Krijg antwoorden op veelgestelde vragen over Microsoft DevOps Security.
Waarom krijg ik een fout tijdens het verbinding maken?
Wanneer u de knop Autoriseren selecteert, wordt het account waarmee u bent aangemeld, gebruikt. Dat account kan hetzelfde e-mailadres hebben, maar mogelijk een andere tenant hebben. Zorg ervoor dat u de juiste combinatie van account/tenant hebt geselecteerd in het pop-uptoestemmingsscherm en Visual Studio.
Waarom kan ik mijn Azure DevOps-opslagplaats niet vinden?
De Defender voor Cloud DevOps-beveiligings onboarding ondersteunt alleen het type opslagplaatsTfsGit. Het type opslagplaats TFSVC wordt momenteel niet ondersteund.
Zorg ervoor dat u uw opslagplaatsen hebt ge onboardd om te Microsoft Defender voor Cloud. Als u uw opslagplaats nog steeds niet ziet, controleert u of u bent aangemeld met het juiste gebruikersaccount van de Azure DevOps-organisatie. Uw Azure-abonnement en Azure DevOps-organisatie moeten zich in dezelfde tenant bevinden. Als de gebruiker voor de connector onjuist is, moet u de eerder gemaakte connector verwijderen, meldt u zich aan met het juiste gebruikersaccount en maakt u de connector opnieuw.
Waarom zie ik het gegenereerde SARIF-bestand niet in het pad dat ik heb gekozen om het neer te zetten?
Als u het SARIF-bestand niet in het verwachte pad ziet, hebt u mogelijk een ander droppad gekozen dan het CodeAnalysisLogs/msdo.sarif pad. Op dit moment moet u uw SARIF-bestanden verwijderen naar CodeAnalysisLogs/msdo.sarif.
Waarom zie ik de resultaten voor mijn Azure DevOps Projects niet in Microsoft Defender voor Cloud?
Wanneer u de klassieke pijplijnconfiguratie gebruikt, moet u ervoor zorgen dat u de naam van het artefact niet wijzigt. Dit kan ertoe leiden dat de resultaten voor uw project niet worden weergegeven. Meer informatie over het controleren van uw bevindingen.
Ik heb een DevOps-connector geïmplementeerd, waar vind ik mijn gerelateerde aanbevelingen?
U wordt aangeraden naar het deelvenster DevOps-beveiliging te navigeren om een overzicht te zien van uw DevOps-beveiligingspostuur. U kunt sorteren en filteren op de DevOps-resource die u belangrijk vindt om de details van de aanbeveling te bekijken.
U kunt de DevOps-werkmap ook gebruiken en aanpassen aan uw behoeften.
Welke informatie slaat het DevOps-beveiligingsproduct over mij en mijn onderneming op en waar worden de gegevens opgeslagen en verwerkt?
DevOps-beveiligingsfuncties maken verbinding met uw broncodebeheersysteem, bijvoorbeeld Azure DevOps, GitHub en/of GitLab, om een centrale console te bieden voor uw DevOps-resources en beveiligingspostuur. DevOps-beveiligingsfuncties verwerken en slaat de volgende informatie op:
Metagegevens op uw verbonden broncodebeheersystemen en bijbehorende opslagplaatsen. Deze gegevens omvatten gebruikers-, organisatie- en verificatiegegevens.
Scan resultaten voor aanbevelingen en details.
DevOps-beveiligingsfuncties maken deel uit van Microsoft Defender voor Cloud. Raadpleeg de volgende richtlijnen voor gegevenslocatie en eu-gegevensgrensgegevens, zoals deze betrekking hebben op de Microsoft Defender voor Cloud-service.
DevOps-beveiliging verwerkt of slaat uw code-, build- en auditlogboeken momenteel niet op, maar kan in de toekomst mogelijk worden uitgebreid naarmate de mogelijkheden ervan worden uitgebreid.
Meer informatie over de privacyverklaring van Microsoft.
Waarom zijn schrijfmachtigingen vereist voor werkitems, build, code, service hooks en geavanceerde beveiliging voor mijn Azure DevOps-connector?
Deze machtigingen zijn vereist voor bepaalde DevOps-beveiligingsfuncties, zoals aantekeningen bij pull-aanvragen, om te kunnen werken.
Is de aanbevelingsvrijstellingsmogelijkheid beschikbaar en bijgehouden voor het beheer van beveiligingsproblemen van toepassingen?
Uitzonderingen zijn momenteel niet beschikbaar voor DevOps-beveiligingsaanvelingen binnen Microsoft Defender voor Cloud.
Waarom kan ik de resultaten van GitHub Advanced Security for Azure Devops (GHAzDO) niet zien in Defender voor Cloud?
Controleer of uw connectors juist zijn geautoriseerd.
Zorg ervoor dat u dezelfde abonnements-id gebruikt voor GHAzDO en Defender voor Cloud. Als u de resultaten nog steeds niet kunt zien, kan het probleem worden veroorzaakt door uw ADO-connector die niet het benodigde bereik heeft. DevOps-beveiliging heeft in juni nieuwe bereiken geïntroduceerd voor Azure DevOps-connectors. Als u de connector vóór juni hebt gemaakt en deze nog niet hebt bijgewerkt, kunt u geen GHAzDO-resultaten zien vanwege ontbrekend bereik op de connector. U moet een nieuwe ADO-connector maken, die automatisch de nieuwe bereiken bevat.
Zorg ervoor dat de gebruikersmachtigingen voor Microsoft Defender voor DevOps zijn ingesteld Advanced Security: view alerts op ReadAllow. Deze machtigingen zijn mogelijk gewijzigd als de wisselknop Overname is uitgeschakeld. Als de benodigde machtigingen zijn ingesteld op Not set ofDeny, moeten ze handmatig worden bijgewerkt naar Allow anders worden de GHAzDO-bevindingen niet weergegeven in Defender voor Cloud aanbevelingen.
Is doorlopend, automatisch scannen beschikbaar?
Op dit moment wordt scannen uitgevoerd tijdens de build.
Waarom kan ik geen aantekeningen voor pull-aanvragen configureren?
Zorg ervoor dat u schrijftoegang (eigenaar/inzender) tot het abonnement hebt. Als u dit type toegang vandaag nog niet hebt, kunt u deze krijgen door een Microsoft Entra-rol in PIM te activeren.
Welke programmeertalen worden ondersteund door DevOps-beveiligingsfuncties?
De volgende talen worden ondersteund door DevOps-beveiligingsfuncties:
- Python
- Javascript
- TypeScript
Zie hier voor een lijst met talen die worden ondersteund door GitHub Advanced Security.
Kan ik de connector migreren naar een andere regio?
Kan ik de connector bijvoorbeeld migreren van de regio VS - centraal naar de regio Europa - west?
Op dit moment wordt automatische migratie voor devOps-beveiligingsconnectors van de ene regio naar de andere niet ondersteund.
Als u de locatie van een DevOps-connector naar een andere regio wilt verplaatsen, is het raadzaam om de bestaande connector te verwijderen en vervolgens de connector opnieuw te maken in de nieuwe regio.
Tellen API-aanroepen van Defender voor Cloud mee voor mijn verbruikslimiet?
Ja, API-aanroepen die door Defender voor Cloud worden gedaan, tellen mee tegen de limiet voor het globale verbruik van Azure DevOps. Defender voor Cloud roept namens de gebruiker die de connector onboardt aan.
Waarom is mijn organisatielijst leeg in de gebruikersinterface?
Als uw organisatielijst leeg is in de gebruikersinterface nadat u een Azure DevOps-connector hebt toegevoegd, moet u ervoor zorgen dat de organisatie in Azure DevOps is verbonden met de Azure-tenant met de gebruiker die de connector heeft geverifieerd.
Raadpleeg de DevOps-handleiding voor het oplossen van problemen voor informatie over het oplossen van dit probleem.
Ik heb een grote Azure DevOps-organisatie met veel opslagplaatsen. Kan ik nog steeds onboarden?
Ja, er is geen limiet voor het aantal Azure DevOps-opslagplaatsen dat u kunt onboarden voor DevOps-beveiligingsmogelijkheden.
Er zijn echter twee belangrijke gevolgen bij het onboarden van grote organisaties: snelheid en beperking. De snelheid van detectie voor uw DevOps-opslagplaatsen wordt bepaald door het aantal projecten voor elke connector (ongeveer 100 projecten per uur). Beperking kan optreden omdat Azure DevOps-API-aanroepen een globale frequentielimiet hebben en we de aanroepen voor projectdetectie beperken om een klein deel van de totale quotumlimieten te gebruiken.
Overweeg het gebruik van een alternatieve Azure DevOps-identiteit (een organisatie-Beheer istrator-account dat wordt gebruikt als een serviceaccount) om te voorkomen dat afzonderlijke accounts worden beperkt bij het onboarden van grote organisaties. Hieronder volgen enkele scenario's waarin u een alternatieve identiteit kunt gebruiken om een DevOps-beveiligingsconnector te onboarden:
- Groot aantal Azure DevOps-organisaties en -projecten (circa 500 projecten of meer).
- Groot aantal gelijktijdige builds die pieken tijdens werkuren.
- Geautoriseerde gebruiker is een Power Platform-gebruiker die extra Azure DevOps API-aanroepen doet, met behulp van de globale quota voor frequentielimieten.
Nadat u de Azure DevOps-opslagplaatsen hebt ge onboardd met dit account en de Microsoft Security DevOps Azure DevOps-extensie in uw CI/CD-pijplijn hebt geconfigureerd en uitgevoerd, worden de scanresultaten bijna onmiddellijk weergegeven in Microsoft Defender voor Cloud.