Поделиться через


Защита среды GitHub Enterprise Defender для облака Apps

GitHub Enterprise Cloud — это служба, которая помогает организациям хранить код и управлять ими, а также отслеживать и контролировать изменения в коде. Помимо преимуществ создания и масштабирования репозиториев кода в облаке, наиболее важные ресурсы вашей организации могут быть подвержены угрозам. Доступные ресурсы включают репозитории с потенциально конфиденциальной информацией, сведениями о сотрудничестве и партнерстве и т. д. Предотвращение раскрытия этих данных требует непрерывного мониторинга, чтобы предотвратить любые вредоносные субъекты или злоумышленники, не зависимые от безопасности, от эксфильтрации конфиденциальной информации.

Подключение GitHub Enterprise Cloud к Defender для облака Apps предоставляет улучшенные аналитические сведения о действиях пользователей и обеспечивает обнаружение угроз для аномального поведения.

Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.

Основные угрозы

  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Недостаточно осведомленности о безопасности
  • Неуправляемый перенос собственного устройства (BYOD)

Как Defender для облака Приложения помогают защитить среду

Управление безопасностью SaaS

Чтобы просмотреть рекомендации по обеспечению безопасности для GitHub в Microsoft Secure Score, создайте соединитель API на вкладке "Соединители " с разрешениями владельца и предприятия . В разделе "Оценка безопасности" выберите рекомендуемые действия и фильтруйте по продукту = GitHub.

Например, рекомендации для GitHub:

  • Включение многофакторной проверки подлинности (MFA)
  • Включение единого входа
  • Отключите параметр "Разрешить членам изменять видимость репозитория для этой организации"
  • Отключите "члены с разрешениями администратора для репозиториев могут удалять или передавать репозитории"

Если соединитель уже существует, и вы еще не видите рекомендации GitHub, обновите подключение, отключив соединитель API, а затем повторно подключите его с разрешениями владельца и предприятия .

Дополнительные сведения см. в разделе:

Защита GitHub в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями.

Подключение GitHub Enterprise Cloud к приложениям Microsoft Defender для облака

В этом разделе приведены инструкции по подключению Microsoft Defender для облака Apps к существующей организации GitHub Enterprise Cloud с помощью API соединителя приложений. Это подключение позволяет просматривать и контролировать использование GitHub Enterprise Cloud вашей организации. Дополнительные сведения о том, как Defender для облака Приложения защищают GitHub Enterprise Cloud, см. в статье "Защита GitHub Enterprise".

Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.

Необходимые компоненты

  • У вашей организации должна быть лицензия GitHub Enterprise Cloud.
  • Учетная запись GitHub, используемая для подключения к Defender для облака приложениям, должна иметь разрешения владельца для вашей организации.
  • Для возможностей SSPM указанная учетная запись должна быть владельцем корпоративной учетной записи.
  • Чтобы проверить владельцев вашей организации, перейдите на страницу вашей организации, выберите "Люди", а затем отфильтруйте по владельцу.

Проверка доменов GitHub

Проверка того, что домены являются необязательными. Однако настоятельно рекомендуется проверить домены, чтобы Defender для облака Apps могли соответствовать электронной почте домена членов организации GitHub соответствующим пользователям Azure Active Directory.

Эти шаги можно выполнить независимо от шагов настройки GitHub Enterprise Cloud и можно пропустить, если вы уже проверили свои домены.

  1. Обновите организацию до корпоративных условий обслуживания.

  2. Проверьте домены вашей организации.

    Примечание.

    Убедитесь, что каждый из управляемых доменов, перечисленных в параметрах Defender для облака Apps. Чтобы просмотреть управляемые домены, перейдите на портал Microsoft Defender и выберите "Параметры". Затем выберите "Облачные приложения". В разделе "Система" выберите сведения о организации и перейдите в раздел "Управляемые домены ".

Настройка GitHub Enterprise Cloud

  1. Найдите имя входа вашей организации. На сайте GitHub перейдите на страницу вашей организации и в URL-адресе запишите имя входа организации, вам потребуется позже.

    Примечание.

    Страница будет иметь URL-адрес, например https://github.com/<your-organization>. Например, если на странице вашей организации есть https://github.com/sample-organizationстраница, имя входа организации — sample-organization.

    Снимок экрана: получение имени входа организации.

  2. Создайте Приложение OAuth для приложений Defender для облака для подключения организации GitHub. Повторите этот шаг для каждой дополнительной подключенной организации.

    Примечание.

    Если вы включили функции предварительной версии и управление приложениями, используйте страницу управления приложениями вместо страницы приложений OAuth для выполнения этой процедуры.

  3. Перейдите к >параметрам разработчика параметров, выберите Приложение OAuth и нажмите кнопку "Зарегистрировать приложение". Кроме того, если у вас есть приложения OAuth, выберите "Создать Приложение OAuth".

    Снимок экрана: создание приложения oauth.

  4. Заполните сведения о новом приложении OAuth и выберите "Регистрация приложения".

    • В поле "Имя приложения" введите имя приложения.
    • В поле URL-адрес домашней страницы введите URL-адрес домашней страницы приложения.
    • В поле URL-адрес обратного вызова авторизации введите следующее значение: https://portal.cloudappsecurity.com/api/oauth/connect

    Примечание.

    • Для клиентов GCC для государственных организаций США введите следующее значение: https://portal.cloudappsecuritygov.com/api/oauth/connect
    • Для клиентов GCC для государственных организаций США введите следующее значение: https://portal.cloudappsecurity.us/api/oauth/connect

    Снимок экрана: регистрация приложения oauth.

    Примечание.

    • Приложения, принадлежащие организации, имеют доступ к приложениям организации. Дополнительные сведения см. в разделе "О Приложение OAuth ограничениях доступа".
  5. Перейдите к параметрам> Приложение OAuth, выберите только что созданный Приложение OAuth и запишите его идентификатор клиента и секрет клиента.

    Снимок экрана: сведения о приложении oauth.

Настройка приложений Defender для облака

  1. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений".

  2. На странице соединитель приложений выберите +Подключить приложение, а затем GitHub.

  3. В следующем окне укажите описательное имя соединителя и нажмите кнопку "Далее".

  4. В окне "Ввод сведений" введите идентификатор клиента, секрет клиента и имя входа организации, которые вы записали ранее.

    Подключение GitHub.

    Для корпоративного slug, также известного как название предприятия, требуется для поддержки возможностей SSPM. Чтобы найти слизь Enterprise, выполните следующие действия.

    1. Выберите рисунок профиля GitHub —> ваши предприятия.
    2. Выберите свою корпоративную учетную запись и выберите учетную запись, которую вы хотите подключить к Microsoft Defender для облака приложениям.
    3. Убедитесь, что URL-адрес является корпоративным slug. Например, в этом примере https://github.com/enterprises/testEnterprise testEnterprise является корпоративным slug.
  5. Выберите Далее.

  6. Выберите "Подключить GitHub".

    Откроется страница входа в GitHub. При необходимости введите учетные данные администратора GitHub, чтобы разрешить Defender для облака Приложениям доступ к экземпляру GitHub Enterprise Cloud вашей команды.

  7. Запрос доступа к организации и авторизация приложения, чтобы предоставить Defender для облака приложениям доступ к вашей организации GitHub. для приложений Defender для облака требуются следующие области OAuth:

    • admin:org — требуется для синхронизации журнала аудита организации
    • read:user и user:email — требуется для синхронизации членов вашей организации
    • repo:status — требуется для синхронизации событий, связанных с репозиторием в журнале аудита
    • admin:enterprise — требуется для возможностей SSPM, обратите внимание, что предоставленный пользователь должен быть владельцем корпоративной учетной записи.

    Дополнительные сведения о областях OAuth см. в разделе "Основные сведения о областях" для Приложение OAuth.

    Снимок экрана: авторизация github oauth.

    Вернувшись в консоль Defender для облака Apps, вы должны получить сообщение о том, что GitHub успешно подключен.

  8. Обратитесь к владелец организации GitHub, чтобы предоставить организации доступ к приложению OAuth, созданному в параметрах доступа сторонних разработчиков GitHub. Дополнительные сведения см . в документации по GitHub.

    Владелец организации найдет запрос из приложения OAuth только после подключения GitHub к Defender для облака Apps.

  9. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений". Убедитесь, что состояние подключенного соединителя приложений подключено.

После подключения к GitHub Enterprise Cloud вы получите события за 7 дней до подключения.

Если у вас возникли проблемы с подключением к приложению, см. статью "Устранение неполадок соединителей приложений".

Следующие шаги

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.