Início Rápido: Conectar o ambiente do Azure DevOps ao Microsoft Defender para Nuvem
Este início rápido mostra a você como conectar suas organizações do Azure DevOps na página Configurações do ambiente no Microsoft Defender para Nuvem. Esta página fornece uma experiência de integração simples para a descoberta automática de repositórios do Azure DevOps.
Ao conectar suas organizações do Azure DevOps ao Defender para Nuvem, você estende os recursos de segurança do Defender para Nuvem aos recursos do Azure DevOps. Esses recursos incluem:
Recursos básicos do GPSN (gerenciamento da postura de segurança na nuvem): você pode avaliar sua postura de segurança do Azure DevOps por meio de recomendações de segurança específicas do Azure DevOps. Você também pode aprender sobre todas as recomendações para os recursos de DevOps.
Recursos do GPSN do Defender: os clientes do GPSN do Defender recebem código para caminhos de ataque contextualizados na nuvem, avaliações de risco e insights para identificar os pontos fracos mais críticos que os invasores podem usar para violar seu ambiente. Conectar seus repositórios do Azure DevOps permite contextualizar as descobertas de segurança de DevOps com suas cargas de trabalho na nuvem e identificar a origem e o desenvolvedor para uma correção oportuna. Para obter mais informações, saiba como identificar e analisar riscos em todo o seu ambiente.
As chamadas à API executadas pelo Defender para Nuvem contam com relação ao limite de consumo global do Azure DevOps. Para obter mais informações, confira as perguntas comuns sobre segurança do DevOps no Defender para Nuvem.
Pré-requisitos
Para concluir este início rápido, você precisa de:
- Uma conta do Azure com o Defender para Nuvem integrado. Caso você ainda não tenha uma conta do Azure, crie uma conta gratuitamente.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Disponibilidade geral. |
| Preço: | Para preço, confira a página de preço do Defender para Nuvem. |
| Permissões necessárias: | Administrador da Conta com permissões para entrar no portal do Azure. Colaborador para criar um conector na assinatura do Azure. Administrador de coleção de projetos na organização do Azure DevOps. Básico ou Básico + Nível de Acesso de Planos de Teste na Organização do Azure DevOps. Certifique-se de ter permissões tanto de Administrador de Coleção de Projetos quanto de Nível de Acesso Básico para todas as organizações do Azure DevOps que deseja integrar. O Nível de Acesso de Stakeholder não é suficiente. Acesso a aplicativos de terceiros por meio do OAuth, que deve ser definido como On na organização do Azure DevOps. Saiba mais sobre o OAuth e como habilitá-lo em suas organizações. |
| Regiões e disponibilidade: | Veja a seção suporte e pré-requisitos para obter suporte de região e disponibilidade de recursos. |
| Nuvens: |  Comercial  Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet) |
Observação
A função Leitor de Segurança pode ser aplicada no escopo do conector do Grupo de Recursos/Azure DevOps para evitar a configuração de permissões altamente privilegiadas em um nível de assinatura para acesso de leitura das avaliações de postura de segurança do DevOps.
Conectar sua organização do Azure DevOps
Observação
Depois de conectar o Azure DevOps ao Defender para Nuvem, a extensão de Mapeamento de Contêiner do Microsoft Defender para DevOps será automaticamente compartilhada e instalada em todas as organizações conectadas do Azure DevOps. Essa extensão permite que o Defender para Nuvem extraia metadados de pipelines, como a ID de resumo e o nome de um contêiner. Esses metadados são usados para conectar entidades de DevOps com seus recursos de nuvem relacionados. Saiba mais sobre mapeamento de contêiner.
Para conectar sua organização do Azure DevOps ao Defender para Nuvem por meio de um conector nativo:
Entre no portal do Azure.
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione Adicionar ambiente.
Escolha Azure DevOps.
Insira um nome, selecione uma assinatura, um grupo de recursos e uma região.
A assinatura é o local onde o Microsoft Defender para Nuvem cria e armazena a conexão do Azure DevOps.
Selecione Avançar: configurar acesso.
Selecione Autorizar. Verifique se você está autorizando o locatário correto do Azure usando o menu suspenso no Azure DevOps e verificando se você está no locatário correto do Azure no Defender para Nuvem.
Na tela pop-up, leia a lista de solicitações de permissão e selecione Aceitar.
Em Organizações, selecione uma das seguintes opções:
- Selecione todas as organizações existentes para descobrir automaticamente todos os projetos e repositórios em organizações nas quais você é atualmente um administrador de coleção de projetos.
- Selecione todas as organizações existentes e futuras para descobrir automaticamente todos os projetos e repositórios em todas as organizações atuais e futuras nas quais você é um Administrador de Coleção de Projetos.
Observação
Acesso a aplicativos de terceiros via OAuth, que deve ser definido como
Onna organização do Azure DevOps. Saiba mais sobre o OAuth e como habilitá-lo em suas organizações.Como os repositórios do Azure DevOps são integrados sem custo extra, a descoberta automática é aplicada em toda a organização para garantir que o Defender para Nuvem possa avaliar de forma abrangente a postura de segurança e responder às ameaças à segurança em todo o ecossistema de DevOps. Posteriormente, as organizações podem ser adicionadas e removidas manualmente por meio de Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione Avançar: examinar e criar.
Examine as informações e selecione Criar.
Observação
Para garantir a funcionalidade adequada dos recursos avançados de postura do DevOps no Defender para Nuvem, somente uma instância de uma organização do Azure DevOps pode ser integrada ao locatário do Azure no qual você está criando um conector.
Após a integração bem-sucedida, os recursos do DevOps (por exemplo, repositórios, builds) estarão presentes nas páginas de segurança Inventário e DevOps. Pode levar até 8 horas para que os recursos apareçam. Recomendações de verificação de segurança podem exigir uma etapa adicional para configurar seus pipelines. Os intervalos de atualização para descobertas de segurança variam de acordo com a recomendação e os detalhes podem ser encontrados na página Recomendações.