Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Defender for Cloud CLI — это средство командной строки, которое управляет проверками безопасности в конвейерах CI/CD и на терминалах разработчиков. Он отправляет результаты в Microsoft Defender для облака для управления состоянием, контекста от кода до выполнения, приоритизации и отслеживания. Это ускоряет безопасное внедрение с минимальными настройками, простыми в использовании командами командной строки и конкретными рекомендациями, которые помогают командам быстро устранять проблемы, не нарушая рабочего процесса.
Что делает Защитник для облака CLI
Выполните проверки безопасности в любом месте: Вы можете инициировать сканирование с ноутбука или любой системы конвейера CI/CD (например, GitHub Actions, Azure DevOps, Jenkins, Bitbucket и многое другое). Для этого средства требуется минимальная конфигурация: один исполняемый файл, приемлемые значения по умолчанию и упрощенная проверка подлинности.
Объединение сканеров с одним инструментом: Оркеструйте несколько подсистем безопасности (например, анализ образов контейнеров и многое другое по мере их доступности) с согласованными кодами выходных данных и выходов, которые оптимизируют очистку конвейера и автоматизацию.
Выгрузка результатов в Defender для облака: Результаты собираются в одном месте, где команды безопасности получают видимость от кода до выполнения, контекст пути атаки и стандартное содержимое рекомендаций, чтобы определить, что следует рассматривать в первую очередь.
Создано для улучшения опыта разработчиков: Предоставляет четкие инструкции, краткие выходные данные консоли и рекомендации по исправлению, которые соответствуют принципу работы разработчиков (конвейеры, терминалы и pull request'ы).
Как он вписывается в рабочий процесс
- Вы устанавливаете и выполняете проверку подлинности в вашем конвейере CI/CD или на локальной машине.
- Вы сканируете изображение, над которым вы работаете.
- Вы просматриваете результаты консоли, экспортируете при необходимости и отправляете в Defender для облака.
Authentication
Defender для Cloud CLI поддерживает два метода проверки подлинности для соответствия корпоративным методам безопасности. Первый и предпочтительный метод — это проверка подлинности на основе соединителя, доступная в настоящее время для Azure DevOps и GitHub. Установка интегратора между этими системами контроля версий и Defender для облачных сред позволяет автоматизировать процесс аутентификации, устраняя необходимость добавления токенов в потоки. Второй метод — это проверка подлинности на основе маркеров, при которой администраторы безопасности создают маркеры на портале Microsoft Defender для облака и настраивают их в качестве переменных среды в конвейерах CI/CD или локальных терминалах. Этот подход обеспечивает гибкость в системах сборки и позволяет нацеливаться на определенные области по подписке. Подробные инструкции и примеры см. в разделе "Проверка подлинности".
Интеграция CI/CD
Интерфейс командной строки Defender для Облака — это не зависящая от платформы, она работает, если вы используете собственный соединитель или аутентификационные токены. Команды могут постепенно применять его, оптимизировать YAML с помощью значений по умолчанию и полагаться на стабильные и согласованные коды выхода для проведения проверок. Примеры и позиции в Marketplace (задача Azure DevOps) являются частью стандартного развертывания для ускорения процесса ознакомления. Подробные инструкции и примеры см. в разделе интеграции CI/CD.
Эталонная схема проектирования команд
Синтаксис Интерфейса командной строки Defender для облака следует простому шаблону ссылокname - command - parameter - parameter value. Например, вот как проверить контейнер:
defender scan image myregistry.azurecr.io/app:build-123
Подробные сведения см. в разделе "Синтаксис".
Результаты и исправление
- Предоставляет доступные для чтения выходные данные консоли с проблемами и дальнейшими шагами по исправлению.
- При вызове из конвейеров CI/CD он отправляет результаты в Defender для облака, где результаты отображаются в инвентаризации активов, рекомендациях и путях атаки с контекстом среды выполнения (например, воздействие в Интернете и затронутые рабочие нагрузки).
Чтобы просмотреть результаты, см. статью "Просмотр результатов".
Видимость кода во время выполнения
При загрузке результатов Defender for Cloud моделирует взаимосвязи репозитория моделей, конвейера, образа и ресурсов времени выполнения, чтобы группы безопасности могли нацеливаться на соответствующих владельцев, понимать зону влияния и согласовывать меры по устранению с рисками. Дополнительные сведения см. в разделе "Сопоставление образов контейнеров".
Миграция из MSDO CLI
Если вы используете устаревший интерфейс командной строки Microsoft Security DevOps (MSDO), попробуйте перейти на интерфейс командной строки Defender для облака.
Сканирование контейнеров с поддержкой сканера безопасности контейнеров Microsoft (на основе MDVM) заменяет сканирование изображений Trivy в конвейерах.
Улучшенный пользовательский опыт разработчика (запуск локально и в CI, используя параметры командной строки).
Путь, защищенный от устаревания, поскольку новые сканеры оркестрируются с помощью Defender для облачного CLI. MSDO CLI остается на технической поддержке.