Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här guiden innehåller installationssteg för ett sandbox-projekt som hjälper dig att utvärdera GitHub Advanced Security (GHAS) och Microsoft Defender för molnet integrering från slutpunkt till slutpunkt med ett enkelt användningsfall.
Den här integreringen hjälper till att maximera Microsofts molnbaserade programsäkerhet genom att korrelera körningsrisker och kontext med den ursprungliga koden för snabbare AI-baserad reparation.
Genom att följa den här guiden:
- Konfigurera din GitHub-lagringsplats för Defender för molnet-täckning.
- Skapa en körningstidsriskfaktor.
- Länka kod till resurser vid körning.
- Testa verkliga användningsfall i Defender för molnet.
Förutsättningar
| Aspekt | Information |
|---|---|
| Miljökrav | – GitHub-konto med en anslutning som skapats i Defender för molnet - GHAS-licens – Defender Cloud Security Posture Management (DCSPM) aktiverat i prenumerationen – Microsoft Security Copilot (valfritt för automatiserad reparation) |
| Roller och behörigheter | – Behörigheter för säkerhetsadministratör – Säkerhetsadministratör för Azure-prenumerationen (för att visa resultat i Defender för molnet) – GitHub-organisationsägare |
| Molnmiljöer | Endast tillgängligt i kommersiella moln (inte i Azure Government, Azure som drivs av 21Vianet eller andra nationella moln). |
Förbered din miljö
Steg 1: Konfigurera GitHub-lagringsplatsen och kör arbetsflödet
Om du vill testa integreringen använder du Sandbox-exemplet GitHub lagringsplats som redan har allt innehåll för att skapa en sårbar containeravbildning.
Innan du konfigurerar en lagringsplats kontrollerar du att:
- Definiera en anslutning för den GitHub-organisation som du planerar att använda i Defender för molnet-portalen. Följ stegen i Anslut din GitHub-miljö till Microsoft Defender för molnet.
- Konfigurera agentlös kodsökning för din GitHub-anslutningsapp. Följ stegen i Konfigurera agentlös kodgenomsökning (förhandsversion).
- Använd en privat lagringsplats för integreringen.
- Klona följande lagringsplats till din GitHub organisation:
- https://github.com/build25-woodgrove/mdc-customer-playbook Den här lagringsplatsen har GHAS aktiverat och registreras i en Azure klientorganisation som har Defender CSPM aktiverat.
Följ dessa steg på lagringsplatsen:
- Gå till Inställningar.
- I den vänstra rutan väljer du Hemligheter och variabler > Åtgärder. Välj sedan Ny lagringsplatshemlighet.
- Lägg till följande hemligheter på lagringsplats- eller organisationsnivå:
| variabel | Beskrivning |
|---|---|
| ACR_ENDPOINT | Autentiseringsservern för containerregistret. |
| ACR_USERNAME | Användarnamnet för containerregistret. |
| ACR_PASSWORD | Lösenordet för containerregistret. |
Anmärkning
Du kan välja alla namn för dessa variabler. De behöver inte följa ett specifikt mönster.
Du hittar den här informationen i Azure-portalen genom att följa dessa steg:
- Välj det containerregister som du vill distribuera till.
- Under Inställningar väljer du Åtkomstnycklar.
- Fönstret Åtkomstnycklar visar nycklarna för autentiseringsservern, användarnamnet och lösenordet.
Välj Åtgärder på lagringsplatsen, välj arbetsflödet Skapa och skicka till ACR och välj sedan Kör arbetsflöde.
Kontrollera att avbildningen har distribuerats till ditt containerregister. För exempellagringsplatsen ska avbildningen finnas i ett register som heter mdc-mock-0001 med taggen mdc-ghas-integration.
Distribuera samma avbildning som en körande container i klustret. Ett sätt att slutföra det här steget är att ansluta till klustret och använda kubectl run kommandot . Här är ett exempel för Azure Kubernetes Service (AKS):
Ange klusterprenumerationen:
az account set --subscription $subscriptionID
Ange autentiseringsuppgifterna för klustret:
az aks get-credentials --resource-group $resourceGroupName --name $kubernetesClusterName --overwrite-existing
Distribuera avbildningen:
kubectl run $containerName --image=$registryName.azurecr.io/mdc-mock-0001:mdc-ghas-integration
Steg 2: Skapa exempelriskfaktorn (affärskritisk regel)
En av de riskfaktorer som Defender för molnet identifierar för den här integreringen är affärskritiskhet. Organisationer kan skapa regler för att märka resurser som affärskritiska.
- I Defender för molnet-portalen går du till Miljöinställningar>Resurskritiskhet.
- I den högra rutan väljer du länken för att öppna Microsoft Defender.
- Välj Skapa en ny klassificering.
- Ange ett namn och en beskrivning.
- I frågeverktyget väljer du Molnresurs. Skriv en fråga för att ange Resursnamn lika med namnet på containern som du distribuerade till klustret för validering. Välj sedan Nästa.
- På sidan Preview Assets för Microsoft Defender, om din resurs redan har upptäckts av Microsoft Defender, visas containerns namn och tillgångstyp som K8s-container eller K8s-pod. Även om namnet ännu inte är synligt fortsätter du med nästa steg.
- Välj en allvarlighetsnivå och granska och skicka sedan klassificeringsregeln.
Anmärkning
Microsoft Defender tillämpar kritiskhetsetiketten på containern när den har upptäckt containern. Detta kan ta upp till 24 timmar.
Steg 3: Verifiera att din miljö är redo
Verifieringen bekräftar att din miljö är korrekt konfigurerad för att visa kod för körningsrekommendationer och generera åtgärdsbara resultat.
Under det här steget verifierar Defender kodens fullständiga synlighet under körning.
- Microsoft Defender för molnet övervakar kontinuerligt lagringsplatser för källkod för säkerhetsrisker.
- Byggartefakter, till exempel containeravbildningar, genomsöks i containerregister före distributionen.
- Körningsarbetsbelastningar som distribueras till Kubernetes-kluster övervakas för säkerhetsrisker.
- Defender för molnet korrelerar och spårar varje artefakt från kod, genom kompilering och distribution, till körning och tillbaka.
Anmärkning
Det kan ta upp till 24 timmar efter att föregående steg har tillämpats för att se följande resultat.
Testa att GitHub agentlös genomsökning hämtar lagringsplatsen.
Gå till Cloud Security Explorer och utför frågan. Valideringsfrågorna testar om Defender kan identifiera artefakter som produceras av dina pipelines och arbetsbelastningar. Om frågorna returnerar resultat anger det att genomsökning och korrelation fungerar som förväntat.
Anmärkning
Om inga resultat returneras kan det tyda på att artefakter ännu inte har genererats, att genomsökningen inte har konfigurerats eller att behörigheter saknas.
- Verifiera att Defender för molnet (i Azure Container Registry) genomsökt containeravbildningen och använt den för att skapa en container.
- I frågan lägger du till villkoren för din specifika distribution.
- Kontrollera att containern körs och att Defender för molnet genomsökt AKS-klustret.
- Kontrollera att riskfaktorerna är korrekt konfigurerade på Defender för molnet-sidan. Sök efter ditt containernamn på sidan Defender för molninventering och du bör se det markerat som kritiskt.
Anmärkning
Det här steget krävs endast om riskfaktorer inte redan har konfigurerats i din miljö.
Lyckad validering säkerställer att efterföljande steg, till exempel rekommendationer, kampanjer och GitHub problemgenerering, ger meningsfulla resultat.