你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
快速入门:将 GitHub 环境连接到 Microsoft Defender for Cloud
在本快速入门中,你将在 Microsoft Defender for Cloud 中的“环境设置”页上连接 GitHub 组织。 本页提供了一个简单的加入体验,用于自动发现你的 GitHub 存储库。
将 GitHub 组织连接到 Defender for Cloud 后,可将 Defender for Cloud 的安全功能扩展到 GitHub 资源。 这些功能包括:
基础云安全态势管理 (CSPM) 功能:可以通过特定于 GitHub 的安全建议来评估 GitHub 安全态势。 还可以了解所有针对 GitHub 的建议资源。
Defender CSPM 功能:Defender CSPM 客户将收到区分云上下文的攻击路径、风险评估和见解代码,以识别可由攻击者用来入侵其环境的最关键弱点。 连接 GitHub 存储库后,你可以将云工作负载上的 DevOps 安全检测结果上下文化,并识别问题起源供开发人员及时修正。 有关详细信息,请参阅识别和分析环境中的风险。
先决条件
若要完成本快速入门,你需要:
已加入 Defender for Cloud 的 Azure 帐户。 如果还没有 Azure 帐户,请免费创建一个帐户。
启用了 GitHub Advanced Security 的 GitHub Enterprise,用于对 GitHub 存储库中的机密、依赖项、IaC 不当配置和代码质量分析进行态势评估。
可用性
方面 | 详细信息 |
---|---|
发布状态: | 正式发布。 |
定价: | 有关定价,请参阅 Defender for Cloud 定价页面 |
所需的权限: | 有权登录到 Azure 门户的帐户管理员。 具有参与者角色,可以在 Azure 订阅上创建连接器。 在 GitHub 中具有组织所有者角色。 |
GitHub 的受支持的版本: | GitHub 免费版、专业版、团队版和企业云版 |
区域和可用性: | 有关区域支持和功能可用性,请参阅支持和先决条件部分。 |
云: | 商用 国家/地区(Azure 政府、由世纪互联运营的 Microsoft Azure) |
注意
可以在资源组/GitHub 连接器范围应用安全读取者角色,以避免在订阅级别设置高特权来对 DevOps 安全态势评估进行读取访问。
连接 GitHub 帐户
要将 GitHub 帐户连接到 Microsoft Defender for Cloud,请执行以下操作:
登录到 Azure 门户。
转至“Microsoft Defender for Cloud”>“环境设置”。
选择“添加环境”。
选择“GitHub”。
输入一个名称(上限为 20 个字符),然后选择你的订阅、资源组和区域。
订阅是 Defender for Cloud 创建和存储 GitHub 连接的位置。
选择“下一步: 选择计划”。 为 GitHub 连接器配置 Defender CSPM 计划状态。 详细了解 Defender CSPM,并查看高级 DevOps 安全功能的支持和先决条件部分。
选择“下一步: 配置访问权限”。
选择“授权”以授予 Azure 订阅访问 GitHub 存储库的权限。 如有必要,请使用对要保护的存储库具有权限的帐户进行登录。
授权后,如果安装 DevOps 安全 GitHub 应用程序的等待时间过长,会话将超时,并收到一条错误消息。
选择“安装” 。
选择要安装 GitHub 应用程序的组织。 建议授予对所有存储库的访问权限,以确保 Defender for Cloud 能够保护整个 GitHub 环境。
此步骤将授予 Defender for Cloud 对所选组织的访问权限。
对于“组织”,请选择以下项之一:
- 选择“所有现有组织”以自动发现安装了 DevOps 安全 GitHub 应用程序的 GitHub 组织中所有存储库。
- 选择“所有现有组织和未来组织”以自动发现安装了 DevOps 安全 GitHub 应用程序的 GitHub 组织以及安装了 DevOps 安全 GitHub 应用程序的未来组织中的所有存储库。
选择“下一步: 审阅并生成”。
选择创建。
该过程完成后,GitHub 连接器将显示在“环境设置”页上。
Defender for Cloud 服务会自动发现安装了 DevOps 安全 GitHub 应用程序的组织。
注意
为了确保 Defender for Cloud 中高级 DevOps 态势功能正常运行,只能将 GitHub 组织的一个实例加入你要在其中创建连接器的 Azure 租户。
成功加入后,DevOps 资源(例如存储库、内部版本)将出现在清单和 DevOps 安全性页面中。 可能需要长达 8 小时才能显示资源。 安全扫描建议可能需要执行额外的步骤来配置管道。 安全结果的刷新间隔因建议而异,详细信息可以在“建议”页面上找到。