Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página fornece uma experiência de integração simples para conectar ambientes do Azure DevOps ao Microsoft Defender para Nuvem e descobrir automaticamente os repositórios do Azure DevOps.
Ao conectar seus ambientes do Azure DevOps ao Defender para Nuvem, você estende os recursos de segurança do Defender para Nuvem aos recursos do Azure DevOps e melhora a postura de segurança. Saiba mais.
Pré-requisitos
Para concluir este guia de início rápido, você precisa:
- Uma conta do Azure com o Defender para Nuvem integrado. Caso você ainda não tenha uma conta do Azure, crie uma conta gratuitamente.
- Observe que a API chama que o Defender para Nuvem executa contagem em relação ao limite de consumo global do Azure DevOps.
- Examine as perguntas comuns sobre a segurança do DevOps no Defender para Nuvem.
Importante
O Defender para Nuvem executa operações Azure DevOps usando a identidade que autoriza o conector (uma conta de usuário ou serviço que você escolher). Atividades como leituras de repositório, anotações de pull requests e consultas de metadados de build são atribuídas à identidade no Azure DevOps em logs de auditoria, painéis de uso e linhas do tempo de PR. Para evitar confusão e garantir a continuidade, recomendamos usar uma conta de serviço dedicada (por exemplo, MDC-DevOps-Connector) com as permissões mínimas necessárias em vez de uma conta pessoal.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Disponibilidade geral. |
| Preço: | Para preço, confira a página de preço do Defender para Nuvem. Você também pode estimar os custos com a calculadora de custos do Defender para Nuvem. |
| Permissões necessárias: |
-
Colaborador para criar um conector na assinatura do Azure. - Administrador de Coleção de Projetos na organização do Azure DevOps. - Nível de acesso Básico ou Básico + Test Plans na organização do Azure DevOps. Certifique-se de ter permissões tanto de Administrador de Coleção de Projetos quanto de Nível de Acesso Básico para todas as organizações do Azure DevOps que deseja integrar. O Nível de Acesso de Stakeholder não é suficiente. Acesso a aplicativos de terceiros por meio do OAuth, que deve ser definido como On na organização do Azure DevOps.
Saiba mais sobre o OAuth e como habilitá-lo em suas organizações. |
| Regiões e disponibilidade: | Veja a seção suporte e pré-requisitos para obter suporte de região e disponibilidade de recursos. |
| Nuvem: |
Comercial
Comercial 
Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet) |
Observação
A função Leitor de Segurança pode ser aplicada no escopo do conector do Grupo de Recursos/Azure DevOps para evitar a configuração de permissões altamente privilegiadas em um nível de assinatura para acesso de leitura das avaliações de postura de segurança do DevOps.
Observação
O conector do Azure DevOps é criado sob o tipo de recurso Microsoft.Security/securityConnectors.
O Defender para DevOps também usa recursos adicionais no provedor de recursos Microsoft.Security (por exemplo, avaliações de segurança).
Para cenários de governança que usam isenções de política de nível de locatário, aplique isenções de escopo à Microsoft.Security/* para garantir a funcionalidade completa do Defender para DevOps.
Conectar sua organização do Azure DevOps
Observação
Depois de conectar o Azure DevOps ao Defender para Nuvem, a extensão de Mapeamento de Contêiner do Microsoft Defender para DevOps será automaticamente compartilhada e instalada em todas as organizações conectadas do Azure DevOps. Essa extensão permite que o Defender para Nuvem extraia metadados de pipelines, como a ID de resumo e o nome de um contêiner. Esses metadados são usados para conectar entidades de DevOps com seus recursos de nuvem relacionados. Saiba mais sobre o mapeamento de contêiner.
Para conectar a sua organização do Azure DevOps ao Defender para Nuvem usando um conector nativo:
Entre no portal do Azure.
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione Adicionar ambiente.
Escolha Azure DevOps.
Insira um nome, uma assinatura, um grupo de recursos e uma região.
A assinatura é o local onde o Microsoft Defender para Nuvem cria e armazena a conexão do Azure DevOps.
Selecione Avançar: configurar acesso.
Selecione Autorizar. Verifique se você está autorizando o locatário correto do Azure usando o menu suspenso no Azure DevOps e verificando se você está no locatário correto do Azure no Defender para Nuvem.
Na caixa de diálogo pop-up, leia a lista de solicitações de permissão e selecione Aceitar.
Em Organizações, selecione uma das seguintes opções:
- Selecione todas as organizações existentes para descobrir automaticamente todos os projetos e repositórios em organizações nas quais você é atualmente um administrador de coleção de projetos.
- Selecione todas as organizações existentes e futuras para descobrir automaticamente todos os projetos e repositórios em todas as organizações atuais e futuras nas quais você é um Administrador de Coleção de Projetos.
Observação
Acesso a aplicativos de terceiros via OAuth, que deve ser definido como
Onna organização do Azure DevOps. Saiba mais sobre o OAuth e como habilitá-lo em suas organizações.Como os repositórios do Azure DevOps são integrados sem custo extra, a descoberta automática é aplicada em toda a organização para garantir que o Defender para Nuvem possa avaliar de forma abrangente a postura de segurança e responder às ameaças à segurança em todo o ecossistema de DevOps. Posteriormente, as organizações podem ser adicionadas e removidas manualmente por meio de Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione Avançar: Examinar e gerar.
Examine as informações e selecione Criar.
Observação
Para garantir a funcionalidade adequada dos recursos avançados de postura do DevOps no Defender para Nuvem, somente uma instância de uma organização do Azure DevOps pode ser integrada ao locatário do Azure no qual você está criando um conector.
Após a integração bem-sucedida, os recursos do DevOps (por exemplo, repositórios, builds) estarão presentes nas páginas de segurança Inventário e DevOps. Pode levar até 8 horas para que os recursos apareçam. Recomendações de verificação de segurança podem exigir uma etapa adicional para configurar seus pipelines. Os intervalos de atualização para descobertas de segurança variam de acordo com a recomendação e os detalhes podem ser encontrados na página Recomendações.
Como o Defender para Nuvem usa a sua identidade
Depois de autorizar a conexão, o Defender para Nuvem usa as permissões da conta que criou o conector para executar operações no Azure DevOps.
Operações como inventário de repositório, leituras de metadados de build, anotações de pull request e verificação de código sem agente são executadas nessa identidade. A verificação de código sem agente recupera definições de código e infraestrutura como código para análise, e suas chamadas à API também contam em relação às cotas de uso da identidade.
No Azure DevOps, essas operações aparecem como se fossem executadas por essa conta e ficam visíveis em logs de auditoria, painéis de uso e linhas do tempo de PR.
Se a conta de autorização for removida ou perder o acesso, as operações automatizadas serão interrompidas até que o conector seja autorizado novamente.
Observação
As chamadas à API do Defender para Nuvem estão incluídas no limite de consumo global do Azure DevOps para a identidade que autorizou o conector. O Defender para Nuvem gerencia cuidadosamente o uso da API para evitar exceder os limites e a maioria dos clientes nunca tem limitação.
Próximas etapas
Saiba mais sobre a segurança do DevOps no Microsoft Defender para Nuvem.
Configure a tarefa do Microsoft Security DevOps no Azure Pipelines.
Explore a verificação de código sem agente para detectar o código e as vulnerabilidades de IaC em seus repositórios sem alterações de pipeline ou agentes, com descobertas exibidas diretamente no Defender para Nuvem.