Defender for Cloud Apps如何帮助保护 GitHub Enterprise 环境
GitHub Enterprise Cloud 是一项服务,可帮助组织存储和管理其代码,以及跟踪和控制对其代码的更改。 除了在云中生成和缩放代码存储库的好处外,组织最关键的资产还可能受到威胁。 公开的资产包括包含潜在敏感信息、协作和合作关系详细信息等的存储库。 防止泄露此数据需要持续监视,以防止任何恶意参与者或未意识到安全性的预览体验成员泄露敏感信息。
将 GitHub Enterprise Cloud 连接到 Defender for Cloud Apps 可让你深入了解用户的活动,并为异常行为提供威胁检测。
使用此应用连接器通过安全分数中反映的安全控制来访问 SaaS 安全态势管理 (SSPM Microsoft) 功能。 了解详细信息。
主要威胁
- 泄露的帐户和内部威胁
- 数据泄漏
- 安全意识不足
- 非托管自带设备 (BYOD)
Defender for Cloud Apps如何帮助保护环境
SaaS 安全态势管理
若要查看Microsoft安全功能分数中 GitHub 的安全态势建议,请通过“连接器”选项卡创建具有所有者和企业权限的 API 连接器。 在“安全功能分数”中,选择“ 建议的操作” 并按 产品 = GitHub 进行筛选。
例如,GitHub 的建议包括:
- 启用多重身份验证 (MFA)
- 启用单一登录 (SSO)
- 禁用“允许成员更改此组织的存储库可见性”
- 禁用“具有存储库管理员权限的成员可以删除或转移存储库”
如果连接器已存在,但尚未看到 GitHub 建议,请断开 API 连接器的连接,然后使用所有者和企业权限将其重新连接,从而刷新连接。
有关更多信息,请参阅:
实时保护 GitHub
查看有关 保护和与外部用户协作的最佳做法。
将 GitHub Enterprise Cloud 连接到 Microsoft Defender for Cloud Apps
本部分提供有关使用应用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 GitHub Enterprise Cloud 组织的说明。 通过此连接,你可以了解和控制组织的 GitHub Enterprise Cloud 使用情况。 有关Defender for Cloud Apps如何保护 GitHub Enterprise Cloud 的详细信息,请参阅保护 GitHub Enterprise。
使用此应用连接器通过安全分数中反映的安全控制来访问 SaaS 安全态势管理 (SSPM Microsoft) 功能。 了解详细信息。
先决条件
- 你的组织必须具有 GitHub Enterprise Cloud 许可证。
- 用于连接到Defender for Cloud Apps的 GitHub 帐户必须具有组织的所有者权限。
- 对于 SSPM 功能,提供的帐户必须是企业帐户的所有者。
- 若要验证组织的所有者,请浏览到组织的页面,选择“人员”,然后按“所有者”进行筛选。
验证 GitHub 域
验证域是可选的。 但是,强烈建议验证域,以便Defender for Cloud Apps可以将 GitHub 组织成员的域电子邮件与其相应的 Azure Active Directory 用户匹配。
这些步骤可以独立于 配置 GitHub Enterprise Cloud 步骤完成,如果已验证域,则可以跳过这些步骤。
将组织升级到 公司服务条款。
验证 组织的域。
注意
请确保验证Defender for Cloud Apps设置中列出的每个托管域。 若要查看托管域,请转到Microsoft Defender门户,然后选择“设置”。 然后选择“ 云应用”。 在 “系统”下,选择“ 组织详细信息”,然后转到 “托管域 ”部分。
配置 GitHub Enterprise Cloud
查找组织的登录名。 在 GitHub 中,浏览到组织的页面,然后从 URL 中记下组织的登录名,稍后将需要它。
注意
页面将具有类似于 的
https://github.com/<your-organization>URL。 例如,如果组织的页面为https://github.com/sample-organization,则组织的登录名为 sample-organization。
创建适用于 Defender for Cloud Apps 的 OAuth 应用以连接 GitHub 组织。 为每个附加连接的组织重复此步骤。
浏览到 “设置>”“开发人员设置”,选择“ OAuth 应用”,然后选择“ 注册应用程序”。 或者,如果你有现有的 OAuth 应用,请选择“ 新建 OAuth 应用”。
填写 “注册新的 OAuth 应用 详细信息”,然后选择“ 注册应用程序”。
- 在“ 应用程序名称 ”框中,输入应用的名称。
- 在“ 主页 URL ”框中,输入应用主页的 URL。
- 在 “授权回调 URL ”框中,输入以下值:
https://portal.cloudappsecurity.com/api/oauth/connect。
注意
- 对于美国政府 GCC 客户,请输入以下值:
https://portal.cloudappsecuritygov.com/api/oauth/connect - 对于美国政府 GCC 高客户,请输入以下值:
https://portal.cloudappsecurity.us/api/oauth/connect
注意
- 组织拥有的应用有权访问组织的应用。 有关详细信息,请参阅 关于 OAuth 应用访问限制。
浏览到 “设置>OAuth 应用”,选择刚刚创建的 OAuth 应用,并记下其 “客户端 ID” 和 “客户端密码”。
配置Defender for Cloud Apps
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。
在 “应用连接器 ”页中,选择“ +连接应用”,然后选择 “GitHub”。
在下一个窗口中,为连接器提供描述性名称,然后选择“ 下一步”。
在“输入详细信息”窗口中,填写前面记下的“客户端 ID”、“客户端密码”和“组织登录名”。
对于 Enterprise slug(也称为企业名称),需要支持 SSPM 功能。 若要查找 企业数据,请执行以下命令:
- 选择 GitHub 个人资料图片 ->你的企业。
- 选择企业帐户,然后选择要连接到Microsoft Defender for Cloud Apps的帐户。
- 确认 URL 是企业数据。 例如,在此示例中
https://github.com/enterprises/testEnterprise,testEnterprise 是企业 slug。
选择 下一步。
选择“ 连接 GitHub”。
此时会打开 GitHub 登录页。 如有必要,请输入 GitHub 管理员凭据,以允许Defender for Cloud Apps访问团队的 GitHub Enterprise Cloud 实例。
请求组织访问权限,并授权应用向Defender for Cloud Apps授予对 GitHub 组织的访问权限。 Defender for Cloud Apps需要以下 OAuth 作用域:
- admin:org - 同步组织的审核日志所必需的
- read:user 和 user:email - 同步组织成员所必需的
- repo:status - 同步审核日志中与存储库相关的事件所必需的
- admin:enterprise - SSPM 功能所必需的,请注意,提供的用户必须是企业帐户的所有者。
有关 OAuth 范围的详细信息,请参阅 了解 OAuth 应用的范围。
返回到 Defender for Cloud Apps 控制台,应收到 GitHub 已成功连接的消息。
使用 GitHub 组织所有者向组织授予对在 GitHub 第三方访问设置下创建的 OAuth 应用的访问权限。 有关详细信息,请参阅 GitHub 文档。
只有在将 GitHub 连接到 Defender for Cloud Apps 后,组织所有者才会找到来自 OAuth 应用的请求。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。
连接 GitHub Enterprise Cloud 后,你将在连接前 7 天收到事件。
如果连接应用时遇到任何问题,请参阅 应用连接器故障排除。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。