将 GitHub 实验室环境连接到 Microsoft Defender for Cloud

已完成

将 GitHub 组织连接到 Defender for Cloud 后，可将 Defender for Cloud 的安全功能扩展到 GitHub 资源。 这些功能包括：

基础云安全态势管理 (CSPM) 功能：可以通过特定于 GitHub 的安全建议来评估 GitHub 安全态势。 还可以了解所有针对 GitHub 的建议资源。

Defender CSPM 功能：Defender CSPM 客户将收到区分云上下文的攻击路径、风险评估和见解代码，以识别可由攻击者用来入侵其环境的最关键弱点。 连接 GitHub 存储库后，你可以将云工作负载上的 DevOps 安全检测结果上下文化，并识别问题起源供开发人员及时修正。

先决条件

若要完成本快速入门，你需要：

• 已加入 Defender for Cloud 的 Azure 帐户。 如果还没有 Azure 帐户，请免费创建一个帐户。
• 启用了 GitHub Advanced Security 的 GitHub Enterprise，用于对 GitHub 存储库中的机密、依赖项、IaC 不当配置和代码质量分析进行态势评估。

注意

可以在资源组/GitHub 连接器范围应用安全读取者角色，以避免在订阅级别设置高特权来对 DevOps 安全态势评估进行读取访问。

连接 GitHub 帐户

要将 GitHub 帐户连接到 Microsoft Defender for Cloud，请执行以下操作：

1. 登录 Azure 门户。

2. 转至“Microsoft Defender for Cloud”>“环境设置”。

3. 选择“添加环境”。

4. 选择“GitHub”。

5. 输入名称（最多 20 个字符），然后选择订阅、资源组和区域。 订阅是 Defender for Cloud 创建和存储 GitHub 连接的位置。

6. 选择“下一步: 选择计划”。 为 GitHub 连接器配置 Defender CSPM 计划状态。

   

7. 选择“下一步”：“配置访问权限”。

8. 选择“授权”以授予 Azure 订阅访问 GitHub 存储库的权限。 如有必要，请使用对要保护的存储库具有权限的帐户进行登录。 授权后，如果安装 DevOps 安全 GitHub 应用程序的等待时间过长，会话将超时，并收到一条错误消息。

9. 选择“安装” 。

10. 选择要安装 GitHub 应用程序的组织。 建议授予对所有存储库的访问权限，以确保 Defender for Cloud 能够保护整个 GitHub 环境。 此步骤将授予 Defender for Cloud 对所选组织的访问权限。

11. 对于“组织”，请选择以下项之一：

    • 选择“所有现有组织”以自动发现安装了 DevOps 安全 GitHub 应用程序的 GitHub 组织中所有存储库。
    • 选择“所有现有组织和未来组织”以自动发现安装了 DevOps 安全 GitHub 应用程序的 GitHub 组织以及安装了 DevOps 安全 GitHub 应用程序的未来组织中的所有存储库。

12. 选择“下一步”：“审阅并生成”。

13. 选择“创建”。

    注意

    为了确保 Defender for Cloud 中高级 DevOps 态势功能正常运行，只能将 GitHub 组织的一个实例加入你要在其中创建连接器的 Azure 租户。