Jak Defender dla Chmury Apps pomaga chronić środowisko GitHub Enterprise

GitHub Enterprise Cloud to usługa, która pomaga organizacjom przechowywać kod i zarządzać nim, a także śledzić i kontrolować zmiany w kodzie. Oprócz zalet tworzenia i skalowania repozytoriów kodu w chmurze najbardziej krytyczne zasoby organizacji mogą być narażone na zagrożenia. Ujawnione zasoby obejmują repozytoria z potencjalnie poufnymi informacjami, szczegółami współpracy i partnerstwa oraz nie tylko. Zapobieganie ujawnieniu tych danych wymaga ciągłego monitorowania, aby zapobiec eksfiltrowaniu poufnych informacji przez złośliwych podmiotów lub osoby niejawne zabezpieczeń.

Łączenie usługi GitHub Enterprise Cloud z usługą Defender dla Chmury Apps zapewnia lepszy wgląd w działania użytkowników i zapewnia wykrywanie zagrożeń w przypadku nietypowego zachowania.

Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji zarządzania stanem zabezpieczeń SaaS (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonej w wskaźniku bezpieczeństwa firmy Microsoft. Dowiedz się więcej.

Główne zagrożenia

• Naruszone konta i zagrożenia wewnętrzne
• Wyciek danych
• Niewystarczająca świadomość zabezpieczeń
• Niezarządzane użycie własnego urządzenia (BYOD)

Jak Defender dla Chmury Apps pomaga chronić środowisko

• Wykrywanie zagrożeń w chmurze, kont zagrożonych i złośliwych testerów
• Używanie dziennika inspekcji działań na potrzeby badań kryminalistycznych

Zarządzanie stanem zabezpieczeń SaaS

Aby wyświetlić zalecenia dotyczące stanu zabezpieczeń usługi GitHub w usłudze Microsoft Secure Score, utwórz łącznik interfejsu API za pośrednictwem karty Łączniki z uprawnieniami właściciela i przedsiębiorstwa . W obszarze Wskaźnik bezpieczeństwa wybierz pozycję Zalecane akcje i filtruj według pozycji Product = GitHub.

Na przykład zalecenia dotyczące usługi GitHub obejmują:

• Włączanie uwierzytelniania wieloskładnikowego (MFA)
• Włączanie logowania jednokrotnego
• Wyłącz opcję "Zezwalaj członkom na zmianę widoczności repozytorium dla tej organizacji"
• Wyłącz opcję "Członkowie z uprawnieniami administratora dla repozytoriów mogą usuwać lub przenosić repozytoria"

Jeśli łącznik już istnieje i nie widzisz jeszcze zaleceń usługi GitHub, odśwież połączenie, rozłączając łącznik interfejsu API, a następnie ponownie połącz go z uprawnieniami Właściciel i Przedsiębiorstwo .

Aby uzyskać więcej informacji, zobacz:

• Zarządzanie stanem zabezpieczeń dla aplikacji SaaS
• Wskaźnik bezpieczeństwa Microsoft

Ochrona usługi GitHub w czasie rzeczywistym

Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi zabezpieczania i współpracy z użytkownikami zewnętrznymi.

Łączenie usługi GitHub Enterprise Cloud z aplikacjami Microsoft Defender dla Chmury

Ta sekcja zawiera instrukcje dotyczące łączenia aplikacji Microsoft Defender dla Chmury z istniejącą organizacją usługi GitHub Enterprise Cloud przy użyciu interfejsów API łącznika aplikacji. To połączenie zapewnia wgląd i kontrolę nad użyciem chmury GitHub Enterprise w organizacji. Aby uzyskać więcej informacji na temat ochrony usługi GitHub Enterprise Cloud w usłudze Defender dla Chmury Apps, zobacz Ochrona usługi GitHub Enterprise.

Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji zarządzania stanem zabezpieczeń SaaS (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonej w wskaźniku bezpieczeństwa firmy Microsoft. Dowiedz się więcej.

Wymagania wstępne

• Twoja organizacja musi mieć licencję usługi GitHub Enterprise Cloud.
• Konto usługi GitHub używane do nawiązywania połączenia z aplikacjami Defender dla Chmury musi mieć uprawnienia właściciela dla organizacji.
• W przypadku możliwości programu SSPM podane konto musi być właścicielem konta przedsiębiorstwa.
• Aby zweryfikować właścicieli organizacji, przejdź do strony organizacji, wybierz pozycję Osoby, a następnie przefiltruj według pozycji Właściciel.

Weryfikowanie domen usługi GitHub

Sprawdzanie, czy domeny są opcjonalne. Zdecydowanie zalecamy jednak zweryfikowanie domen, aby Defender dla Chmury Apps mogły dopasować adresy e-mail członków organizacji usługi GitHub do odpowiedniego użytkownika usługi Azure Active Directory.

Te kroki można wykonać niezależnie od kroków Konfigurowanie chmury GitHub Enterprise i można je pominąć, jeśli domeny zostały już zweryfikowane.

1. Uaktualnij organizację do warunków użytkowania firmy.

2. Zweryfikuj domeny organizacji.

   Uwaga

   Upewnij się, że wszystkie domeny zarządzane wymienione w ustawieniach usługi Defender dla Chmury Apps zostały zweryfikowane. Aby wyświetlić domeny zarządzane, przejdź do witryny Microsoft Defender Portal i wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze System wybierz pozycję Szczegóły organizacyjne, a następnie przejdź do sekcji Domeny zarządzane.

Konfigurowanie chmury GitHub Enterprise

1. Znajdź nazwę logowania organizacji. W usłudze GitHub przejdź do strony organizacji i z adresu URL zanotuj nazwę logowania organizacji. Będzie ona potrzebna później.

   Uwaga

   Strona będzie mieć adres URL, taki jak https://github.com/<your-organization>. Jeśli na przykład strona organizacji to https://github.com/sample-organization, nazwa logowania organizacji to przykładowa organizacja.

   

2. Utwórz aplikację OAuth dla aplikacji Defender dla Chmury, aby połączyć organizację usługi GitHub. Powtórz ten krok dla każdej dodatkowej połączonej organizacji.

   Uwaga

   Jeśli masz włączone funkcje w wersji zapoznawczej i ład aplikacji, użyj strony ład aplikacji zamiast strony aplikacje OAuth, aby wykonać tę procedurę.

3. Przejdź do pozycji Ustawienia Ustawienia>Dla deweloperów, wybierz pozycję Aplikacje OAuth, a następnie wybierz pozycję Zarejestruj aplikację. Alternatywnie, jeśli masz istniejące aplikacje OAuth, wybierz pozycję Nowa aplikacja OAuth.

   

4. Wypełnij szczegóły zarejestruj nową aplikację OAuth, a następnie wybierz pozycję Zarejestruj aplikację.

   • W polu Nazwa aplikacji wprowadź nazwę aplikacji.
   • W polu Adres URL strony głównej wprowadź adres URL strony głównej aplikacji.
   • W polu Adres URL wywołania zwrotnego autoryzacji wprowadź następującą wartość: https://portal.cloudappsecurity.com/api/oauth/connect.

   Uwaga

   • W przypadku klientów GCC dla instytucji rządowych USA wprowadź następującą wartość: https://portal.cloudappsecuritygov.com/api/oauth/connect
   • W przypadku klientów GCC High dla instytucji rządowych USA wprowadź następującą wartość: https://portal.cloudappsecurity.us/api/oauth/connect

   

   Uwaga

   • Aplikacje należące do organizacji mają dostęp do aplikacji organizacji. Aby uzyskać więcej informacji, zobacz About OAuth App access restrictions (Informacje o ograniczeniach dostępu do aplikacji OAuth).

5. Przejdź do pozycji Ustawienia>Aplikacje OAuth, wybierz właśnie utworzoną aplikację OAuth i zanotuj jej identyfikator klienta i klucz tajny klienta.

   

Konfigurowanie aplikacji Defender dla Chmury

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji.

2. Na stronie Łącznik aplikacji wybierz pozycję +Połącz aplikację, a następnie pozycję GitHub.

3. W następnym oknie nadaj łącznikowi opisową nazwę, a następnie wybierz pozycję Dalej.

4. W oknie Wprowadź szczegóły wypełnij pola Identyfikator klienta, Wpis tajny klienta i Nazwa logowania organizacji zanotuj wcześniej.

   

   W przypadku usługi Slug dla przedsiębiorstw, znanej również jako nazwa przedsiębiorstwa, jest wymagany do obsługi funkcji SSPM. Aby znaleźć slug przedsiębiorstwa:

   1. Wybierz obraz profilu usługi GitHub —> Twoje przedsiębiorstwa.
   2. Wybierz konto przedsiębiorstwa i wybierz konto, z którym chcesz nawiązać połączenie z aplikacjami Microsoft Defender dla Chmury.
   3. Upewnij się, że adres URL to slug przedsiębiorstwa. Na przykład w tym przykładzie https://github.com/enterprises/testEnterprise testEnterprise to slug przedsiębiorstwa.

5. Wybierz Dalej.

6. Wybierz pozycję Połącz z usługą GitHub.

   Zostanie otwarta strona logowania usługi GitHub. W razie potrzeby wprowadź poświadczenia administratora usługi GitHub, aby zezwolić Defender dla Chmury Apps na dostęp do wystąpienia usługi GitHub Enterprise Cloud twojego zespołu.

7. Zażądaj dostępu do organizacji i autoryzuj aplikację, aby przyznać aplikacji Defender dla Chmury dostęp do organizacji usługi GitHub. Defender dla Chmury Apps wymaga następujących zakresów protokołu OAuth:

   • admin:org — wymagane do synchronizowania dziennika inspekcji organizacji
   • read:user and user:email — wymagane do synchronizowania członków organizacji
   • repo:status — wymagane do synchronizowania zdarzeń związanych z repozytorium w dzienniku inspekcji
   • admin:enterprise — wymagane w przypadku możliwości programu SSPM należy pamiętać, że podany użytkownik musi być właścicielem konta przedsiębiorstwa.

   Aby uzyskać więcej informacji na temat zakresów protokołu OAuth, zobacz Opis zakresów dla aplikacji OAuth.

   

   Po powrocie do konsoli Defender dla Chmury Apps powinien zostać wyświetlony komunikat informujący o pomyślnym nawiązaniu połączenia z usługą GitHub.

8. Skontaktuj się z właścicielem organizacji usługi GitHub, aby udzielić organizacji dostępu do aplikacji OAuth utworzonej w ustawieniach dostępu innych firm w usłudze GitHub. Aby uzyskać więcej informacji, zobacz dokumentację usługi GitHub.

   Właściciel organizacji znajdzie żądanie z aplikacji OAuth dopiero po połączeniu usługi GitHub z aplikacją Defender dla Chmury Apps.

9. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji. Upewnij się, że stan połączonego łącznika aplikacji to Połączono.

Po nawiązaniu połączenia z usługą GitHub Enterprise Cloud zdarzenia będą odbierane przez 7 dni przed nawiązaniem połączenia.

Jeśli masz problemy z nawiązywaniem połączenia z aplikacją, zobacz Rozwiązywanie problemów z łącznikami aplikacji.

Następne kroki

Kontrola aplikacji w chmurze za pomocą zasad

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.