Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta página, se proporciona una experiencia de incorporación sencilla para conectar entornos de Azure DevOps a Microsoft Defender for Cloud y detectar automáticamente repositorios de Azure DevOps.
Al conectar los entornos de Azure DevOps a Defender for Cloud, amplía las funcionalidades de seguridad de Defender for Cloud a los recursos de Azure DevOps y mejora la posición de seguridad. Más información.
Prerrequisitos
Para completar este inicio rápido necesita instalar:
- Una cuenta de Azure con Defender for Cloud incorporado. Si aún no tiene una cuenta de Azure, cree una de forma gratuita.
- Las llamadas API realizadas por Defender for Cloud cuentan con el límite de consumo global de Azure DevOps.
- Revise las preguntas comunes sobre la seguridad de DevOps en Defender for Cloud.
Importante
Defender for Cloud realiza operaciones en Azure DevOps mediante la identidad que autoriza el conector (una cuenta de usuario o servicio que elija). Las actividades como las lecturas del repositorio, las anotaciones de solicitud de incorporación de cambios y las consultas de metadatos de compilación se atribuyen a esa identidad en los registros de auditoría de Azure DevOps, los paneles de uso y las escalas de tiempo de solicitud de incorporación de cambios. Para evitar confusiones y garantizar la continuidad, se recomienda usar una cuenta de servicio dedicada (por ejemplo, MDC-DevOps-Connector) con los permisos mínimos necesarios en lugar de una cuenta personal.
Disponibilidad
| Aspecto | Detalles |
|---|---|
| Estado de la versión: | Disponibilidad general. |
| Precios: | Para conocer los precios, consulte la página de precios de Defender for Cloud. También puede calcular los costos con la calculadora de costos de Defender for Cloud. |
| Permisos necesarios: |
-
Colaborador para crear un conector en la suscripción de Azure. - Administrador de colecciones de proyectos en la organización de Azure DevOps. - Nivel de acceso básico o Básico + Test Plans en la organización de Azure DevOps. Asegúrese de que tiene tanto permisos de administrador de colecciones de proyectos como nivel de acceso básico para todas las organizaciones de Azure DevOps que desea incorporar. El nivel de acceso de las partes interesadas no es suficiente. Acceso a aplicaciones de terceros a través de OAuth, que debe establecerse en On en la organización de Azure DevOps.
Obtenga más información sobre OAuth y cómo habilitarlo en las organizaciones. |
| Regiones y disponibilidad: | Consulte la sección Compatibilidad y requisitos previos para obtener compatibilidad con regiones y disponibilidad de características. |
| Nubes: |
Comercial
Comercial 
Nacional (Azure Government, Microsoft Azure operado por 21Vianet) |
Nota:
El rol Lector de seguridad se puede aplicar en el ámbito del conector de Grupo de recursos o Azure DevOps para evitar establecer permisos con privilegios elevados en un nivel de suscripción para el acceso de lectura de las evaluaciones de la posición de seguridad de DevOps.
Nota:
El conector de Azure DevOps se crea bajo el tipo de recurso Microsoft.Security/securityConnectors.
Defender para DevOps también utiliza recursos adicionales del proveedor de recursos Microsoft.Security (por ejemplo, evaluaciones de seguridad).
Para escenarios de gobernanza que utilizan exenciones de políticas a nivel de inquilino, aplique las exenciones de ámbito a Microsoft.Security/* para garantizar la funcionalidad completa de Defender for DevOps.
Conexión de la organización de Azure DevOps
Nota:
Después de conectar Azure DevOps a Defender for Cloud, la extensión de asignación de contenedores de Microsoft Defender for DevOps se compartirá e instalará automáticamente en todas las organizaciones de Azure DevOps conectadas. Esta extensión permite que Defender for Cloud extraiga metadatos de canalizaciones, como el identificador de resumen y el nombre de un contenedor. Estos metadatos se usan para conectar entidades de DevOps con sus recursos en la nube relacionados. Más información sobre la asignación de contenedores.
Para conectar la organización de Azure DevOps a Defender for Cloud mediante un conector nativo:
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender for Cloud>Configuración del entorno.
Seleccione Agregar entorno.
Seleccione Azure DevOps.
Escriba un nombre, una suscripción, un grupo de recursos y una región.
La suscripción es la ubicación en la que Microsoft Defender for Cloud crea y almacena la conexión de Azure DevOps.
Seleccione Siguiente: Configurar acceso.
Seleccione Autorizar. Asegúrese de autorizar el inquilino de Azure correcto mediante el menú desplegable de Azure DevOps y compruebe que está en el inquilino de Azure correcto en Defender for Cloud.
En el diálogo emergente, lea la lista de solicitudes de permisos y, a continuación, seleccione Aceptar.
En Organizaciones, seleccione una de las siguientes opciones:
- Seleccione todas las organizaciones existentes para detectar automáticamente todos los proyectos y repositorios de las organizaciones en las que actualmente es administrador de colección de proyectos.
- Seleccione todas las organizaciones existentes y futuras para detectar automáticamente todos los proyectos y repositorios en todas las organizaciones actuales y futuras en las que es administrador de colección de proyectos.
Nota:
En Acceso a aplicaciones de terceros a través de OAuthse debe seleccionar
Onen cada organización de Azure DevOps. Obtenga más información sobre OAuth y cómo habilitarlo en las organizaciones.Dado que los repositorios de Azure DevOps se incorporan sin costo adicional, la detección automática se aplica en toda la organización para asegurarse de que Defender for Cloud puede evaluar exhaustivamente la posición de seguridad y responder a las amenazas de seguridad en todo el ecosistema de DevOps. Las organizaciones se pueden agregar y quitar manualmente a través de Microsoft Defender for Cloud>Configuración del entorno.
Seleccione Next: Review and generate (Siguiente: Revisar y crear).
Examine la información y, a continuación, seleccione Crear.
Nota:
Para garantizar la funcionalidad adecuada de las funcionalidades avanzadas de posición de DevOps en Defender for Cloud, solo se puede incorporar una instancia de una organización de Azure DevOps al inquilino de Azure en el que está creando un conector.
Tras su correcta incorporación, los recursos de DevOps (por ejemplo, repositorios o compilaciones) estarán presentes en las páginas de seguridad de Inventario y DevOps. Los recursos pueden tardar hasta 8 horas en aparecer. Las recomendaciones del examen de seguridad pueden requerir un paso adicional para configurar las canalizaciones. Los intervalos de actualización de los resultados de seguridad varían en función de la recomendación y los detalles se pueden encontrar en la página Recomendaciones.
Cómo Defender for Cloud usa su identidad
Después de autorizar la conexión, Defender for Cloud usa los permisos de la cuenta que creó el conector para ejecutar operaciones en Azure DevOps.
Operaciones como el inventario de repositorios, las lecturas de metadatos de compilación, las anotaciones de solicitud de cambios y el análisis de código sin agente se ejecutan en esa identidad. El análisis de código sin agente recupera definiciones de código e infraestructura como código para el análisis, y sus llamadas API también cuentan con las cuotas de uso de la identidad.
En Azure DevOps, estas operaciones aparecen como si fueran realizadas por esa cuenta y son visibles en los registros de auditoría, los paneles de uso y las escalas de tiempo de solicitud de incorporación de cambios.
Si la cuenta de autorización se quita o pierde el acceso, las operaciones automatizadas se detendrán hasta que el conector se vuelva a autorizar.
Nota:
Las llamadas a la API de Defender for Cloud se incluyen en el límite de consumo global de Azure DevOps para la identidad que autorizó el conector. Defender for Cloud administra cuidadosamente el uso de la API para evitar superar los límites y la mayoría de los clientes nunca experimentan la limitación.
Pasos siguientes
Obtenga más información sobre Seguridad de DevOps en Defender for Cloud.
Configurar la tarea de Microsoft Security DevOps en Azure Pipelines.
Explore el análisis de código sin agente para detectar vulnerabilidades de código e IaC en los repositorios sin cambios de canalización ni agentes, con resultados que se muestran directamente en Defender for Cloud.