Freigeben über

Unterstützung und Voraussetzungen: DevOps-Sicherheit

In diesem Artikel werden Informationen zur Unterstützung von DevOps-Sicherheitsfunktionen in Microsoft Defender for Cloud zusammengefasst.

DevOps-Sicherheit bietet Einblicke in Ihre DevOps-Umgebungen und hilft Sicherheitsteams dabei, Fehlkonfigurationen, offengelegte Geheimnisse und Coderisiken in Repositorys und CI/CD-Pipelines in Azure DevOps, GitHub und GitLab zu erkennen.

Cloud- und Regionsunterstützung

DevOps-Sicherheit ist in folgenden Regionen in der kommerziellen Azure-Cloud verfügbar:

  • Asien (Asien, Osten)
  • Australien (Australien, Osten)
  • Kanada (Kanada, Mitte)
  • Europa (Europa, Westen; Europa, Norden; Schweden, Mitte)
  • Vereinigtes Königreich (Vereinigtes Königreich, Süden)
  • USA (USA, Osten; USA, Mitte)

DevOps-Plattformunterstützung

DevOps-Sicherheit unterstützt derzeit folgende DevOps-Plattformen:

Erforderliche Berechtigungen

DevOps-Sicherheit erfordert folgende Berechtigungen:

Merkmal Erlaubnisse
Herstellen einer Verbindung zwischen DevOps-Umgebungen und Defender for Cloud
  • Azure: Abonnementmitwirkende*r oder Sicherheitsadministrator*in
  • Azure DevOps: Projektsammlungsadministrator*in für die Zielorganisation
  • GitHub: Organisationsbesitzer*in
  • GitLab: Gruppenbesitzer*in für die Zielgruppe
Überprüfen von Sicherheitserkenntnissen und Ergebnissen Sicherheitsleser
Konfigurieren von Pull Request-Anmerkungen Abonnementmitwirkende*r oder -besitzer*in
Installieren der DevOps-Erweiterung von Microsoft Security in Azure DevOps Azure DevOps-Projektsammlungsadministrator*in
Installieren der Microsoft Security DevOps-Aktion in GitHub GitHub-Schreibberechtigung

Hinweis

Um das Festlegen hoch privilegierter Berechtigungen für ein Abonnement für Lesezugriff auf DevOps-Sicherheitseinblicke und -Erkenntnisse zu vermeiden, wenden Sie die Rolle "Sicherheitsleser" auf den Ressourcengruppen- oder Connector-Umfang an.

Verfügbarkeit von Funktionen

DevOps-Sicherheitsfunktionen wie Code-zu-Cloud-Kontextisierung, Sicherheits-Explorer, Angriffspfadanalyse und Pull-Anforderungsanmerkungen für Infrastruktur-as-Code-Sicherheitsergebnisse sind verfügbar, wenn Sie den kostenpflichtigen Defender Cloud Security Posture Management (Defender CSPM)-Plan aktivieren.

Die folgenden Tabellen enthalten eine Zusammenfassung der Verfügbarkeit und Voraussetzungen der einzelnen Features auf den unterstützten DevOps-Plattformen:

Azure DevOps

Merkmal Grundlegende CSPM-Features Defender CSPM Voraussetzungen
Verbinden von Azure DevOps-Repositorys Yes Yes Siehe Voraussetzungen für das Azure DevOps-Onboarding
Inventar der Azure DevOps-Ressourcen Yes Yes Azure DevOps-Connector
Sicherheitsempfehlungen zum Beheben von Fehlkonfigurationen der DevOps-Umgebung Yes Yes Azure DevOps-Connector
Sicherheitsempfehlungen zum Beheben von Coderisiken Yes Yes Agentlose Codeüberprüfung (Vorschau) für agentlose Scans oder die Microsoft Security DevOps-Erweiterung für In-Pipeline-Scans oder GitHub Advanced Security für Azure DevOps für CodeQL-Scans
Sicherheitsempfehlungen zum Beheben von Infrastruktur als Code (IaC)-Fehlkonfigurationen Yes Yes Agentlose Codeüberprüfung (Vorschau) für agentlose Scans oder die Microsoft Security DevOps-Erweiterung für In-Pipeline-Scans
Sicherheitsempfehlungen zur Ermittlung offengelegter Geheimnisse Yes Yes GitHub Advanced Security für Azure DevOps
Sicherheitsempfehlungen zum Beheben von Open Source-Sicherheitsrisiken Yes Yes GitHub Advanced Security für Azure DevOps
Pull Request-Anmerkungen Nein Yes Voraussetzungen für Pull-Request-Anmerkungen anzeigen
Code-zu-Cloud-Zuordnung für Container Nein Yes Microsoft Security DevOps-Erweiterung
Code zur Cloudzuordnung für Infrastructure as Code (IaC)-Vorlagen Nein Yes Microsoft Security DevOps-Erweiterung
Analyse des Angriffspfads Nein Yes Aktivieren von Defender CSPM für ein Azure-Abonnement, AWS Connector oder GCP-Connector im selben Mandanten wie der DevOps-Connector
CloudSicherheits-Explorer Nein Yes Aktivieren von Defender CSPM für ein Azure-Abonnement, AWS Connector oder GCP-Connector im selben Mandanten wie der DevOps-Connector

GitHub

Merkmal Grundlegende CSPM-Features Defender CSPM Voraussetzungen
Verbinden von GitHub-Repositorys Yes Yes Siehe Voraussetzungen für das GitHub-Onboarding
Inventar der GitHub DevOps-Ressourcen Yes Yes GitHub-Connector
Sicherheitsempfehlungen zum Beheben von Fehlkonfigurationen der DevOps-Umgebung Yes Yes GitHub-Connector
Sicherheitsempfehlungen zum Beheben von Coderisiken Yes Yes Agentlose Codeüberprüfung (Vorschau) für agentlose Scans, Microsoft Security DevOps-Aktion für In-Pipeline-Scans oder GitHub Advanced Security for CodeQL-Scans
Sicherheitsempfehlungen zum Beheben von Infrastruktur als Code (IaC)-Fehlkonfigurationen Yes Yes Agentlose Codeüberprüfung (Vorschau) für agentlose Scans oder die Microsoft Security DevOps-Aktion für In-Pipeline-Scans
Sicherheitsempfehlungen zur Ermittlung offengelegter Geheimnisse Yes Yes GitHub Advanced Security
Sicherheitsempfehlungen zum Beheben von Open Source-Sicherheitsrisiken Yes Yes GitHub Advanced Security
Code-zu-Cloud-Zuordnung für Container Nein Yes Microsoft Security DevOps-Aktion
Analyse des Angriffspfads Nein Yes Aktivieren von Defender CSPM für ein Azure-Abonnement, AWS Connector oder GCP-Connector im selben Mandanten wie der DevOps-Connector
CloudSicherheits-Explorer Nein Yes Aktivieren von Defender CSPM für ein Azure-Abonnement, AWS Connector oder GCP-Connector im selben Mandanten wie der DevOps-Connector

GitLab

Merkmal Grundlegende CSPM-Features Defender CSPM Voraussetzungen
Verbinden von GitLab-Projekten Yes Yes Siehe Voraussetzungen für das GitLab-Onboarding
Sicherheitsempfehlungen zum Beheben von Coderisiken Yes Yes GitLab Ultimate
Sicherheitsempfehlungen zur Behebung von Infrastruktur-als-Code (IaC)-Fehlkonfigurationen Yes Yes GitLab Ultimate
Sicherheitsempfehlungen zur Ermittlung offengelegter Geheimnisse Yes Yes GitLab Ultimate
Sicherheitsempfehlungen zum Beheben von Open Source-Sicherheitsrisiken Yes Yes GitLab Ultimate
CloudSicherheits-Explorer Nein Yes Aktivieren von Defender CSPM für ein Azure-Abonnement, AWS Connector oder GCP-Connector im selben Mandanten wie der DevOps-Connector
  • Last updated on