GitHub Enterprise Cloud 是一項服務,幫助組織儲存和管理程式碼,並追蹤及控制程式碼變更。 除了在雲端建置與擴展程式碼庫的好處外,您組織最關鍵的資產也可能面臨威脅。 暴露資產包括可能敏感資訊、協作與合作夥伴細節等資料庫。 防止這些資料外洩需要持續監控,以防止惡意行為者或不懂安全的內部人員外洩敏感資訊。
將 GitHub Enterprise Cloud 連接到 Defender for Cloud Apps,能讓你更深入了解使用者的活動,並能偵測異常行為的威脅。
使用此應用程式連接器可透過安全控制 (安全分數中反映的安全控制,存取 SaaS 安全態勢管理 SSPM) 功能Microsoft。 深入了解。
主要威脅
- 帳號被入侵與內部威脅
- 資料外洩
- 安全意識不足
- 非管理型,自帶裝置 (自帶裝置)
Defender for Cloud Apps 如何幫助保護您的環境
SaaS 安全態勢管理
若要在 Microsoft Secure Score 中查看 GitHub 的安全態勢建議,請透過 Connectors 標籤建立 API 連接器,並設定 擁有者 權限與 企業 權限。 在 Secure Score 中,選擇「推薦行動」並依產品 = 篩選GitHub。
例如,GitHub 的推薦包括:
- 啟用多重驗證 (MFA)
- 啟用單一登入 (SSO)
- 關閉「允許成員更改本組織的儲存庫可見性」
- 關閉「擁有管理員權限的成員可刪除或轉移倉庫」
如果已經有連接器存在,但你還沒看到 GitHub 推薦,請先斷開 API 連接器,然後用 擁有者 和 企業 權限重新連接連接。
如需詳細資訊,請參閱:
即時保護 GitHub
請檢視我們關於 確保與與賓客合作的最佳實務。
Connect GitHub Enterprise Cloud to Microsoft Defender for Cloud Apps
本節提供使用 App Connector API 將 Microsoft Defender for Cloud Apps 與現有 GitHub Enterprise Cloud 組織連接的說明。 這個連結讓你能看到並掌控組織在 GitHub Enterprise Cloud 的使用情況。 欲了解更多關於 Defender for Cloud Apps 如何保護 GitHub Enterprise Cloud 的資訊,請參見 Protect GitHub Enterprise。
使用此應用程式連接器可透過安全控制 (安全分數中反映的安全控制,存取 SaaS 安全態勢管理 SSPM) 功能Microsoft。 深入了解。
必要條件
- 您的組織必須擁有 GitHub Enterprise Cloud 授權。
- 用於連接 Defender for Cloud Apps 的 GitHub 帳號必須擁有組織的擁有者權限。
- SSPM 功能必須是企業帳戶的擁有者。
- 要確認你組織的擁有者,請瀏覽你組織的頁面,選擇人員,然後依擁有者篩選。
驗證你的 GitHub 網域
驗證你的網域是可選的。 我們建議你驗證你的網域,這樣 Defender for Cloud Apps 才能將你 GitHub 組織成員的網域電子郵件與其對應的 Azure Active Directory 使用者進行匹配。
這些步驟獨立於 配置 GitHub Enterprise Cloud 步驟,若你的網域已驗證,可以跳過。
將您的組織升級為企業 服務條款。
驗證你組織的網域。
注意事項
務必驗證你 Defender for Cloud Apps 設定中列出的每個受管理網域。 受管理網域列於 Microsoft Defender 入口網站的設定>、雲端應用程式>>系統、組織細節>、受管理網域。
配置 GitHub Enterprise Cloud
複製你組織的登入名稱。 以便後續步驟使用。
注意事項
該頁面會有像
https://github.com/<your-organization>. 這樣的網址。 例如,如果你的組織頁面是https://github.com/sample-organization,該組織的登入名稱是 sample-organization。為 Defender for Cloud Apps 建立 OAuth 應用程式,連結你的 GitHub 組織。
填寫 「註冊新 OAuth 應用程式 」的資訊,然後選擇 「註冊申請」。
- 在 應用程式名稱 框中,輸入應用程式名稱。
- 在 首頁網址 框中,輸入該應用程式首頁的網址。
- 在授權回 調網址 框中,輸入以下值:
https://portal.cloudappsecurity.com/api/oauth/connect。
注意事項
對於美國政府GCC客戶,請輸入以下數值:
https://portal.cloudappsecuritygov.com/api/oauth/connect對於美國政府GCC High客戶,請輸入以下數值:
https://portal.cloudappsecurity.us/api/oauth/connect組織擁有的應用程式可以存取該組織的應用程式。 欲了解更多資訊,請參閱 關於 OAuth App 存取限制。
選擇你建立的 OAuth 應用程式,複製 客戶端 ID 和 客戶端秘密。
Configure Defender for Cloud Apps
在 Microsoft Defender 入口網站中,選擇設定。 然後選擇 雲端應用程式。 在 已連接的應用程式中,選擇 應用程式連接器。
在 應用程式連接器 頁面,選擇 +Connect a 應用程式,接著是 GitHub。
在下一個視窗中,給連接器一個描述性名稱,然後選擇 「下一步」。
在 「輸入詳情 」視窗中,填寫你之前記下的 客戶端 ID、 客戶端秘密和 組織登入名稱 。
Enterprise slug,也稱為企業名稱,是為了支援 SSPM 功能所必需的。 要找到 企業號的蛞蝓:
- 選擇 GitHub 個人頭像 ->你的企業。
- 選擇您的企業帳號,並選擇您想連接至 Microsoft Defender for Cloud Apps 的帳號。
- 確認網址包含企業級的 slug。 例如,
https://github.com/enterprises/testEnterprise - 只需輸入企業級的 slug,而非整個網址。 在這個例子中, testEnterprise 就是企業的 slug。
選擇 連結 GitHub。
如有需要,輸入你的 GitHub 管理員憑證,允許 Defender for Cloud Apps 存取你團隊的 GitHub Enterprise Cloud 實例。
請求組織存取權並授權該應用程式授權 Defender for Cloud Apps 存取您的 GitHub 組織。 Defender for Cloud Apps 需要以下 OAuth 範圍:
- admin:org - 用於同步組織稽核日誌的必要功能
- read:user 與 user:email - 用於同步組織成員
- Repo:status - 用於同步審計日誌中儲存庫相關事件的必要條件
- 讀:企業 級——SSPM 功能所必需。 所提供的使用者必須是企業帳號的擁有者。
欲了解更多關於 OAuth 範圍的資訊,請參閱「理解 OAuth 應用程式的範圍」。
回到 Defender for Cloud Apps 主控台,你應該會收到 GitHub 成功連接的訊息。
與你的 GitHub 組織擁有者合作,授權組織存取在 GitHub 第三方存取 設定下建立的 OAuth 應用程式。 更多資訊請參閱 GitHub 文件。
組織擁有者只有在將 GitHub 連接到 Defender for Cloud Apps 後,才能找到來自 OAuth 應用程式的請求。
在 Microsoft Defender 入口網站中,選擇設定。 然後選擇 雲端應用程式。 在 已連接的應用程式中,選擇 應用程式連接器。 請確認已連接的應用程式連接器狀態為 「已連接」。
連接 GitHub Enterprise Cloud 後,您將在連接前 7 天收到活動。
後續步驟
如果你遇到連接應用程式的問題,請參考「 應用程式連接器故障排除」。