Как Defender for Cloud Apps помогает защитить среду GitHub Enterprise

GitHub Enterprise Cloud — это служба, которая помогает организациям хранить код и управлять ими, а также отслеживать и контролировать изменения в коде. Помимо преимуществ создания и масштабирования репозиториев кода в облаке, наиболее важные ресурсы вашей организации могут подвергаться угрозам. Доступные ресурсы включают репозитории с потенциально конфиденциальной информацией, сведения о совместной работе и партнерстве и многое другое. Чтобы предотвратить раскрытие этих данных, требуется непрерывный мониторинг, чтобы предотвратить кражу конфиденциальной информации злоумышленниками или лицами, не осведомленными о безопасности.

Подключение GitHub Enterprise Cloud к Defender for Cloud Apps позволяет получить более подробные сведения о действиях пользователей и обнаружить угрозы для аномального поведения.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Основные угрозы

Основными угрозами для GitHub корпоративных облачных сред являются следующие:

  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Недостаточная осведомленность о безопасности
  • Неуправляемое использование собственных устройств (BYOD)

Как Defender for Cloud Apps помогает защитить среду

Defender for Cloud Apps помогает защитить среду GitHub Enterprise с помощью следующих рекомендаций:

Управление состоянием безопасности SaaS

Чтобы просмотреть рекомендации по безопасности для GitHub в Оценка безопасности (Майкрософт), создайте соединитель API на вкладке Соединители с разрешениями владельца и предприятия . В разделе Оценка безопасности выберите Рекомендуемые действия и отфильтруйте по продукту = GitHub.

Например, рекомендации для GitHub:

  • Включение многофакторной проверки подлинности (MFA)
  • Включить единый вход (SSO)
  • Отключите параметр "Разрешить участникам изменять видимость репозитория для этой организации"
  • Отключите "участники с разрешениями администратора для репозиториев могут удалять или передавать репозитории"

Если соединитель уже существует и рекомендации GitHub еще не отображаются, обновите подключение, отключив соединитель API, а затем повторно подключив его с разрешениями владельца и предприятия .

Дополнительные сведения см. в разделе:

Защита GitHub в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите гостей и совместной работе с ними.

Подключение GitHub Enterprise Cloud к Microsoft Defender for Cloud Apps

Выполните следующие действия, чтобы подключить Microsoft Defender for Cloud Apps к существующей организации GitHub Enterprise Cloud с помощью API соединителя приложений. Это подключение позволяет отслеживать использование GitHub Enterprise Cloud в организации и контролировать их. Дополнительные сведения о том, как Defender for Cloud Apps защищает GitHub Enterprise Cloud, см. в разделе Защита GitHub Enterprise.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Предварительные условия

Прежде чем подключить GitHub Enterprise Cloud к Defender for Cloud Apps, убедитесь, что выполнены следующие предварительные требования:

  • Ваша организация должна иметь лицензию GitHub Enterprise Cloud .
  • Учетная запись GitHub, используемая для подключения к Defender for Cloud Apps, должна иметь разрешения владельца для вашей организации.
  • Для возможностей SSPM указанная учетная запись должна быть владельцем корпоративной учетной записи.
  • Чтобы проверить владельцев организации, перейдите на страницу организации, выберите Люди и отфильтруйте по владельцу.

Проверка доменов GitHub

Проверка доменов необязательна. Мы рекомендуем обязательно подтвердить свои домены, чтобы Defender for Cloud Apps мог сопоставить адреса электронной почты с этими доменами у участников вашей организации GitHub с соответствующими пользователями Azure Active Directory.

Проверка домена является необязательным и отделена от процесса настройки GitHub корпоративного облачного приложения. Пропустите эту процедуру, если домены уже проверены.

  1. Переведите свою организацию на корпоративные Условия использования.

  2. Проверьте домены вашей организации.

    Примечание.

    Обязательно проверьте каждый из управляемых доменов, перечисленных в параметрах Defender for Cloud Apps. Управляемые домены перечислены на портале Microsoft Defender в разделе Параметры>Облачные приложения>Система Организационные>сведения Управляемые>домены.

Настройка GitHub Enterprise Cloud

  1. Скопируйте имя для входа в свою организацию. Позже вам понадобится имя организации для входа.

    Примечание.

    Страница будет иметь URL-адрес, например https://github.com/<your-organization>. Например, если страница вашей организации — https://github.com/sample-organization, имя входа организации — sample-organization.

  2. Создайте приложение OAuth для Defender for Cloud Apps, чтобы подключить организацию GitHub.

  3. Заполните сведения о регистрации нового приложения OAuth и выберите Зарегистрировать приложение.

    • В поле Имя приложения введите имя приложения.
    • В поле URL-адрес домашней страницы введите URL-адрес домашней страницы приложения.
    • В поле URL-адрес обратного вызова авторизации введите следующее значение: https://portal.cloudappsecurity.com/api/oauth/connect.

    Примечание.

    • Для клиентов GCC государственных организаций США введите следующее значение: https://portal.cloudappsecuritygov.com/api/oauth/connect

    • Для клиентов US Government GCC High введите следующее значение: https://portal.cloudappsecurity.us/api/oauth/connect

    • Приложения, принадлежащие организации, имеют доступ к приложениям организации. Дополнительные сведения см. в разделе Об ограничениях доступа приложений OAuth.

  4. Выберите созданное приложение OAuth и скопируйте идентификатор клиента и секрет клиента.

Настройте Defender for Cloud Apps

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  2. На странице Соединители приложений выберите +Подключить приложение, а затем GitHub.

  3. В следующем окне присвойте соединителю описательное имя и нажмите кнопку Далее.

  4. В окне "Ввод сведений" введите идентификатор клиента и секрет клиента из приложения OAuth и имя входа организации, скопированное при настройке GitHub Enterprise Cloud.

    Подключите GitHub.

    Корпоративный slug, также известный как название предприятия, необходим для поддержки возможностей SSPM. Чтобы найти корпоративный slug, выполните следующие действия:

    1. Выберите изображение профиля GitHub —>ваши предприятия.
    2. Выберите свою корпоративную учетную запись и учетную запись, которую вы хотите подключить к Microsoft Defender for Cloud Apps.
    3. Убедитесь, что URL-адрес содержит идентификатор организации. Например, https://github.com/enterprises/testEnterprise
    4. Введите только корпоративный slug, а не весь URL-адрес. В этом примере testEnterprise — это корпоративный slug.
  5. Выберите Подключить GitHub.

    При необходимости введите учетные данные администратора GitHub, чтобы разрешить Defender for Cloud Apps доступ к экземпляру GitHub Enterprise Cloud вашей команды.

  6. Запросите доступ к организации и авторизуйте приложение, чтобы предоставить Defender for Cloud Apps доступ к вашей организации GitHub. Для Defender for Cloud Apps требуются следующие области действия OAuth:

    • admin:org — требуется для синхронизации журнала аудита организации.
    • read:user и user:email — требуется для синхронизации участников вашей организации.
    • repo:status — требуется для синхронизации событий, связанных с репозиторием, в журнале аудита.
    • read:enterprise — требуется для возможностей SSPM. Указанный пользователь должен быть владельцем корпоративной учетной записи.

    Дополнительные сведения о областях OAuth см. в статье Основные сведения о областях для приложений OAuth.

    В консоли Defender for Cloud Apps должно появиться сообщение о том, что GitHub успешно подключен.

  7. Согласуйте с владельцем организации GitHub предоставление приложению OAuth, созданному в настройках GitHub доступ сторонних приложений, доступа к организации. Дополнительные сведения см. в документации по GitHub.

    Владелец организации найдет запрос из приложения OAuth только после подключения GitHub к Defender for Cloud Apps.

  8. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

После подключения к GitHub Enterprise Cloud вы будете получать события за 7 дней до подключения.

Дальнейшие действия

Используйте следующие ресурсы для устранения неполадок и управления подключенными GitHub корпоративной облачной средой: