你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本页提供简单的入门体验,用于将 Azure DevOps 环境连接到 Microsoft Defender for Cloud,并自动发现 Azure DevOps 存储库。
将 Azure DevOps 环境连接到 Defender for Cloud 后,可将 Defender for Cloud 的安全功能扩展到 Azure DevOps 资源并改善安全状况。 了解详细信息。
先决条件
若要完成本快速入门指南,你需要:
- 已加入 Defender for Cloud 的 Azure 帐户。 如果还没有 Azure 帐户,请免费创建一个帐户。
- 注意:Defender for Cloud 执行的 API 调用计入 Azure DevOps 全局使用限制。
- 查看有关 Defender for Cloud 中的 DevOps 安全性的常见问题。
重要
Defender for Cloud 使用授权连接器的标识(你选择的用户或服务帐户)在 Azure DevOps 中执行操作。 存储库读取、拉取请求注释和生成元数据查询等活动,会在 Azure DevOps 审核日志、使用情况仪表板和 PR 时间线中归属于该标识。 为避免混淆并确保连续性,建议使用具有最低所需权限的专用服务帐户(例如 MDC-DevOps-Connector),而不是个人帐户。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布。 |
| 定价: | 有关定价,请参阅 Defender for Cloud 定价页面。 还可以 使用 Defender for Cloud 成本计算器估算成本。 |
| 所需的权限: |
-
具有参与者角色,可以在 Azure 订阅上创建连接器。 - 具有 Azure DevOps 组织的项目集合管理员角色。 - Azure DevOps 组织中的基本或基本 + 测试计划访问级别。 请确保你拥有要加入的所有 Azure DevOps 组织的项目集合管理员权限和基本访问级别。 利益干系人访问级别不足。 通过 OAuth 进行第三方应用程序访问,必须在 Azure DevOps 组织中将此项设置为 On。
详细了解 OAuth 以及如何在组织中启用它。 |
| 区域和可用性: | 有关区域支持和功能可用性,请参阅支持和先决条件部分。 |
| 云: |
商用
商用
全国(Azure 政府、由世纪互联运营的 Microsoft Azure) |
注释
可以在资源组/Azure DevOps 连接器范围应用安全读取者角色,以避免在订阅级别设置高特权来对 DevOps 安全态势评估进行读取访问。
连接 Azure DevOps 组织
注释
将 Azure DevOps 连接到 Defender for Cloud 后,会在所有连接的 Azure DevOps 组织中自动共享并安装 Microsoft Defender for DevOps Container Mapping 扩展。 此扩展允许 Defender for Cloud 从管道中提取元数据,例如容器的摘要 ID 和名称。 此元数据用于将 DevOps 实体与其相关的云资源连接起来。 详细了解容器映射。
若要使用本机连接器将 Azure DevOps 组织连接到 Defender for Cloud,请执行以下操作:
登录到 Azure 门户。
转到 Microsoft Defender for Cloud>环境设置。
选择“添加环境”。
选择“Azure DevOps”。
输入名称、订阅、资源组和区域。
订阅将是 Microsoft Defender for Cloud 创建和存储 Azure DevOps 连接的位置。
选择“下一步: 配置访问权限”。
选择“授权”。 确保使用 Azure DevOps 中的下拉菜单为正确的 Azure 租户授权,并确认你在 Defender for Cloud 中的正确 Azure 租户中操作。
在弹出对话框中,阅读权限请求列表,然后选择“接受”。
对于“组织”,请选择以下选项之一:
- 选择“所有现有组织”以自动发现你当前充当其项目集合管理员的组织中的所有项目和存储库。
- 选择“所有现有组织和未来组织”以自动发现你充当其项目集合管理员的所有当前组织和未来组织中的所有项目和存储库。
注释
对于每个 Azure DevOps 组织,必须将“通过 OAuth 进行第三方应用程序访问”设置为
On。 详细了解 OAuth 以及如何在组织中启用它。由于加入 Azure DevOps 存储库不会产生额外的费用,因此自动发现将对整个组织应用,以确保 Defender for Cloud 能够全面评估安全态势,并响应整个 DevOps 生态系统中的安全威胁。 稍后可以通过“Microsoft Defender for Cloud”>“环境设置”手动添加和删除组织。
选择“下一步:审阅并生成”。
查看信息,然后选择“创建”。
注释
为了确保 Defender for Cloud 中高级 DevOps 态势功能正常运行,只能将 Azure DevOps 组织的一个实例加入你要在其中创建连接器的 Azure 租户。
成功加入后,DevOps 资源(例如存储库、内部版本)将出现在清单和 DevOps 安全性页面中。 可能需要长达 8 小时才能显示资源。 安全扫描建议可能需要执行额外的步骤来配置管道。 安全结果的刷新间隔因建议而异,详细信息可以在“建议”页面上找到。
Defender for Cloud 如何使用标识
授权连接后,Defender for Cloud 使用创建连接器的帐户的权限在 Azure DevOps 中运行操作。
存储库清单、生成元数据读取、拉取请求注释和无代理代码扫描等操作都在该标识下运行。 无代理代码扫描会检索代码和基础结构即代码定义进行分析,其 API 调用也会计入标识的使用配额。
在 Azure DevOps 中,这些操作显示为由该帐户执行,并在审核日志、使用情况仪表板和 PR 时间线中可见。
如果授权帐户被删除或失去访问权限,则自动操作将停止,直到重新授权连接器。
注释
Defender for Cloud API 调用包含在授权连接器的标识的 Azure DevOps 全局消耗限制中。 Defender for Cloud 仔细管理 API 使用情况以避免超过限制,大多数客户永远不会遇到限制。
后续步骤
探索无代理代码扫描,无需管道更改或代理即可检测存储库中的代码和 IaC 漏洞,发现结果直接显示在 Defender for Cloud 中。