將基礎結構即程式碼範本對應至雲端資源

將基礎結構即程式碼 (IaC) 範本對應至雲端資源，可協助您確保一致、安全且可稽核的基礎結構佈建。 它支援快速回應安全性威脅和基於安全的設計方法。 您可使用對應來探索執行階段資源中的設定錯誤。 然後，在範本層級進行補救，協助確保沒有漂移，並透過 CI/CD 方法促成部署。

必要條件

若要將適用於雲端的 Microsoft Defender 設定為將 IaC 範本對應至雲端資源，您需要：

• 已設定適用於雲端的 Defender 的 Azure 帳戶。 如果您尚未擁有 Azure 帳戶，請建立免費帳戶。
• 在適用於雲端的 Defender 中設定的 Azure DevOps 環境。
• 已啟用 Defender 雲端安全性態勢管理 (CSPM)。
• 設定為執行 Microsoft Security DevOps Azure DevOps 延伸模組的 Azure Pipelines。
• 使用標籤支援設定的 IaC 範本和雲端資源。 您可使用 Yor_trace 之類的開放原始碼工具來自動標記 IaC 範本。
  • 支援的雲端平台：Microsoft Azure、Amazon Web Services、Google Cloud Platform
  • 支援的原始程式碼管理系統：Azure DevOps
  • 支援的範本語言：Azure Resource Manager、Bicep、CloudFormation、Terraform

注意

適用於雲端的 Microsoft Defender 只會使用來自 IaC 範本的下列標籤進行對應：

• yor_trace
• mapping_tag

查看 IaC 範本與雲端資源之間的對應

若要在雲端安全性總管中查看 IaC 範本與雲端資源之間的對應：

1. 登入 Azure 入口網站。

2. 瀏覽至 適用於雲端的 Microsoft Defender>雲端安全性總管。

3. 在下拉式功能表中，搜尋並選取您所有的雲端資源。

4. 若要將更多篩選新增至查詢，請選取 +。

5. 在 [身分識別與存取] 類別中，新增 [佈建者] 子篩選條件。

6. 在 [DevOps] 類別中，選取 [程式代碼存放庫]。

7. 建置查詢之後，請選取 [搜尋] 以執行查詢。

或者，選取 [由 IaC 範本佈建且具有嚴重性設定錯誤的雲端資源] 內建範本。

注意

IaC 範本與雲端資源之間的對應最多可能需要 12 小時才會出現在雲端安全性總管中。

(選擇性) 建立範例 IaC 對應標籤

若要在程式碼存放庫中建立範例 IaC 對應標籤：

1. 在您的存放庫中，新增包含標籤的 IaC 範本。

   您可以從範例範本開始。

2. 若要直接認可至主要分支，或為此認可建立新的分支，請選取 [儲存]。

3. 確認您已在 Azure 管線中包含 Microsoft Security DevOps 工作。

4. 確認管線記錄顯示以下發現：在此資源上找到 IaC 標籤。 此發現表示適用於雲端的 Defender 成功探索標籤。

相關內容

• 深入了解適用於雲端的 Defender 中的 DevOps 安全性。