Подключение сред Azure DevOps к Defender для облака
На этой странице представлен простой интерфейс подключения для подключения сред Azure DevOps к Microsoft Defender для облака и автоматического обнаружения репозиториев Azure DevOps.
Подключив среды Azure DevOps к Defender для облака, вы расширяете возможности безопасности Defender для облака к ресурсам Azure DevOps и повышает уровень безопасности. Подробнее.
Необходимые компоненты
Для работы с этим кратким руководством вам понадобится:
- Учетная запись Azure с Defender для облака подключена. Если у вас еще нет учетной записи Azure, создайте ее бесплатно.
- Обратите внимание, что вызовы API, которые Defender для облака выполняют подсчет в отношении ограничения глобального потребления Azure DevOps.
- Просмотрите распространенные вопросы о безопасности DevOps в Defender для облака.
Availability
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Общая доступность. |
| Цены. | Сведения о ценах см. на странице цен на Defender для облака. |
| Необходимые разрешения: | Администратор учетной записи с разрешениями на вход в портал Azure. Участник создания соединителя в подписке Azure. Администратор коллекции проектов в организации Azure DevOps. Базовый или базовый уровень доступа к планам тестирования в организации Azure DevOps. Убедитесь, что у вас есть разрешения администратора коллекции проектов и базовый уровень доступа для всех организаций Azure DevOps, которые вы хотите подключить. Уровень доступа заинтересованных лиц недостаточно. Доступ к сторонним приложениям через OAuth, который должен быть установлен On в организации Azure DevOps. Узнайте больше о OAuth и о том, как включить его в организациях. |
| Регионы и доступность: | Ознакомьтесь с разделом поддержки и предварительными условиями для поддержки регионов и доступности компонентов. |
| Облако. |  Торговый  National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet) |
Примечание.
Роль читателя безопасности можно применить к области соединителя группы ресурсов или Azure DevOps, чтобы избежать настройки высоко привилегированных разрешений на уровне подписки для доступа на чтение оценок безопасности DevOps.
Подключение организации Azure DevOps
Примечание.
После подключения Azure DevOps к Defender для облака расширение Сопоставления контейнеров Microsoft Defender для DevOps будет автоматически совместно использоваться и установлено во всех подключенных организациях Azure DevOps. Это расширение позволяет Defender для облака извлекать метаданные из конвейеров, например идентификатор и имя дайджеста контейнера. Эти метаданные используются для подключения сущностей DevOps к связанным облачным ресурсам. Дополнительные сведения о сопоставлении контейнеров.
Чтобы подключить организацию Azure DevOps к Defender для облака с помощью собственного соединителя:
Войдите на портал Azure.
Перейдите к параметрам Microsoft Defender для облака> Environment.
Выберите " Добавить среду".
Выберите Azure DevOps.
Введите имя, подписку, группу ресурсов и регион.
Подписка — это расположение, в котором Microsoft Defender для облака создает и сохраняет подключение Azure DevOps.
Нажмите кнопку Next: Configure access (Далее: настройка доступа).
Выберите Разрешить. Убедитесь, что вы авторизации правильного клиента Azure с помощью раскрывающегося меню в Azure DevOps и убедитесь, что вы находитесь в правильном клиенте Azure в Defender для облака.
В всплывающем диалоговом окне прочитайте список запросов разрешений и нажмите кнопку "Принять".
Для организаций выберите один из следующих вариантов:
- Выберите все существующие организации, чтобы автоматически обнаруживать все проекты и репозитории в организациях , в настоящее время вы являетесь администратором коллекции проектов.
- Выберите все существующие и будущие организации, чтобы автоматически обнаруживать все проекты и репозитории во всех текущих и будущих организациях , в которые вы являетесь администратором коллекции проектов.
Примечание.
Для каждой организации Azure DevOps необходимо установить
Onдоступ к сторонним приложениям через OAuth. Узнайте больше о OAuth и о том, как включить его в организациях.Так как репозитории Azure DevOps подключены без дополнительных затрат, автоматическое обнаружение применяется в организации, чтобы гарантировать, что Defender для облака может комплексно оценить состояние безопасности и реагировать на угрозы безопасности во всей экосистеме DevOps. Позже организации можно добавлять и удалять вручную с помощью параметров Microsoft Defender для облака> Environment.
Нажмите кнопку Next: Review and generate (Далее: проверка и создание).
Просмотрите сведения и нажмите кнопку "Создать".
Примечание.
Чтобы обеспечить правильную функциональность расширенных возможностей размещения DevOps в Defender для облака, можно подключить только один экземпляр организации Azure DevOps к клиенту Azure, в который вы создаете соединитель.
После успешного подключения ресурсы DevOps (например, репозитории, сборки) будут присутствовать на страницах безопасности Inventory и DevOps. Для отображения ресурсов может потребоваться до 8 часов. Рекомендации по проверке безопасности могут потребовать дополнительного шага для настройки конвейеров. Интервалы обновления для результатов безопасности зависят от рекомендаций и подробных сведений на странице рекомендаций.
Следующие шаги
- Дополнительные сведения о безопасности DevOps см. в Defender для облака.
- Настройте задачу Microsoft Security DevOps в Azure Pipelines.
- Устранение неполадок соединителя Azure DevOps