Defender for Cloud 应用如何帮助保护你的 GitHub Enterprise 环境

项目
03/19/2024

GitHub Enterprise Cloud 是一项服务，可帮助组织存储和管理其代码，以及跟踪和控制对其代码的更改。除了在云中构建和扩展代码存储库的好处外，组织最重要的资产可能暴露在威胁中。暴露的资产包括包含潜在敏感信息、协作和伙伴关系详细信息等内容的存储库。要防止这些数据泄露，需要持续监视，以防止任何恶意行为者或不了解安全的内部人员窃取敏感信息。

将 GitHub Enterprise Cloud 连接到 Defender for Cloud Apps，你就能更好地了解用户活动，并提供针对异常行为的威胁检测。

使用此应用连接器，可以通过 Microsoft 安全功能分数中反映的安全控制，访问 SaaS 安全状况管理 (SSPM) 功能。了解详细信息。

主要威胁

帐户被盗用和内部威胁
数据泄露
安全意识不足
非管理的自带设备办公 (BYOD)

Defender for Cloud Apps 如何保护你的环境

SaaS 安全状况管理

要在 Microsoft 安全功能分数中查看针对 GitHub 的安全状况建议，请通过连接器选项卡创建 API 连接器，并具有所有者和企业权限。在“安全功能分数”中，选择建议的操作，并按产品 = GitHub 进行筛选。

例如，针对 GitHub 的建议包括：

启用多重身份验证 (MFA)
启用单一登录 (SSO)
禁用“允许成员更改此组织的存储库可见性”
禁用“具有存储库管理员权限的成员可以删除或转移存储库”

如果连接器已经存在，并且你还没有看到 GitHub 建议，请通过断开 API 连接器来刷新连接，然后使用所有者和企业权限重新连接。

有关详细信息，请参阅：

实时保护 GitHub

查看保护外部用户并与之协作的最佳做法。

将 GitHub Enterprise Cloud 连接到 Microsoft Defender for Cloud Apps

本节介绍如何使用应用连接器 API 将 Microsoft Defender for Cloud Apps 连接到现有 GitHub Enterprise Cloud 组织。通过此连接，可以实现组织对 GitHub Enterprise Cloud 使用的可见性和控制。有关 Defender for Cloud Apps 如何保护 GitHub Enterprise Cloud 的更多信息，请参阅保护 GitHub Enterprise。

使用此应用连接器，可以通过 Microsoft 安全功能分数中反映的安全控制，访问 SaaS 安全状况管理 (SSPM) 功能。了解详细信息。

先决条件

组织必须拥有 GitHub Enterprise Cloud 许可证。
用于连接 Defender for Cloud Apps 的 GitHub 帐户必须具有组织的所有者权限。
对于 SSPM 功能，提供的帐户必须是企业帐户的所有者。
要验证组织的所有者，请浏览到组织的页面，选择“人员”，然后按“所有者”进行筛选。

验证你的 GitHub 域

验证域是可选的。但是，我们强烈建议你验证域，以便 Defender for Cloud Apps 能够将 GitHub 组织成员的域电子邮件与其相应的 Azure Active Directory 用户相匹配。

这些步骤可以独立于配置 GitHub Enterprise Cloud 步骤完成，如果你已验证域，则可以跳过这些步骤。

将你的组织升级到公司服务条款。
验证组织的域。

注意

确保验证 Defender for Cloud Apps 设置中列出的每个托管域。要查看托管域，请转到 Microsoft Defender 门户，并选择“设置”。然后选择“Cloud Apps”。在“系统”下，选择“组织详细信息”，然后转到“托管域”部分。

配置 GitHub Enterprise Cloud

查找组织的登录名。在 GitHub 中，浏览到组织的页面，然后从 URL 中记下组织的登录名，稍后将需要它。

注意

页面 URL 的格式为 https://github.com/<your-organization>。例如，如果组织的页面是 https://github.com/sample-organization，则组织的登录名是 sample-organization。
为 Defender for Cloud Apps 创建 OAuth 应用以连接 GitHub 组织。 对其他每个连接的组织重复此步骤。

注意

如果使用预览功能并启用应用治理，请使用应用治理页面而不是 OAuth 应用页面来执行此过程。
浏览到“设置”>“开发人员设置”，选择“OAuth 应用”，然后选择“注册应用程序”。或者，如果有现有的 OAuth 应用，请选择“新的 OAuth 应用”。
填写“注册新的 OAuth 应用”详细信息，然后选择“注册应用程序”。
- 在“应用程序名称”框中，为应用输入名称。
- 在“主页 URL”框中，输入应用主页的 URL。
- 在“授权回叫 URL”框中，输入以下值：https://portal.cloudappsecurity.com/api/oauth/connect。
注意
- 对于美国政府 GCC 客户，请输入以下值：https://portal.cloudappsecuritygov.com/api/oauth/connect
- 对于美国政府 GCC High 客户，请输入以下值：https://portal.cloudappsecurity.us/api/oauth/connect
注意
- 组织所拥有的应用有权访问组织的应用。有关详细信息，请参阅关于 OAuth 应用访问权限限制。
浏览到“设置”>“OAuth 应用”，选择刚刚创建的 OAuth 应用，并记下其客户端 ID 和客户端密码。

配置 Defender for Cloud Apps

在 Microsoft Defender 门户中，选择“设置”。然后选择“Cloud Apps”。在“连接的应用”下，选择“应用连接器”。
在“应用连接器”页面中，选择“+ 连接应用”，然后选择“GitHub”。
在下一个窗口中，为连接器指定描述性名称，然后选择“下一步”。
在“输入详细信息”窗口中，填写前面记下的客户端 ID、客户端密码和组织登录名。

企业数据域（也称为企业名称）是支持 SSPM 功能所必需的。要查找企业数据域：
1. 选择 GitHub 个人资料图片 ->你的企业。
2. 选择你的企业帐户，然后选择要连接到 Microsoft Defender for Cloud Apps 的帐户。
3. 确认 URL 是企业数据域。例如，在 https://github.com/enterprises/testEnterprise 这个示例中，testEnterprise 是企业数据域。
选择“下一步”。
选择“连接 GitHub”。

此时将打开 GitHub 登录页面。如有必要，请输入 GitHub 管理员凭证，以允许 Defender for Cloud Apps 访问团队的 GitHub Enterprise Cloud 实例。
请求组织访问权限并授权应用，以授予 Defender for Cloud Apps 对 GitHub 组织的访问权限。 Defender for Cloud Apps 需要以下 OAuth 范围：
- admin:org - 同步组织的审核日志所必需的
- read:user 和 user:email - 同步组织成员所必需的
- repo:status - 同步审核日志中与存储库相关的事件所必需的
- admin:enterprise - SSPM 功能所必需的，请注意，提供的用户必须是企业帐户的所有者。
有关 OAuth 范围的详细信息，请参阅了解 OAuth 应用的范围。

回到 Defender for Cloud Apps 控制台，应该会收到消息，指示已成功连接 GitHub。
与 GitHub 组织所有者合作，授予组织对在 GitHub 第三方访问设置下创建的 OAuth 应用的访问权限。有关详细信息，请参阅 GitHub 文档。

只有在将 GitHub 连接到 Defender for Cloud Apps 后，组织所有者才能从 OAuth 应用找到请求。
在 Microsoft Defender 门户中，选择“设置”。然后选择“Cloud Apps”。在“连接的应用”下，选择“应用连接器”。确保连接的应用连接器为已连接状态。

连接 GitHub Enterprise Cloud 后，将收到连接前 7 天内的所有事件。

如果在连接应用时遇到问题，请参阅“排除应用连接器故障”。

后续步骤

使用策略控制云应用

如果遇到任何问题，我们可以提供帮助。要获取产品问题的帮助或支持，请开立支持票证。