Como o Defender for Cloud Apps ajuda a proteger seu ambiente GitHub Enterprise

O GitHub Enterprise Cloud é um serviço que ajuda as organizações a armazenar e gerenciar seu código, bem como rastrear e controlar alterações em seu código. Juntamente com os benefícios de criar e dimensionar repositórios de código na nuvem, os ativos mais críticos da sua organização podem estar expostos a ameaças. Os ativos expostos incluem repositórios com informações potencialmente confidenciais, detalhes de colaboração e parceria e muito mais. Evitar a exposição desses dados requer monitoramento contínuo para evitar que atores mal-intencionados ou pessoas internas inconscientes da segurança exfiltrem informações confidenciais.

Conectar o GitHub Enterprise Cloud ao Defender for Cloud Apps oferece informações aprimoradas sobre as atividades de seus usuários e fornece deteção de ameaças para comportamento anômalo.

Use este conector de aplicativo para acessar os recursos do SaaS Security Posture Management (SSPM), por meio de controles de segurança refletidos no Microsoft Secure Score. Mais informações.

Principais ameaças

• Contas comprometidas e ameaças internas
• Fuga de dados
• Insuficiente sensibilização para a segurança
• Não gerenciado traga seu próprio dispositivo (BYOD)

Como o Defender for Cloud Apps ajuda a proteger seu ambiente

• Detete ameaças na nuvem, contas comprometidas e insiders mal-intencionados
• Utilizar a pista de auditoria das atividades para investigações forenses

Gestão da postura de segurança SaaS

Para ver recomendações de postura de segurança para o GitHub no Microsoft Secure Score, crie um conector de API por meio da guia Conectores, com permissões Proprietário e Empresa. Em Pontuação segura, selecione Ações recomendadas e filtre por produto = GitHub.

Por exemplo, as recomendações para o GitHub incluem:

• Habilitar autenticação multifator (MFA)
• Habilitar logon único (SSO)
• Desativar 'Permitir que os membros alterem as visibilidades do repositório para esta organização'
• Desativar 'membros com permissões de administrador para repositórios podem excluir ou transferir repositórios'

Se já existir um conector e você ainda não vir as recomendações do GitHub, atualize a conexão desconectando o conector da API e reconectando-o com as permissões Owner e Enterprise .

Para obter mais informações, consulte:

• Gerenciamento de postura de segurança para aplicativos SaaS
• Classificação de Segurança da Microsoft

Proteja o GitHub em tempo real

Reveja as nossas melhores práticas para proteger e colaborar com utilizadores externos.

Conectar o GitHub Enterprise Cloud ao Microsoft Defender for Cloud Apps

Esta seção fornece instruções para conectar o Microsoft Defender for Cloud Apps à sua organização existente do GitHub Enterprise Cloud usando as APIs do App Connector. Essa conexão oferece visibilidade e controle sobre o uso do GitHub Enterprise Cloud da sua organização. Para obter mais informações sobre como o Defender for Cloud Apps protege o GitHub Enterprise Cloud, consulte Protect GitHub Enterprise.

Use este conector de aplicativo para acessar os recursos do SaaS Security Posture Management (SSPM), por meio de controles de segurança refletidos no Microsoft Secure Score. Mais informações.

Pré-requisitos

• Sua organização deve ter uma licença do GitHub Enterprise Cloud.
• A conta do GitHub usada para se conectar ao Defender for Cloud Apps deve ter permissões de Proprietário para sua organização.
• Para recursos do SSPM, a conta fornecida deve ser o proprietário da conta corporativa.
• Para verificar os proprietários da sua organização, navegue até a página da sua organização, selecione Pessoas e filtre por Proprietário.

Verifique seus domínios do GitHub

A verificação dos seus domínios é opcional. No entanto, é altamente recomendável que você verifique seus domínios para que o Defender for Cloud Apps possa corresponder os emails de domínio dos membros da sua organização do GitHub ao usuário correspondente do Azure Ative Directory.

Essas etapas podem ser concluídas independentemente das etapas Configurar o GitHub Enterprise Cloud e podem ser ignoradas se você já tiver verificado seus domínios.

1. Atualize sua organização para os Termos de Serviço Corporativos.

2. Verifique os domínios da sua organização.

   Nota

   Certifique-se de verificar cada um dos domínios gerenciados listados nas configurações do Defender for Cloud Apps. Para exibir seus domínios gerenciados, vá para o Portal do Microsoft Defender e selecione Configurações. Em seguida, escolha Cloud Apps. Em Sistema, escolha Detalhes organizacionais e vá para a seção Domínios gerenciados .

Configurar o GitHub Enterprise Cloud

1. Encontre o nome de login da sua organização. No GitHub, navegue até a página da sua organização e, a partir do URL, anote o nome de login da sua organização, você precisará dele mais tarde.

   Nota

   A página terá um URL como https://github.com/<your-organization>. Por exemplo, se a página da sua organização for https://github.com/sample-organization, o nome de login da organização será sample-organization.

   

2. Crie um aplicativo OAuth para Defender for Cloud Apps para conectar sua organização do GitHub. Repita esta etapa para cada organização conectada adicional.

   Nota

   Se você tiver os recursos de visualização e a governança de aplicativos ativados, use a página Governança de aplicativos em vez da página de aplicativos OAuth para executar este procedimento.

3. Navegue até Configurações>Configurações do desenvolvedor, selecione Aplicativos OAuth e selecione Registrar um aplicativo. Como alternativa, se você tiver aplicativos OAuth existentes, selecione Novo aplicativo OAuth.

   

4. Preencha os detalhes do aplicativo Registrar um novo aplicativo OAuth e selecione Registrar aplicativo.

   • Na caixa Nome do aplicativo , digite um nome para o aplicativo.
   • Na caixa URL da página inicial , insira o URL da página inicial do aplicativo.
   • Na caixa URL de retorno de chamada de autorização, digite o seguinte valor: https://portal.cloudappsecurity.com/api/oauth/connect.

   Nota

   • Para clientes do GCC do governo dos EUA, insira o seguinte valor: https://portal.cloudappsecuritygov.com/api/oauth/connect
   • Para clientes do GCC High do governo dos EUA, insira o seguinte valor: https://portal.cloudappsecurity.us/api/oauth/connect

   

   Nota

   • Os aplicativos de propriedade de uma organização têm acesso aos aplicativos da organização. Para obter mais informações, consulte Sobre restrições de acesso ao aplicativo OAuth.

5. Navegue até Configurações>de Aplicativos OAuth, selecione o Aplicativo OAuth que você acabou de criar e anote sua ID do Cliente e Segredo do Cliente.

   

Configurar o Defender para aplicativos na nuvem

1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações.

2. Na página Conectores de aplicativos, selecione +Conectar um aplicativo, seguido pelo GitHub.

3. Na janela seguinte, dê ao conector um nome descritivo e selecione Avançar.

4. Na janela Inserir detalhes, preencha a ID do Cliente, o Segredo do Cliente e o Nome de Login da Organização que você anotou anteriormente.

   

   Para Enterprise slug, também conhecido como o nome da empresa, é necessário para dar suporte aos recursos do SSPM. Para encontrar a lesma Enterprise:

   1. Selecione a imagem do perfil do GitHub -> suas empresas.
   2. Selecione sua conta corporativa e escolha a conta que deseja conectar ao Microsoft Defender for Cloud Apps.
   3. Confirme se o URL é o slug da empresa. Por exemplo, neste exemplo https://github.com/enterprises/testEnterprise, testEnterprise é o slug da empresa.

5. Selecione Seguinte.

6. Selecione Conectar GitHub.

   A página de entrada do GitHub é aberta. Se necessário, insira suas credenciais de administrador do GitHub para permitir que o Defender for Cloud Apps acesse a instância do GitHub Enterprise Cloud da sua equipe.

7. Solicite acesso à organização e autorize o aplicativo a conceder ao Defender for Cloud Apps acesso à sua organização do GitHub. O Defender for Cloud Apps requer os seguintes escopos OAuth:

   • admin:org - necessário para sincronizar o log de auditoria da sua organização
   • read:user and user:email - necessário para sincronizar os membros da sua organização
   • repo:status - necessário para sincronizar eventos relacionados ao repositório no log de auditoria
   • admin:enterprise - necessário para recursos do SSPM, Observe que o usuário fornecido deve ser o proprietário da conta enterprise.

   Para obter mais informações sobre escopos OAuth, consulte Noções básicas sobre escopos para aplicativos OAuth.

   

   De volta ao console do Defender for Cloud Apps, você receberá uma mensagem informando que o GitHub foi conectado com êxito.

8. Trabalhe com o proprietário da organização do GitHub para conceder à organização acesso ao aplicativo OAuth criado nas configurações de acesso de terceiros do GitHub. Para obter mais informações, consulte a documentação do GitHub.

   O proprietário da organização encontrará a solicitação do aplicativo OAuth somente depois de conectar o GitHub ao Defender for Cloud Apps.

9. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações. Verifique se o status do App Connector conectado é Conectado.

Depois de conectar o GitHub Enterprise Cloud, você receberá eventos por 7 dias antes da conexão.

Se você tiver problemas para conectar o aplicativo, consulte Solução de problemas de conectores de aplicativos.

Próximos passos

Controlar as aplicações na cloud com políticas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.