Partilhar via


Conectar ambientes de DevOps do Azure ao Defender for Cloud

Esta página fornece uma experiência de integração simples para conectar ambientes de DevOps do Azure ao Microsoft Defender for Cloud e descobrir automaticamente os repositórios de DevOps do Azure.

Ao conectar seus ambientes de DevOps do Azure ao Defender for Cloud, você estende os recursos de segurança do Defender for Cloud aos seus recursos de DevOps do Azure e melhora a postura de segurança. Mais informações.

Pré-requisitos

Para concluir este guia de início rápido, necessita de:

Disponibilidade

Aspeto Detalhes
Estado de lançamento: Disponibilidade Geral.
Preços: Para obter preços, consulte a página de preços do Defender for Cloud.
Permissões necessárias: Administrador de Conta com permissões para iniciar sessão no portal do Azure.
Colaborador para criar um conector na assinatura do Azure.
Administrador de Coleção de Projetos na Organização de DevOps do Azure.
Nível de acesso Planos de Teste Básico ou Básico + na Organização de DevOps do Azure.
Certifique-se de que tem AMBAS as permissões de Administrador da Coleção de Projetos e o Nível de Acesso Básico para todas as organizações de DevOps do Azure que pretende integrar. O nível de acesso das partes interessadas não é suficiente.
Acesso a aplicativos de terceiros via OAuth, que deve ser definido como On na Organização de DevOps do Azure. Saiba mais sobre o OAuth e como habilitá-lo em suas organizações.
Regiões e disponibilidade: Consulte a seção de suporte e pré-requisitos para obter suporte à região e disponibilidade de recursos.
Nuvens: Comerciais
Nacional (Azure Government, Microsoft Azure operado pela 21Vianet)

Nota

A função Leitor de Segurança pode ser aplicada no escopo do conector Grupo de Recursos/Azure DevOps para evitar a definição de permissões altamente privilegiadas em um nível de Assinatura para acesso de leitura de avaliações de postura de segurança do DevOps.

Conectar sua organização do Azure DevOps

Nota

Depois de conectar o Azure DevOps ao Defender for Cloud, a extensão Microsoft Defender for DevOps Container Mapping será automaticamente compartilhada e instalada em todas as organizações de DevOps do Azure conectadas. Essa extensão permite que o Defender for Cloud extraia metadados de pipelines, como o ID e o nome do resumo de um contêiner. Esses metadados são usados para conectar entidades de DevOps com seus recursos de nuvem relacionados. Saiba mais sobre o mapeamento de contêineres.

Para conectar sua organização do Azure DevOps ao Defender for Cloud usando um conector nativo:

  1. Inicie sessão no portal do Azure.

  2. Vá para Configurações do Microsoft Defender for Cloud>Environment.

  3. Selecione Adicionar ambiente.

  4. Selecione Azure DevOps.

    Captura de tela que mostra seleções para adicionar o Azure DevOps como um conector.

  5. Insira um nome, assinatura, grupo de recursos e região.

    A assinatura é o local onde o Microsoft Defender for Cloud cria e armazena a conexão do Azure DevOps.

  6. Selecione Next: Configure access.

  7. Selecionar Autorizar. Certifique-se de que está a autorizar o Inquilino do Azure correto utilizando o menu pendente no Azure DevOps e verificando se está no Inquilino do Azure correto no Defender for Cloud.

  8. Na caixa de diálogo pop-up, leia a lista de solicitações de permissão e selecione Aceitar.

    Captura de tela que mostra o botão para aceitar permissões.

  9. Para Organizações, selecione uma das seguintes opções:

    • Selecione todas as organizações existentes para descobrir automaticamente todos os projetos e repositórios em organizações nas quais você é atualmente um Administrador de Coleção de Projetos.
    • Selecione todas as organizações existentes e futuras para descobrir automaticamente todos os projetos e repositórios em todas as organizações atuais e futuras nas quais você é um Administrador de Coleção de Projetos.

    Nota

    O acesso a aplicativos de terceiros via OAuth deve ser definido como On ativado para cada Organização de DevOps do Azure. Saiba mais sobre o OAuth e como habilitá-lo em suas organizações.

    Como os repositórios de DevOps do Azure são integrados sem custo extra, a descoberta automática é aplicada em toda a organização para garantir que o Defender for Cloud possa avaliar de forma abrangente a postura de segurança e responder a ameaças de segurança em todo o seu ecossistema de DevOps. Mais tarde, as organizações podem ser adicionadas e removidas manualmente por meio das configurações do Microsoft Defender for Cloud>Environment.

  10. Selecione Seguinte: rever e gerar.

  11. Reveja as informações e, em seguida, selecione Criar.

Nota

Para garantir a funcionalidade adequada dos recursos avançados de postura de DevOps no Defender for Cloud, apenas uma instância de uma organização de DevOps do Azure pode ser integrada ao Locatário do Azure no qual você está criando um conector.

Após a integração bem-sucedida, os recursos de DevOps (por exemplo, repositórios, compilações) estarão presentes nas páginas de segurança de Inventário e DevOps. Pode levar até 8 horas para que os recursos apareçam. As recomendações de verificação de segurança podem exigir uma etapa adicional para configurar seus pipelines. Os intervalos de atualização para descobertas de segurança variam de acordo com a recomendação e os detalhes podem ser encontrados na página Recomendações.

Próximos passos