Snabbstart: Anslut din Azure DevOps-miljö för att Microsoft Defender för molnet
Den här snabbstarten visar hur du ansluter dina Azure DevOps-organisationer på sidan Miljöinställningar i Microsoft Defender för molnet. Den här sidan ger en enkel registreringsupplevelse för automatisk upptäckt av dina Azure DevOps-lagringsplatser.
Genom att ansluta dina Azure DevOps-organisationer till Defender för molnet utökar du säkerhetsfunktionerna för Defender för molnet till dina Azure DevOps-resurser. Dessa funktioner omfattar bland annat:
Grundläggande CSPM-funktioner (Cloud Security Posture Management): Du kan utvärdera din Säkerhetsstatus för Azure DevOps via Azure DevOps-specifika säkerhetsrekommendationer. Du kan också lära dig mer om alla rekommendationer för DevOps-resurser .
Defender CSPM-funktioner: Defender CSPM-kunder får kod till molnkontextualiserade attackvägar, riskbedömningar och insikter för att identifiera de mest kritiska svagheter som angripare kan använda för att bryta mot sin miljö. Anslut med dina Azure DevOps-lagringsplatser kan du kontextualisera DevOps säkerhetsresultat med dina molnarbetsbelastningar och identifiera ursprunget och utvecklaren för snabb reparation. Mer information finns i identifiera och analysera risker i din miljö.
API-anrop som Defender för molnet utför antal mot den globala förbrukningsgränsen för Azure DevOps. Mer information finns i vanliga frågor om DevOps-säkerhet i Defender för molnet.
Förutsättningar
Följande krävs för att slutföra den här snabbstarten:
- Ett Azure-konto med Defender för molnet registrerat. Om du inte redan har ett Azure-konto skapar du ett kostnadsfritt.
Tillgänglighet
| Aspekt | Details |
|---|---|
| Versionstillstånd: | Allmän tillgänglighet. |
| Prissättning: | Priser finns på sidan Defender för molnet prissättning. |
| Nödvändiga behörigheter: | Kontoadministratör med behörighet att logga in på Azure-portalen. Deltagare för att skapa en anslutningsapp i Azure-prenumerationen. Projektsamlingsadministratör i Azure DevOps-organisationen. Åtkomstnivå för grundläggande eller grundläggande och testplaner i Azure DevOps-organisationen. Kontrollera att du har både administratörsbehörigheter för projektsamling och grundläggande åtkomstnivå för alla Azure DevOps-organisationer som du vill registrera. Åtkomstnivån för intressenter räcker inte. Programåtkomst från tredje part via OAuth, som måste anges till On i Azure DevOps-organisationen. Läs mer om OAuth och hur du aktiverar det i dina organisationer. |
| Regioner och tillgänglighet: | Se avsnittet support och förutsättningar för regionsupport och funktionstillgänglighet . |
| Moln: |  Kommersiella  National (Azure Government, Microsoft Azure drivs av 21Vianet) |
Kommentar
Rollen Säkerhetsläsare kan tillämpas på omfånget Resursgrupp/Azure DevOps-anslutningsapp för att undvika att ange behörigheter med hög behörighet på prenumerationsnivå för läsbehörighet för DevOps säkerhetsstatusutvärderingar.
Anslut din Azure DevOps-organisation
Kommentar
När du har anslutit Azure DevOps till Defender för molnet delas tillägget Microsoft Defender för DevOps-containermappning automatiskt och installeras på alla anslutna Azure DevOps-organisationer. Med det här tillägget kan Defender för molnet extrahera metadata från pipelines, till exempel en containers sammanfattade ID och namn. Dessa metadata används för att ansluta DevOps-entiteter till deras relaterade molnresurser. Läs mer om containermappning.
Så här ansluter du din Azure DevOps-organisation till Defender för molnet med hjälp av en intern anslutningsapp:
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet> Miljöinställningar.
Välj Lägg till miljö.
Välj Azure DevOps.
Ange ett namn, en prenumeration, en resursgrupp och en region.
Prenumerationen är den plats där Microsoft Defender för molnet skapar och lagrar Azure DevOps-anslutningen.
Välj Nästa: Konfigurera åtkomst.
Välj Auktorisera. Se till att du auktoriserar rätt Azure-klientorganisation med hjälp av den nedrullningsbara menyn i Azure DevOps och genom att kontrollera att du är i rätt Azure-klientorganisation i Defender för molnet.
I popup-dialogrutan läser du listan över behörighetsbegäranden och väljer sedan Acceptera.
För Organisationer väljer du något av följande alternativ:
- Välj alla befintliga organisationer för att identifiera alla projekt och lagringsplatser automatiskt i organisationer som du för närvarande är administratör för projektsamling i.
- Välj alla befintliga och framtida organisationer för att identifiera alla projekt och lagringsplatser automatiskt i alla aktuella och framtida organisationer som du är administratör för projektsamling i.
Kommentar
Programåtkomst från tredje part via OAuth måste anges till
Onpå för varje Azure DevOps-organisation. Läs mer om OAuth och hur du aktiverar det i dina organisationer.Eftersom Azure DevOps-lagringsplatser registreras utan extra kostnad tillämpas automatisk upptäckt i hela organisationen för att säkerställa att Defender för molnet kan utvärdera säkerhetsstatusen och svara på säkerhetshot i hela DevOps-ekosystemet. Organisationer kan senare läggas till och tas bort manuellt via Microsoft Defender för molnet> Miljöinställningar.
Välj Nästa: Granska och generera.
Granska informationen och välj sedan Skapa.
Kommentar
För att säkerställa rätt funktioner för avancerade DevOps-hållningsfunktioner i Defender för molnet kan endast en instans av en Azure DevOps-organisation registreras i Den Azure-klientorganisation som du skapar en anslutningsapp i.
Vid lyckad registrering kommer DevOps-resurser (t.ex. lagringsplatser, versioner) att finnas på säkerhetssidorna Inventering och DevOps. Det kan ta upp till 8 timmar innan resurser visas. Rekommendationer för säkerhetsgenomsökning kan kräva ytterligare ett steg för att konfigurera dina pipelines. Uppdateringsintervallen för säkerhetsresultat varierar beroende på rekommendation och information finns på sidan Rekommendationer.