你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:将 GitHub 环境连接到 Microsoft Defender for Cloud

  • 项目

在本快速入门中,你将在 Microsoft Defender for Cloud 中的“环境设置”页上连接 GitHub 组织。 本页提供了一个简单的加入体验,用于自动发现你的 GitHub 存储库。

将 GitHub 组织连接到 Defender for Cloud 后,可将 Defender for Cloud 的安全功能扩展到 GitHub 资源。 这些功能包括:

  • 基础云安全态势管理 (CSPM) 功能:可以通过特定于 GitHub 的安全建议来评估 GitHub 安全态势。 还可以了解所有针对 GitHub 的建议资源。

  • Defender CSPM 功能:Defender CSPM 客户将收到区分云上下文的攻击路径、风险评估和见解代码,以识别可由攻击者用来入侵其环境的最关键弱点。 连接 GitHub 存储库后,你可以将云工作负载上的 DevOps 安全检测结果上下文化,并识别问题起源供开发人员及时修正。 有关详细信息,请参阅识别和分析环境中的风险

先决条件

若要完成本快速入门,你需要:

  • 已加入 Defender for Cloud 的 Azure 帐户。 如果还没有 Azure 帐户,请免费创建一个帐户

  • 启用了 GitHub Advanced Security 的 GitHub Enterprise,用于对 GitHub 存储库中的机密、依赖项、IaC 不当配置和代码质量分析进行态势评估。

可用性

方面 详细信息
发布状态: 正式发布。
定价: 有关定价,请参阅 Defender for Cloud 定价页面
所需的权限: 有权登录到 Azure 门户的帐户管理员。
具有参与者角色,可以在 Azure 订阅上创建连接器。
在 GitHub 中具有组织所有者角色。
GitHub 的受支持的版本: GitHub 免费版、专业版、团队版和企业云版
区域和可用性: 有关区域支持和功能可用性,请参阅支持和先决条件部分。
云: 商用
国家/地区(Azure 政府、由世纪互联运营的 Microsoft Azure)

注意

可以在资源组/GitHub 连接器范围应用安全读取者角色,以避免在订阅级别设置高特权来对 DevOps 安全态势评估进行读取访问。

连接 GitHub 帐户

要将 GitHub 帐户连接到 Microsoft Defender for Cloud,请执行以下操作:

  1. 登录到 Azure 门户

  2. 转至“Microsoft Defender for Cloud”>“环境设置”。

  3. 选择“添加环境”。

  4. 选择“GitHub”。

    屏幕截图显示了用于将 GitHub 添加为连接器的选项。

  5. 输入一个名称(上限为 20 个字符),然后选择你的订阅、资源组和区域。

    订阅是 Defender for Cloud 创建和存储 GitHub 连接的位置。

  6. 选择“下一步: 选择计划”。 为 GitHub 连接器配置 Defender CSPM 计划状态。 详细了解 Defender CSPM,并查看高级 DevOps 安全功能的支持和先决条件部分。

    屏幕截图显示 DevOps 连接器的计划选择。

  7. 选择“下一步: 配置访问权限”。

  8. 选择“授权”以授予 Azure 订阅访问 GitHub 存储库的权限。 如有必要,请使用对要保护的存储库具有权限的帐户进行登录。

    授权后,如果安装 DevOps 安全 GitHub 应用程序的等待时间过长,会话将超时,并收到一条错误消息。

  9. 选择“安装” 。

  10. 选择要安装 GitHub 应用程序的组织。 建议授予对所有存储库的访问权限,以确保 Defender for Cloud 能够保护整个 GitHub 环境。

    此步骤将授予 Defender for Cloud 对所选组织的访问权限。

  11. 对于“组织”,请选择以下项之一:

    • 选择“所有现有组织”以自动发现安装了 DevOps 安全 GitHub 应用程序的 GitHub 组织中所有存储库。
    • 选择“所有现有组织和未来组织”以自动发现安装了 DevOps 安全 GitHub 应用程序的 GitHub 组织以及安装了 DevOps 安全 GitHub 应用程序的未来组织中的所有存储库。

  12. 选择“下一步: 审阅并生成”。

  13. 选择创建

该过程完成后,GitHub 连接器将显示在“环境设置”页上。

显示“环境设置”页的屏幕截图,其中已连接 GitHub 连接器。

Defender for Cloud 服务会自动发现安装了 DevOps 安全 GitHub 应用程序的组织。

注意

为了确保 Defender for Cloud 中高级 DevOps 态势功能正常运行,只能将 GitHub 组织的一个实例加入你要在其中创建连接器的 Azure 租户。

成功加入后,DevOps 资源(例如存储库、内部版本)将出现在清单和 DevOps 安全性页面中。 可能需要长达 8 小时才能显示资源。 安全扫描建议可能需要执行额外的步骤来配置管道。 安全结果的刷新间隔因建议而异,详细信息可以在“建议”页面上找到。

后续步骤