Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze handleiding bevat installatiestappen voor een sandbox-project waarmee u GitHub Advanced Security (GHAS) en Microsoft Defender voor Cloud integratie end-to-end kunt evalueren met een eenvoudige use case.
Deze integratie helpt de cloud-native beveiliging van Microsoft-toepassingen te maximaliseren door runtimerisico's en context te correleren met de oorspronkelijke code voor snellere AI-gestuurde herstelacties.
Door deze handleiding te volgen, gaat u als volgt te werk:
- Stel uw GitHub-opslagplaats in voor Defender voor Cloud-dekking.
- Maak een runtime-risicofactor.
- Koppel code aan runtime-resources.
- Test echte gebruiksscenario's in Defender voor Cloud.
Vereiste voorwaarden
| Aspect | Gegevens |
|---|---|
| Milieuvereisten | - GitHub-account met een connector die is gemaakt in Defender voor Cloud - GHAS-licentie - Defender Cloud Security Posture Management (DCSPM) ingeschakeld voor het abonnement - Microsoft Security Copilot (optioneel voor geautomatiseerd herstel) |
| Rollen en machtigingen | - Machtigingen voor beveiligingsbeheerders - Beveiligingsbeheerder voor het Azure-abonnement (om bevindingen weer te geven in Defender voor Cloud) - Eigenaar van GitHub-organisatie |
| Cloudomgevingen | Alleen beschikbaar in commerciële clouds (niet in Azure Government, Azure beheerd door 21Vianet of andere onafhankelijke clouds). |
Uw omgeving voorbereiden
Stap 1: De GitHub-opslagplaats instellen en de werkstroom uitvoeren
Als u de integratie wilt testen, gebruikt u de Sandbox-voorbeeld GitHub repository met alle inhoud om een kwetsbare containerimage te bouwen.
Voordat u een opslagplaats instelt, moet u ervoor zorgen dat:
- Definieer een connector voor de GitHub organisatie die u wilt gebruiken in de Defender voor Cloud-portal. Volg de stappen in Uw GitHub-omgeving verbinden met Microsoft Defender voor Cloud.
- Configureer het scannen van code zonder agent voor uw GitHub-connector. Volg de stappen in Configureer agentloos code scannen (preview).
- Gebruik een privéopslagplaats voor de integratie.
- Kloon de volgende opslagplaats naar uw GitHub organisatie:
- https://github.com/build25-woodgrove/mdc-customer-playbook Deze opslagplaats heeft GHAS ingeschakeld en is opgenomen in een Azure-tenant waarvoor Defender CSPM is ingeschakeld.
Voer in de opslagplaats de volgende stappen uit:
- Ga naar Instellingen.
- Selecteer in het linkerdeelvenster Acties voor geheimen en variabelen>. Selecteer vervolgens Nieuw opslagplaatsgeheim.
- Voeg de volgende geheimen toe op het niveau van de opslagplaats of organisatie:
| Veranderlijk | Beschrijving |
|---|---|
| ACR_ENDPOINT | De verificatieserver van het containerregister. |
| ACR_USERNAME | De gebruikersnaam voor het containerregister. |
| ACR_PASSWORD | Het wachtwoord voor het containerregister. |
Opmerking
U kunt elke naam voor deze variabelen kiezen. Ze hoeven geen specifiek patroon te volgen.
U vindt deze informatie in Azure Portal door de volgende stappen uit te voeren:
- Selecteer het containerregister waarnaar u wilt implementeren.
- Selecteer onder Instellingende optie Toegangssleutels.
- In het deelvenster Toegangssleutels worden de sleutels voor de verificatieserver, gebruikersnaam en wachtwoord weergegeven.
Selecteer in uw opslagplaats Acties, selecteer de werkstroom Bouwen en pushen naar ACR en selecteer vervolgens Werkstroom uitvoeren.
Controleer of het image is gedeponeerd in uw containerregister. Voor de voorbeeldopslagplaats moet het containerbeeld zich in een register genaamd mdc-mock-0001 bevinden met de tag mdc-ghas-integration.
Implementeer dezelfde image als een draaiende container op uw cluster. Een manier om deze stap te voltooien, is door verbinding te maken met het cluster en de kubectl run opdracht te gebruiken. Hier volgt een voorbeeld voor Azure Kubernetes Service (AKS):
Stel het clusterabonnement in:
az account set --subscription $subscriptionID
Stel de referenties voor het cluster in:
az aks get-credentials --resource-group $resourceGroupName --name $kubernetesClusterName --overwrite-existing
De installatiekopieën implementeren:
kubectl run $containerName --image=$registryName.azurecr.io/mdc-mock-0001:mdc-ghas-integration
Stap 2: De voorbeeldrisicofactor maken (bedrijfskritieke regel)
Een van de risicofactoren die Defender voor Cloud detecteert voor deze integratie is bedrijfskritiek. Organisaties kunnen regels maken om middelen als bedrijfskritisch te labelen.
- Ga in de Defender voor Cloud-portal naar Omgevingsinstellingen>resourcekritiek.
- Selecteer in het rechterdeelvenster de koppeling om Microsoft Defender te openen.
- Selecteer Een nieuwe classificatie maken.
- Voer een naam en een beschrijving in.
- Selecteer cloudresource in de opbouwfunctie voor query's. Schrijf een query om resourcenaam in te stellen die gelijk is aan de naam van de container die u voor validatie in uw cluster hebt geïmplementeerd. Klik daarna op Volgende.
- Op de pagina Preview Assets, als Microsoft Defender uw resource al heeft gedetecteerd, wordt de naam van de container weergegeven met een assettype van K8s-container of K8s-pod. Zelfs als de naam nog niet zichtbaar is, gaat u verder met de volgende stap.
- Kies een kritiek niveau en controleer en dien vervolgens uw classificatieregel in.
Opmerking
Microsoft Defender past het kritieklabel toe op de container nadat de container is gedetecteerd. Dit proces kan maximaal 24 uur duren.
Stap 3: Controleren of uw omgeving gereed is
Validatie bevestigt dat uw omgeving correct is geconfigureerd om code aan runtime-aanbevelingen te presenteren en om bruikbare resultaten te genereren.
Tijdens deze stap verifieert Defender de volledige zichtbaarheid van de code tijdens runtime.
- Microsoft Defender voor Cloud continu broncodeopslagplaatsen bewaakt op beveiligingsproblemen.
- Build-artifacts, zoals container images, worden in containerregisters gescand vóór de implementatie.
- Runtime-workloads die geïmplementeerd zijn in Kubernetes-clusters worden gecontroleerd op beveiligingsrisico's.
- Defender voor Cloud correleert en traceert elk artefact vanuit code, via build en implementatie, naar runtime en terug.
Opmerking
Het kan tot 24 uur duren voordat de vorige stappen zijn toegepast om de volgende resultaten te zien.
Test of GitHub scannen zonder agent de opslagplaats ophaalt.
Ga naar Cloud Security Explorer en voer de query uit. De validatiequery's testen of Defender artefacten kan identificeren die door uw pijplijnen en workloads zijn geproduceerd. Als de query's resultaten retourneren, geeft dit aan dat scannen en correlatie werken zoals verwacht.
Opmerking
Als er geen resultaten worden geretourneerd, kan dit erop wijzen dat artefacten nog niet zijn gegenereerd, dat scannen niet is geconfigureerd of dat er machtigingen ontbreken.
- Controleer of Defender voor Cloud (in Azure Container Registry) de containerafbeelding heeft gescand en deze gebruikt heeft om een container te creëren.
- Voeg in uw query de voorwaarden voor uw specifieke implementatie toe.
- Controleer of de container wordt uitgevoerd en of Defender voor Cloud het AKS-cluster heeft gescand.
- Controleer of de risicofactoren correct zijn geconfigureerd aan de zijde van Defender voor Cloud. Zoek de containernaam op de Defender voor Cloud-inventarispagina en u zou deze gemarkeerd als kritieke status moeten zien.
Opmerking
Deze stap is alleen vereist als risicofactoren nog niet zijn geconfigureerd in uw omgeving.
Geslaagde validatie zorgt ervoor dat volgende stappen, zoals aanbevelingen, campagnes en GitHub genereren van problemen, zinvolle resultaten opleveren.