扫描和保护源代码

通过将源代码存储库、CI/CD 管道、容器注册表和运行时工作负载连接到 Microsoft Defender for Cloud 中的 DevOps 安全性,保护从代码到云的开发生命周期。 这样,你的安全和工程团队就有一个统一的视图,可以尽早捕获风险,专注于生产中实际可利用的风险,并且在不妨碍开发人员的情况下解决问题。

从代码到云,进行连接、扫描和追踪。

  • 将存储库和管道连接到 Defender for Cloud 中,将 GitHub、Azure DevOps 和 GitLab 环境加入到 Defender for Cloud 中,以便在一个位置跨代码存储库、管道、基础结构即代码(IaC)模板和容器映像获得统一的可见性。
  • 在代码和基础结构交付之前扫描代码和基础结构 - 启用无代理代码和 IaC 扫描,以捕获拉取请求阶段的错误配置和漏洞。 为了进行更严格的控制,请将 Defender for Cloud CLI 直接添加到 CI/CD 管道,以在每个生成过程中强制扫描。
  • 从代码到运行工作负载的漏洞跟踪——通过代码到云的上下文分析,将发现映射回构建工件、注册表和运行时环境中。 这样,便可以优先处理在生产环境中实际可触及的漏洞,而不是处理每一个发现的漏洞。
  • 锁定容器供应链 — 在生成时扫描容器映像、强制实施基于策略的检查来阻止易受攻击的映像进行部署,并将生成时发现与运行时行为相关联,以捕获部署后出现的威胁。 有关详细信息,请参阅 Defender for Containers 中的“启用封闭部署”。

管理、路由并保护运行时环境

  • 审核 DevOps 姿态:检查 CI/CD 管道、存储库配置和服务连接,查找不安全的设置、过多的权限和薄弱的访问控制。 使用 DevOps 状况管理建议系统地强化开发基础结构。
  • 将修补程序分配给正确的开发人员 - 启用拉取请求批注,这样开发人员就可以在他们的工作流程中直接看到安全发现。 使用所有权映射和工作流自动化将修正分配给拥有代码的团队,并与他们已使用的工具集成。
  • 将 GitHub 高级安全发现引入 Defender,如果你使用 GitHub 高级安全性,请将其连接到 Defender for Cloud,以显示代码扫描、机密检测和依赖项发现,与云状况和运行时风险一起呈现,为安全操作中心(SOC)提供从提交到生产的完全可见性。
  • 降低开发者设备的供应链风险 - 使用 GitHub CodespacesMicrosoft Dev Box 提供经过预先强化的隔离云开发环境,并提供限定的代码库访问、加密的机密管理以及完整的审计日志记录。 在开发人员帐户上强制实施终结点保护和条件访问策略。 有关详细信息,请参阅:
  • 检测运行 Kubernetes 工作负荷中的威胁 — 通过启用 Microsoft Defender for Containers 运行时保护来超越扫描时漏洞检测。 部署到 Kubernetes 节点(例如 Azure Kubernetes 服务 (AKS)、Amazon Elastic Kubernetes 服务 (EKS)、Google Kubernetes 引擎 (GKE) 和已启用 Arc 的群集)的轻型传感器监视恶意活动,包括加密挖掘、横向移动和偏移二进制文件,以及映射到 MITRE ATT&CK 框架的实时警报。 有关详细信息,请参阅 Defender for Cloud 中的容器保护

机密和管道强化

  • 在组织级别启用敏感信息扫描和推送保护,并为新存储库自动启用这些功能。
  • 使用集中管理的模板、最低特权标识和基于 OpenID Connect(OIDC)的身份验证强化生成管道。

AI 支持的代码评审和风险关联

  • AI 提供支持的代码评审 - 可以将 GitHub Copilot 分配为 PR 审阅者,以使用 AI 和 CodeQL 捕获安全问题。 GitHub Copilot 已完成超过 6000 万次评论。 有关详细信息,请参阅 使用 GitHub Copilot 代码评审
  • 使用 Defender for Cloud 将代码发现与云暴露相关联,以便你可以首先修复实际可访问的内容。
  • 将源代码管理组织连接到 Defender for Cloud 并启用 Defender 云安全状况管理(CSPM)。 有关详细信息,请参阅:
  • Microsoft安全暴露管理中跟踪组织范围的漏洞暴露,该管理将 Defender 产品的信号聚合为生成端到端暴露分数并设置修正优先级。 请参阅 什么是Microsoft安全暴露管理?

使用 AI 支持的代理加速

  • Microsoft Defender 中的 威胁搜寻代理 使分析人员能够使用自然语言查询调查代码、管道和运行时工作负载中的可疑活动,将其转换为 Kusto 查询语言(KQL)并呈现上下文见解,而无需手动查询组合。 有关详细信息,请参阅高级搜寻中的 Microsoft Security Copilot 威胁搜寻代理