voordat Defender voor Cloud de gegevens naar GitHub verzendt. Meer informatie.

  1. Ga in GitHub naar de GitHub-organisatie die u hebt gebruikt voor het testen van de installatie.

  2. Selecteer Beveiliging>Campagnes>Campagne maken>Van codescanfilters.

    Schermopname van opties in GitHub om een campagne te maken op basis van code- of geheime scanfilters.

  3. Maak de volgende campagne. Deze campagne toont openstaande waarschuwingen met een gemiddelde ernst waarbij de image die vanuit de repository is geïmplementeerd, is gekoppeld aan een kritieke bron. Uw testopslagplaats moet worden gedetecteerd met deze campagne.

    Schermopname van een GitHub-campagne met filters voor geopende waarschuwingen, ernst en runtimerisico's.

  4. Selecteer Publiceren opslaan>als campagne.

  5. Voer de vereiste gegevens in en publiceer de campagne.

Stap 5: Aanbevelingen voor code-naar-cloud evalueren

Gebruik aanbevelingen voor code-naar-cloud en beveiligingswaarschuwingen om inzicht te hebben in de status van beveiligingsproblemen. Vervolgens kunt u de aanbeveling voor oplossing toewijzen aan het relevante technische team met behulp van de verbinding tussen Dependabot-beveiligingswaarschuwingen en overeenkomende veelvoorkomende beveiligingsproblemen en blootstellingen (CVE)-id's in Defender for Cloud.

Om de aanbevelingen voor code-naar-cloud te bekijken:

  1. Ga in de Defender for Cloud-portal naar het tabblad Aanbevelingen .

  2. Zoek de naam van de container die u hebt gemaakt. Open vervolgens een van de aanbevelingen die het woord Bijwerken bevatten.

    Als u de voorbeeldrepository hebt gebruikt, zoekt u naar Update-aanbeveling voor brace-uitbreiding.

  3. Ga naar het tabblad Herstelinzichten en bekijk het code-naar-clouddiagram. Het diagram legt verbanden tussen uw lopende container en de containerafbeelding in de codeopslagplaats en de codeopslagplaats van de oorsprong in GitHub.

    Schermopname van het tabblad Herstelinzichten met een diagram van gekoppelde ontwikkelingsfasen.

Beveiligingswaarschuwingen weergeven

  1. Selecteer het tabblad Gekoppelde CVE's. Sommige CVE-id's hebben een Bekijk op GitHub link in de kolom Gerelateerde GitHub-waarschuwingen.

  2. Selecteer de koppeling om de relevante beveiligingswaarschuwing van GHAS te openen.

Schermopname van het tabblad Gekoppelde CV's met een koppeling naar een gerelateerde GitHub-waarschuwing.

Een GitHub-probleem maken

Als u de lus tussen beveiligings- en technische teams wilt sluiten, kunt u een GitHub-probleem maken dat prioriteit geeft aan de beveiligingsproblemen waarop het technische team zich moet richten. Deze prioriteitsaanduiding kan bestaan uit het doorgeven van bevindingen die GHAS niet heeft opgehaald, maar die Defender for Cloud heeft gedetecteerd voor CVE-id's die geen deel uitmaken van directe afhankelijkheden. Deze bevindingen kunnen beveiligingsproblemen bevatten in de basisinstallatiekopieën, het besturingssysteem of software zoals NGINX.

Het GitHub-issue wordt automatisch gegenereerd met alle CVE-id's binnen het bereik van de aanbeveling. De aanbeveling geldt zowel met als zonder Dependabot-waarschuwingen, inclusief andere runtimecontexten op de oorspronkelijke opslagplaats.

Schermopname van een GitHub-lijst met problemen met drie vermeldingen die zijn gemarkeerd met tags voor beveiliging en beveiligingsproblemen.

Wanneer u het probleem toewijst, wordt de status van het probleem bijgewerkt in de Defender for Cloud-portal.

Schermopname van een GitHub-probleem met tags voor beveiliging en beveiligingsproblemen, waaronder details zoals CVE-id's, runtime-risicofactoren en informatie over de implementatie.

Agentgerelateerde oplossingen toepassen

Als u een GitHub Copilot-licentie hebt, kunt u het probleem oplossen met behulp van de GitHub-coderingsagent:

  1. Wijs een GitHub-coderingsagent toe aan het probleem.
  2. Bekijk de gegenereerde oplossing.
  3. Als de oplossing redelijk lijkt, past u deze toe.
  4. Bekijk wanneer Defender for Cloud de status van het probleem bijwerken naar Gesloten.

Verwante inhoud

  • Last updated on