Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite bietet einfache Onboardingfunktionen, um Azure DevOps-Umgebungen mit Microsoft Defender for Cloud zu verbinden und so automatisch Azure DevOps-Repositorys zu entdecken.
Durch die Verbindung Ihrer Azure DevOps-Umgebungen mit Defender for Cloud erweitern Sie die Sicherheitsfunktionen von Defender for Cloud auf Ihre Azure DevOps-Ressourcen und verbessern den Sicherheitsstatus. Erfahren Sie mehr.
Voraussetzungen
Für die Durchführung dieses Schnellstarts benötigen Sie Folgendes:
- Ein Azure-Konto, in das Defender for Cloud integriert ist. Wenn Sie noch kein Azure-Konto besitzen, erstellen Sie ein kostenloses Konto.
- Beachten Sie, dass die von Defender for Cloud ausgeführten API-Aufrufe auf den globalen Grenzwert für „Verbrauch“ von Azure DevOps angerechnet werden.
- Lesen Sie die allgemeinen Fragen zur DevOps-Sicherheit in Defender for Cloud.
Von Bedeutung
Defender für Cloud führt Vorgänge in Azure DevOps mithilfe der Identität aus, die den Connector autorisiert (ein von Ihnen ausgewähltes Benutzer- oder Dienstkonto). Aktivitäten wie Repositorylesevorgänge, Pullanforderungsanmerkungen und Buildmetadatenabfragen werden dieser Identität in Azure DevOps-Überwachungsprotokollen, Nutzungsdashboards und PR-Zeitachsen zugeordnet. Um Verwirrung zu vermeiden und die Kontinuität sicherzustellen, empfehlen wir die Verwendung eines dedizierten Dienstkontos (z. B MDC-DevOps-Connector. ) mit den mindestens erforderlichen Berechtigungen anstelle eines persönlichen Kontos.
Verfügbarkeit
| Aspekt | Einzelheiten |
|---|---|
| Versionsstatus: | Allgemeine Verfügbarkeit |
| Preise: | Preisinformationen finden Sie unter Microsoft Defender for Cloud – Preise. Sie können die Kosten auch mit dem Kostenrechner defender for Cloud schätzen. |
| Erforderliche Berechtigungen: |
-
Mitwirkender zum Erstellen eines Connectors im Azure-Abonnement. - Projektsammlungsadministrator in der Azure DevOps-Organisation. - Zugriffsebene "Basic" oder "Basic+ Test Plans" in der Azure DevOps-Organisation. Stellen Sie sicher, dass Sie über Berechtigungen als Projektsammlungsadministrator*in UND die Standardzugriffsebene für alle Azure DevOps-Organisationen verfügen, die Sie integrieren möchten. Die Zugriffsebene als Projektbeteiligte reicht nicht aus. Zugriff auf Anwendungen von Drittanbietern über OAuth: Diese Option muss auf für die Azure DevOps-Organisation auf On festgelegt werden. Weitere Informationen zu OAuth und zur Aktivierung in Ihren Organisationen finden Sie hier. |
| Regionen und Verfügbarkeit: | Weitere Informationen zur regionalen Unterstützung und Verfügbarkeit von Features finden Sie unter Unterstützung und Voraussetzungen: DevOps-Sicherheit. |
| Wolken: |
Kommerziell
Kommerziell 
National (Azure Government, Microsoft Azure betrieben von 21Vianet) |
Hinweis
Die Rolle Sicherheitsleseberechtigter kann auf den Bereich „Ressourcengruppe/Azure DevOps-Connector“ angewendet werden, um das Festlegen sehr privilegierter Berechtigungen auf einer Abonnementebene für Lesezugriff auf DevOps-Sicherheitsstatusbewertungen zu vermeiden.
Verbinden Ihrer Azure DevOps-Organisation
Hinweis
Nachdem Sie Azure DevOps mit Defender for Cloud verbunden haben, wird die Containerzuordnungserweiterung von Microsoft Defender for DevOps automatisch freigegeben und in allen verbundenen Azure DevOps-Organisationen installiert. Mit dieser Erweiterung kann Defender for Cloud Metadaten aus Pipelines extrahieren, z. B. die Digest-ID und den Namen eines Containers. Diese Metadaten werden verwendet, um DevOps-Entitäten mit ihren zugehörigen Cloudressourcen zu verbinden. Weitere Informationen zur Containerzuordnung finden Sie hier.
So verbinden Sie Ihre Azure DevOps-Organisation mithilfe eines nativen Connectors mit Defender for Cloud:
Melden Sie sich beim Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.
Wählen Sie Umgebung hinzufügen aus.
Wählen Sie Azure DevOps aus.
Geben Sie einen Namen, ein Abonnement, eine Ressourcengruppe und eine Region ein.
Das Abonnement ist der Ort, an dem Microsoft Defender for Cloud die Azure DevOps-Verbindung erstellt und speichert.
Wählen Sie Weiter: Zugriff konfigurieren aus.
Wählen Sie "Autorisieren" aus. Achten Sie im Dropdownmenü Azure DevOps darauf, dass Sie den richtigen Azure-Mandanten autorisieren, und vergewissern Sie sich auch, dass Sie sich in Defender for Cloud im richtigen Azure-Mandanten befinden.
Lesen Sie die Liste der Berechtigungsanforderungen im Popupdialogfeld, und wählen Sie Akzeptieren aus.
Wählen Sie für „Organisationen“ eine der folgenden Optionen aus:
- Wählen Sie die Option Alle vorhandenen Organisationen aus, um alle Projekte und Repositorys in Organisationen, in denen Sie derzeit Projektsammlungsadministrator*in sind, automatisch zu ermitteln.
- Wählen Sie die Option Alle vorhandenen und zukünftigen Organisationen aus, um alle Projekte und Repositorys in allen aktuellen und zukünftigen Organisationen, in denen Sie Projektsammlungsadministrator*in sind, automatisch zu ermitteln.
Hinweis
Zugriff auf Anwendungen von Drittanbietern über OAuth muss für die Azure DevOps-Organisation auf
Onfestgelegt werden. Weitere Informationen zu OAuth und zur Aktivierung in Ihren Organisationen finden Sie hier.Da das Onboarding von Azure DevOps-Repositorys keine zusätzlichen Kosten verursacht, wird die automatische Erkennung auf die gesamte Organisation angewendet, um sicherzustellen, dass Defender for Cloud den Sicherheitsstatus umfassend bewerten und auf Sicherheitsbedrohungen in Ihrem gesamten DevOps-Ökosystem reagieren kann. Organisationen können später manuell unter Microsoft Defender for Cloud>Umgebungseinstellungen hinzugefügt und entfernt werden.
Wählen Sie Weiter: Überprüfen und generieren aus.
Überprüfen Sie die Informationen, und wählen Sie Erstellen aus.
Hinweis
Damit die erweiterten DevOps-Statusfunktionen in Defender for Cloud ordnungsgemäß funktionieren, kann nur eine einzelne Instanz einer Azure DevOps-Organisation in den Azure-Mandanten integriert werden, in dem Sie einen Connector erstellen.
Nach erfolgreichem Onboarding werden DevOps-Ressourcen (z. B. Repositorys, Builds) auf den Sicherheitsseiten „Inventar“ und „DevOps“ angezeigt. Es kann bis zu 8 Stunden dauern, bis die Ressourcen angezeigt werden. Empfehlungen zur Sicherheitsüberprüfung erfordern möglicherweise einen zusätzlichen Schritt zum Konfigurieren Ihrer Pipelines. Die Aktualisierungsintervalle für Sicherheitsergebnisse variieren je nach Empfehlung. Einzelheiten finden Sie auf der Seite „Empfehlungen“.
Wie Defender für Cloud Ihre Identität verwendet
Nachdem Sie die Verbindung autorisiert haben, verwendet Defender für Cloud die Berechtigungen des Kontos, das den Connector zum Ausführen von Vorgängen in Azure DevOps erstellt hat.
Vorgänge wie Repositoryinventar, Buildmetadatenlese, Pullanforderungsanmerkungen und agentloses Scannen von Code werden alle unter dieser Identität ausgeführt. Agentlose Codeüberprüfung ruft Code- und Infrastruktur-as-Code-Definitionen für die Analyse ab, und die API-Aufrufe zählen auch für die Verwendungskontingente der Identität.
In Azure DevOps werden diese Vorgänge so angezeigt, als ob sie von diesem Konto ausgeführt wurden und in Überwachungsprotokollen, Nutzungsdashboards und PR-Zeitachsen sichtbar sind.
Wenn das Autorisierungskonto entfernt wird oder den Zugriff verliert, werden automatisierte Vorgänge beendet, bis der Connector erneut autorisiert wird.
Hinweis
Defender für Cloud-API-Aufrufe sind im globalen Azure DevOps-Verbrauchslimit für die Identität enthalten, die den Connector autorisiert hat. Defender für Cloud verwaltet die API-Nutzung sorgfältig, um Überschreitungen von Grenzwerten zu vermeiden, und die meisten Kunden haben nie Drosselung.
Nächste Schritte
Erfahren Sie mehr über DevOps-Sicherheit in Defender for Cloud.
Konfigurieren Sie die Aufgabe „Microsoft Security DevOps“ in Azure Pipelines.
Erkunden Sie agentlose Codeüberprüfung , um Code- und IaC-Sicherheitsrisiken in Ihren Repositorys ohne Pipelineänderungen oder Agents zu erkennen, wobei Ergebnisse direkt in Defender für Cloud angezeigt werden.
Behandeln Sie Probleme mit Ihrem Azure DevOps-Connector.