Del via

Sådan Defender for Cloud Apps hjælper med at beskytte dit GCP-miljø (Google Cloud Platform)

  • Artikel

Google Cloud Platform er en IaaS-udbyder, der gør det muligt for din organisation at hoste og administrere hele deres arbejdsbelastninger i cloudmiljøet. Ud over fordelene ved at udnytte infrastrukturen i cloudmiljøet kan organisationens vigtigste aktiver blive udsat for trusler. Eksponerede aktiver omfatter lagerforekomster med potentielt følsomme oplysninger, beregningsressourcer, der styrer nogle af dine mest kritiske programmer, porte og virtuelle private netværk, der giver adgang til din organisation.

Hvis du forbinder GCP med Defender for Cloud Apps, hjælper det dig med at beskytte dine aktiver og registrere potentielle trusler ved at overvåge administrative aktiviteter og logonaktiviteter, give besked om mulige angreb med brutal magt, ondsindet brug af en privilegeret brugerkonto og usædvanlige sletninger af VM'er.

Vigtigste trusler

  • Misbrug af cloudressourcer
  • Kompromitterede konti og insidertrusler
  • Datalækage
  • Forkert konfiguration af ressource og utilstrækkelig adgangskontrol

Sådan hjælper Defender for Cloud Apps med at beskytte dit miljø

Kontrollér GCP med indbyggede politikker og politikskabeloner

Du kan bruge følgende indbyggede politikskabeloner til at registrere og give dig besked om potentielle trusler:

Type Navn
Indbygget politik for registrering af uregelmæssigheder Aktivitet fra anonyme IP-adresser
Aktivitet fra sjældne lande
Aktivitet fra mistænkelige IP-adresser
Umulig rejse
Aktivitet udført af afsluttet bruger (kræver Microsoft Entra ID som IdP)
Flere mislykkede logonforsøg
Usædvanlige administrative aktiviteter
Flere slette VM-aktiviteter
Usædvanligt antal aktiviteter til oprettelse af vm (prøveversion)
Skabelon for aktivitetspolitik Ændringer af beregningsprogramressourcer
Ændringer i StackDriver-konfigurationen
Ændringer af lagerressourcer
Ændringer i virtuelt privat netværk
Logon fra en risikabel IP-adresse

Du kan få flere oplysninger om oprettelse af politikker under Opret en politik.

Automatiser styringskontrolelementer

Ud over overvågning af potentielle trusler kan du anvende og automatisere følgende GCP-styringshandlinger for at afhjælpe registrerede trusler:

Type Handling
Brugerstyring - Kræv, at brugeren nulstiller adgangskoden til Google (kræver, at der er oprettet forbindelse til forekomsten af Google Workspace)
- Suspender bruger (kræver tilknyttet forekomst af Google Workspace)
- Giv brugeren besked ved underretning (via Microsoft Entra ID)
- Kræv, at brugeren logger på igen (via Microsoft Entra ID)
- Afbryd brugeren (via Microsoft Entra ID)

Du kan få flere oplysninger om afhjælpning af trusler fra apps under Styring af forbundne apps.

Beskyt GCP i realtid

Gennemse vores bedste praksis for sikring og samarbejde med eksterne brugere og blokering og beskyttelse af download af følsomme data til ikke-administrerede eller risikable enheder.

Forbind Google Cloud Platform med Microsoft Defender for Cloud Apps

Dette afsnit indeholder en vejledning i, hvordan du opretter forbindelse Microsoft Defender for Cloud Apps til din eksisterende GCP-konto (Google Cloud Platform) ved hjælp af connector-API'erne. Denne forbindelse giver dig indsigt i og kontrol over GCP-brug. Du kan få oplysninger om, hvordan Defender for Cloud Apps beskytter GCP, under Beskyt GCP.

Vi anbefaler, at du bruger et dedikeret projekt til integrationen og begrænser adgangen til projektet for at bevare stabil integration og forhindre sletninger/ændringer af konfigurationsprocessen.

Bemærk!

Vejledningen til oprettelse af forbindelse til dit GCP-miljø til overvågning følger Googles anbefalinger til brug af aggregerede logge. Integrationen udnytter Google StackDriver og forbruger yderligere ressourcer, der kan påvirke din fakturering. De forbrugte ressourcer er:

Defender for Cloud Apps overvågningsforbindelsen importerer kun Administration aktivitetsovervågningslogge. Overvågningslogge for dataadgang og systemhændelser importeres ikke. Du kan finde flere oplysninger om GCP-logge under Cloud Audit Logs.

Forudsætninger

Den integrerede GCP-bruger skal have følgende tilladelser:

  • IAM og Administration redigere – organisationsniveau
  • Oprettelse og redigering af projekt

Du kan forbinde overvågning af GCP-sikkerhed med dine Defender for Cloud Apps forbindelser for at få indsigt i og kontrol over brugen af GCP-appen.

Konfigurer Google Cloud Platform

Opret et dedikeret projekt

Opret et dedikeret projekt i GCP under din organisation for at muliggøre integrationsisolering og stabilitet

  1. Log på din GCP-portal ved hjælp af din integrerede GCP-brugerkonto.

  2. Vælg Opret projekt for at starte et nyt projekt.

  3. På skærmen Nyt projekt skal du navngive projektet og vælge Opret.

    Skærmbillede, der viser dialogboksen Opret projekt for GCP.

Aktivér påkrævede API'er

  1. Skift til det dedikerede projekt.

  2. Gå til fanen Bibliotek .

  3. Søg efter og vælg Cloud Logging API, og vælg derefter AKTIVér på API-siden.

  4. Søg efter og vælg Cloud Pub/Sub API, og vælg derefter AKTIVér på API-siden.

    Bemærk!

    Sørg for, at du ikke vælger Pub/Sub Lite API.

Opret en dedikeret tjenestekonto til integration af sikkerhedsovervågning

  1. Under IAM & administrator skal du vælge Tjenestekonti.

  2. Vælg OPRET TJENESTEKONTO for at oprette en dedikeret tjenestekonto.

  3. Angiv et kontonavn, og vælg derefter Opret.

  4. Angiv rollen som pub/under Administration, og vælg derefter Gem.

    Skærmbillede, der viser GCP-rollen Tilføj IAM.

  5. Kopiér værdien Mail . Det skal du bruge senere.

    Skærmbillede, der viser dialogboksen GCP-tjenestekonto.

  6. Under IAM & administrator skal du vælge IAM.

    1. Skift til organisationsniveau.

    2. Vælg TILFØJ.

    3. I feltet Nye medlemmer skal du indsætte den mailværdi , du kopierede tidligere.

    4. Angiv Rollen som logkonfigurationsforfatter , og vælg derefter Gem.

      Skærmbillede, der viser dialogboksen Tilføj medlem.

Opret en privat nøgle for den dedikerede tjenestekonto

  1. Skift til projektniveau.

  2. Under IAM & administrator skal du vælge Tjenestekonti.

  3. Åbn den dedikerede tjenestekonto, og vælg Rediger.

  4. Vælg OPRET NØGLE.

  5. På skærmen Opret privat nøgle skal du vælge JSON og derefter vælge OPRET.

    Skærmbillede, der viser dialogboksen Opret privat nøgle.

    Bemærk!

    Du skal bruge den JSON-fil, der downloades til din enhed senere.

Hent dit organisations-id

Notér dit organisations-id. Det skal du bruge senere. Du kan finde flere oplysninger under Hent dit organisations-id.

Skærmbillede, der viser dialogboksen organisations-id.

Forbind Google Cloud Platform-overvågning med Defender for Cloud Apps

I denne procedure beskrives det, hvordan du tilføjer GCP-forbindelsesoplysningerne for at forbinde Google Cloud Platform-overvågning med Defender for Cloud Apps.

  1. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors.

  2. På siden App-connectors skal du gøre et af følgende for at angive legitimationsoplysningerne for GCP-connectoren:

    Bemærk!

    Vi anbefaler, at du opretter forbindelse til din Forekomst af Google Workspace for at få samlet brugeradministration og -styring. Dette er det anbefalede, selvom du ikke bruger nogen Google Workspace-produkter, og GCP-brugerne administreres via Google Workspace-brugeradministrationssystemet.

    For en ny connector

    1. Vælg +Opret forbindelse til en app efterfulgt af Google Cloud Platform.

      Opret forbindelse til GCP.

    2. I det næste vindue skal du angive et navn til connectoren og derefter vælge Næste.

      Navn på GCP-connector.

    3. På siden Angiv detaljer skal du gøre følgende og derefter vælge Send.

      1. Angiv den organisation, du noterede tidligere, i feltet Organisations-id .
      2. Gå til den JSON-fil, du downloadede tidligere, i feltet Privat nøgle-fil .

      Opret forbindelse til overvågning af GCP-appens sikkerhed for en ny connector.

    For en eksisterende connector

    1. På listen over forbindelser skal du vælge Rediger indstillinger på den række, hvor GCP-connectoren vises.

      Skærmbillede af siden Tilsluttede apps, der viser linket Rediger sikkerhedsovervågning.

    2. På siden Angiv detaljer skal du gøre følgende og derefter vælge Send.

      1. Angiv den organisation, du noterede tidligere, i feltet Organisations-id .
      2. Gå til den JSON-fil, du downloadede tidligere, i feltet Privat nøgle-fil .

      Opret forbindelse til overvågning af GCP-appens sikkerhed for eksisterende connector.

  3. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors. Kontrollér, at statussen for den tilsluttede App Connector er Tilsluttet.

    Bemærk!

    Defender for Cloud Apps opretter en samlet eksportsænkning (organisationsniveau), et Pub/Sub-emne og et Pub/Sub-abonnement ved hjælp af integrationstjenestekontoen i integrationsprojektet.

    Samlet eksportsænkning bruges til at aggregere logge på tværs af GCP-organisationen, og det pub/underemne, der oprettes, bruges som destination. Defender for Cloud Apps abonnerer på dette emne via det Pub/Sub-abonnement, der er oprettet for at hente administratoraktivitetslogfilerne på tværs af GCP-organisationen.

Hvis du har problemer med at oprette forbindelse til appen, skal du se Fejlfinding af App Connectors.

Næste trin

Styr cloudapps med politikker

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.