この記事では、Microsoft Defender for Cloud の DevOps セキュリティ機能のサポート情報を要約しています。
クラウドとリージョンのサポート
DevOps のセキュリティは、次のリージョンの Azure 商用クラウドで利用できます:
- アジア (東アジア)
- オーストラリア (オーストラリア東部)
- カナダ (カナダ中部)
- ヨーロッパ (西ヨーロッパ、北ヨーロッパ、スウェーデン中部)
- 英国 (英国南部)
- 米国 (米国東部、米国中部)
DevOps プラットフォームのサポート
DevOps セキュリティでは現在、次の DevOps プラットフォームがサポートされています:
必要なアクセス許可
DevOps セキュリティには、次のアクセス許可が必要です:
| 特徴 | 権限 |
|---|---|
| DevOps 環境を Defender for Cloud に接続する |
|
| セキュリティの分析情報と結果を確認する | セキュリティビューア |
| プルリクエスト注釈を構成する | サブスクリプション共同作成者または所有者 |
| Azure DevOps に Microsoft Security DevOps 拡張機能をインストールする | Azure DevOps プロジェクト コレクション管理者 |
| GitHub に Microsoft Security DevOps アクションをインストールする | GitHub 書き込み |
注
セキュリティ閲覧者 ロールをリソース グループまたはコネクタ スコープに適用して、DevOps のセキュリティ分析情報と結果の読み取りアクセスに対してサブスクリプション レベルに高い特権のアクセス許可を設定しないようにすることができます。
使用可能な機能
コードからクラウドへのコンテキスト化、セキュリティ エクスプローラー、攻撃パス分析、コードとしてのインフラストラクチャのセキュリティ結果のプル要求注釈などの DevOps セキュリティ機能は、有料の Defender Cloud Security Posture Management (CSPM) プランを有効にすると利用できます。
次の表は、サポートされている DevOps プラットフォーム内の各機能の可用性と前提条件をまとめたものです:
Azure DevOps
| 特徴 | 基本的な CSPM | ディフェンダー CSPM | [前提条件] |
|---|---|---|---|
| Azure DevOps リポジトリを接続する | ![[はい] アイコン](media/icons/yes-icon.png){kind=icon} |
|
こちらを参照してください |
| Azure DevOps リソースのインベントリ | |
|
Azure DevOps コネクタ |
| DevOps 環境の構成ミスを修正するためのセキュリティに関する推奨事項 | |
|
Azure DevOps コネクタ |
| コードの脆弱性を修正するためのセキュリティに関する推奨事項 | |
|
エージェントレス スキャン用のエージェントレス コード スキャン (プレビュー)、またはパイプライン内スキャン用の Microsoft Security DevOps 拡張機能、または CodeQL スキャン用の Azure DevOps 用 GitHub Advanced Security |
| コードとしてのインフラストラクチャ (IaC) の構成ミスを修正するためのセキュリティに関する推奨事項 | |
|
エージェントレス スキャン用のエージェントレス コード スキャン (プレビュー)、またはパイプライン内スキャン用の Microsoft Security DevOps 拡張機能 |
| 公開されているシークレットを検出するためのセキュリティに関する推奨事項 | |
|
Azure DevOps の GitHub Advanced Security |
| オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 | |
|
Azure DevOps の GitHub Advanced Security |
| pull request の注釈 | |
こちらを参照してください | |
| コンテナーのコードからクラウドへのマッピング | |
Microsoft Security DevOps 拡張機能 | |
| インフラストラクチャをコードとして扱う (IaC) テンプレートのクラウドへのマッピング | |
Microsoft Security DevOps 拡張機能 | |
| 攻撃パス分析 | |
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする | |
| クラウド セキュリティ エクスプローラー | |
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |
GitHub
| 特徴 | 基本的な CSPM | ディフェンダー CSPM | [前提条件] |
|---|---|---|---|
| GitHub リポジトリを接続する | |
|
こちらを参照してください |
| GitHub DevOps リソースのインベントリ | |
|
GitHub コネクタ |
| DevOps 環境の構成ミスを修正するためのセキュリティに関する推奨事項 | |
|
GitHub コネクタ |
| コードの脆弱性を修正するためのセキュリティに関する推奨事項 | |
|
エージェントレス コード スキャン (プレビュー)、パイプライン内スキャン用のMicrosoft Security DevOps アクション、または CodeQL スキャン用の GitHub Advanced Security |
| コードとしてのインフラストラクチャ (IaC) の構成ミスを修正するためのセキュリティに関する推奨事項 | |
|
エージェントレス コード スキャン (プレビュー)、またはパイプライン内スキャン用のMicrosoft Security DevOps アクション |
| 公開されているシークレットを検出するためのセキュリティに関する推奨事項 | |
|
GitHub Advanced Security |
| オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 | |
|
GitHub Advanced Security |
| コンテナーのコードからクラウドへのマッピング | |
Microsoft Security DevOps アクション | |
| 攻撃パス分析 | |
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする | |
| クラウド セキュリティ エクスプローラー | |
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |
GitLab
| 特徴 | 基本的な CSPM | ディフェンダー CSPM | [前提条件] |
|---|---|---|---|
| GitLab プロジェクトを接続する | |
|
こちらを参照してください |
| コードの脆弱性を修正するためのセキュリティに関する推奨事項 | |
|
GitLab Ultimate |
| コードとしてのインフラストラクチャ (IaC) の構成ミスを修正するためのセキュリティに関する推奨事項 | |
|
GitLab Ultimate |
| 公開されているシークレットを検出するためのセキュリティに関する推奨事項 | |
|
GitLab Ultimate |
| オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 | |
|
GitLab Ultimate |
| クラウド セキュリティ エクスプローラー | |
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |