適用於雲端的 Defender 應用程式如何協助保護您的 GitHub Enterprise 環境

發行項
03/18/2024

GitHub Enterprise Cloud 是一項服務，可協助組織儲存和管理其程式代碼，以及追蹤和控制其程式代碼的變更。除了在雲端中建置和調整程式代碼存放庫的優點外，貴組織最重要的資產可能會暴露在威脅面前。公開的資產包括具有潛在敏感性資訊的存放庫、共同作業和合作關係詳細數據等等。防止暴露此數據需要持續監視，以防止任何惡意執行者或安全性未察覺內部人員外洩敏感性資訊。

連線 GitHub Enterprise Cloud 適用於雲端的 Defender Apps 可讓您改善用戶活動的深入解析，並提供異常行為的威脅偵測。

使用此應用程式連接器可透過 Microsoft 安全分數中反映的安全性控制，存取 SaaS 安全性狀態管理（SSPM）功能。深入了解。

主要威脅

遭入侵的帳戶和內部威脅
數據外洩
安全性感知不足
非受控攜帶您自己的裝置（BYOD）

適用於雲端的 Defender 應用程式如何協助保護您的環境

SaaS 安全性狀態管理

若要查看 Microsoft 安全分數中 GitHub 的安全性狀態建議，請使用擁有者和企業許可權，透過 [連線 ors] 索引卷標建立 API 連接器。在 [安全分數] 中，選取 [建議動作]，然後依產品 = GitHub 進行篩選。

例如，GitHub 的建議包括：

開啟多重要素驗證（MFA）
開啟單一登入（SSO）
停用 [允許成員變更此組織的存放庫可見性]
停用具有存放庫系統管理員許可權的成員可以刪除或傳輸存放庫'

如果連接器已經存在，但您尚未看到 GitHub 建議，請中斷 API 連接器的連線，然後以擁有者和企業許可權重新連線連線。

如需詳細資訊，請參閱

實時保護 GitHub

檢閱我們的最佳做法，以保護與外部使用者共同作業。

連線 GitHub Enterprise Cloud 適用於雲端的 Microsoft Defender Apps

本節提供使用應用程式連線或 API 將適用於雲端的 Microsoft Defender Apps 連線到現有 GitHub Enterprise Cloud 組織的指示。此連線可讓您檢視及控制組織的 GitHub Enterprise Cloud 使用方式。如需適用於雲端的 Defender 應用程式如何保護 GitHub Enterprise Cloud 的詳細資訊，請參閱保護 GitHub Enterprise。

使用此應用程式連接器可透過 Microsoft 安全分數中反映的安全性控制，存取 SaaS 安全性狀態管理（SSPM）功能。深入了解。

必要條件

您的組織必須擁有 GitHub Enterprise Cloud 授權。
用來連線到適用於雲端的 Defender Apps 的 GitHub 帳戶必須具有貴組織的擁有者許可權。
針對 SSPM 功能，提供的帳戶必須是企業帳戶的擁有者。
若要確認組織的擁有者，請流覽至組織的頁面，選取 [人員]，然後依 [擁有者] 進行篩選。

確認您的 GitHub 網域

確認您的網域是選擇性的。不過，強烈建議您確認網域，讓適用於雲端的 Defender 應用程式可以比對 GitHub 組織成員的網域電子郵件與其對應的 Azure Active Directory 使用者。

這些步驟可以獨立於設定 GitHub Enterprise Cloud 步驟完成，而且如果您已經驗證網域，則可以略過這些步驟。

將組織升級至公司服務條款。
確認組織的網域。

注意

請務必確認適用於雲端的 Defender Apps 設定中列出的每個受控網域。若要檢視受控網域，請移至 Microsoft Defender 入口網站，然後選取 [設定]。然後選擇 [ 雲端應用程式]。在 [系統] 下，選擇 [組織詳細數據]，然後移至 [受控網域] 區段。

設定 GitHub Enterprise Cloud

尋找組織的登入名稱。在 GitHub 中，流覽至貴組織的頁面，並從 URL 記下您的組織登入名稱，稍後您將需要它。

注意

頁面會有類似的 https://github.com/<your-organization>URL。例如，如果您的組織頁面是 https://github.com/sample-organization，則組織的登入名稱為 sample-organization。
建立適用於適用於雲端的 Defender Apps 的 OAuth 應用程式，以連線您的 GitHub 組織。 針對每個其他連線的組織重複此步驟。

注意

如果您已開啟預覽功能和應用程式控管，請使用 [應用程式控管] 頁面，而不是 OAuth 應用程式頁面來執行此程式。
流覽至 [設定> 開發人員設定]，選取 [OAuth 應用程式]，然後選取 [註冊應用程式]。 或者，如果您有現有的 OAuth 應用程式，請選取 [ 新增 OAuth 應用程式]。
填寫註冊 新的 OAuth 應用程式 詳細數據，然後選取 [ 註冊應用程式]。
- 在 [ 應用程式名稱] 方塊中，輸入應用程式的名稱。
- 在 [ 首頁 URL] 方塊中，輸入應用程式首頁的 URL。
- 在 [ 授權回呼 URL] 方塊中，輸入下列值： https://portal.cloudappsecurity.com/api/oauth/connect。
注意
- 針對美國政府 GCC 客戶，輸入下列值： https://portal.cloudappsecuritygov.com/api/oauth/connect
- 針對美國政府 GCC High 客戶，輸入下列值： https://portal.cloudappsecurity.us/api/oauth/connect
注意
- 組織擁有的應用程式可以存取組織的應用程式。如需詳細資訊，請參閱關於 OAuth 應用程式存取限制。
流覽至 [設定> OAuth Apps]，選取您剛才建立的 OAuth 應用程式，並記下其用戶端識別符和客戶端密碼。

設定適用於雲端的 Defender Apps

在 Microsoft Defender 入口網站中，選取 [設定]。然後選擇 [ 雲端應用程式]。在 連線的應用程式下，選取 [應用程式連線者]。
在 [應用程式連線程式] 頁面中，選取 [+連線應用程式]，後面接著 GitHub。
在下一個視窗中，為連接器提供描述性名稱，然後選取 [ 下一步]。
在 [ 輸入詳細數據] 視窗中，填寫 您稍早記下的 [用戶端標識符]、 [用戶端密碼] 和 [組織登入名稱 ]。

針對 Enterprise slug，也稱為企業名稱，需要支援 SSPM 功能。若要尋找 Enterprise slug：
1. 選取 GitHub 設定檔圖片 ->您的企業。
2. 選取您的企業帳戶，然後選擇您想要連線到適用於雲端的 Microsoft Defender Apps 的帳戶。
3. 確認 URL 是企業 slug。例如，在此範例 https://github.com/enterprises/testEnterprise中，testEnterprise 是企業 slug。
選取 [下一步]。
選取 [連線 GitHub]。

GitHub 登入頁面隨即開啟。如有必要，請輸入您的 GitHub 系統管理員認證，以允許適用於雲端的 Defender 應用程式存取您小組的 GitHub Enterprise Cloud 實例。
要求組織存取權，並授權應用程式授與適用於雲端的 Defender Apps 存取權給 GitHub 組織。適用於雲端的 Defender 應用程式需要下列 OAuth 範圍：
- admin：org - 同步處理貴組織的稽核記錄所需的
- read：user 和 user：email - 同步處理貴組織成員的必要專案
- 存放庫：status - 在稽核記錄中同步處理存放庫相關事件的必要專案
- admin：enterprise - SSPM 功能的必要專案，請注意，提供的用戶必須是企業帳戶的擁有者。
如需 OAuth 範圍的詳細資訊，請參閱瞭解 OAuth Apps 的範圍。

回到適用於雲端的 Defender Apps 控制台，您應該會收到 GitHub 已成功連線的訊息。
請與您的 GitHub 組織擁有者合作，將組織存取權授與在 GitHub 第三方存取 設定下建立的 OAuth 應用程式。如需詳細資訊，請參閱 GitHub 檔。

只有在將 GitHub 連線到適用於雲端的 Defender Apps 之後，組織擁有者才會從 OAuth 應用程式找到要求。
在 Microsoft Defender 入口網站中，選取 [設定]。然後選擇 [ 雲端應用程式]。在 [連線應用程式] 底下，選取 [應用程式連線者]。 請確定已連線的應用程式連線 or 的狀態已連線。

連線 GitHub Enterprise Cloud 之後，您會收到連線前 7 天的事件。

如果您在連線應用程式時發生任何問題，請參閱針對應用程式連線器進行疑難解答。

下一步

使用原則來控制雲端應用程式

如果您遇到任何問題，我們會在這裡提供説明。若要取得產品問題的協助或支援，請開啟支援票證。