Delen via

Hoe Defender for Cloud Apps uw GCP-omgeving (Google Cloud Platform) beschermt

  • Artikel

Google Cloud Platform is een IaaS-provider waarmee uw organisatie hun volledige workloads in de cloud kan hosten en beheren. Naast de voordelen van het gebruik van infrastructuur in de cloud, kunnen de meest kritieke assets van uw organisatie worden blootgesteld aan bedreigingen. Beschikbare assets zijn onder andere opslagexemplaren met mogelijk gevoelige informatie, rekenresources die enkele van uw meest kritieke toepassingen, poorten en virtuele particuliere netwerken beheren die toegang tot uw organisatie mogelijk maken.

Als u GCP verbindt met Defender for Cloud Apps, kunt u uw assets beveiligen en potentiële bedreigingen detecteren door beheer- en aanmeldingsactiviteiten te bewaken, te informeren over mogelijke brute force-aanvallen, kwaadwillig gebruik van een bevoegde gebruikersaccount en ongebruikelijke verwijderingen van VM's.

Belangrijkste bedreigingen

  • Misbruik van cloudresources
  • Gecompromitteerde accounts en interne bedreigingen
  • Gegevenslekken
  • Onjuiste configuratie van resources en onvoldoende toegangsbeheer

Hoe Defender for Cloud Apps uw omgeving helpt beschermen

GCP beheren met ingebouwde beleidsregels en beleidssjablonen

U kunt de volgende ingebouwde beleidssjablonen gebruiken om potentiële bedreigingen te detecteren en u hiervan op de hoogte te stellen:

Type Naam
Ingebouwd beleid voor anomaliedetectie Activiteit van anonieme IP-adressen
Activiteit uit onregelmatig land
Activiteit van verdachte IP-adressen
Onmogelijk reizen
Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra ID als IdP)
Meerdere mislukte aanmeldingspogingen
Ongebruikelijke beheeractiviteiten
Meerdere VM-activiteiten verwijderen
Ongebruikelijke activiteiten voor het maken van meerdere VM's (preview)
Sjabloon voor activiteitenbeleid Wijzigingen in de resources van de rekenengine
Wijzigingen in StackDriver-configuratie
Wijzigingen in opslagresources
Wijzigingen in Virtual Private Network
Aanmelden vanaf een riskant IP-adres

Zie Een beleid maken voor meer informatie over het maken van beleid.

Beheerbesturingselementen automatiseren

Naast het controleren op mogelijke bedreigingen, kunt u de volgende GCP-governanceacties toepassen en automatiseren om gedetecteerde bedreigingen te herstellen:

Type Actie
Gebruikersbeheer - Vereisen dat de gebruiker het wachtwoord opnieuw instelt op Google (hiervoor is een gekoppelde Google Workspace-instantie vereist)
- Gebruiker onderbreken (vereist verbonden gekoppelde Google Workspace-instantie)
- Gebruiker waarschuwen bij waarschuwing (via Microsoft Entra ID)
- Vereisen dat de gebruiker zich opnieuw aanmeldt (via Microsoft Entra ID)
- Gebruiker onderbreken (via Microsoft Entra ID)

Zie Verbonden apps beheren voor meer informatie over het oplossen van bedreigingen van apps.

GCP in realtime beveiligen

Bekijk onze best practices voor het beveiligen en samenwerken met externe gebruikers en het blokkeren en beveiligen van het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten.

Google Cloud Platform verbinden met Microsoft Defender for Cloud Apps

In deze sectie vindt u instructies voor het verbinden van Microsoft Defender for Cloud Apps met uw bestaande GCP-account (Google Cloud Platform) met behulp van de connector-API's. Met deze verbinding krijgt u inzicht in en controle over het gebruik van GCP. Zie GCP beveiligen voor meer informatie over hoe Defender for Cloud Apps GCP beschermt.

U wordt aangeraden een toegewezen project te gebruiken voor de integratie en de toegang tot het project te beperken om stabiele integratie te behouden en verwijderingen/wijzigingen van het installatieproces te voorkomen.

Opmerking

De instructies voor het verbinden van uw GCP-omgeving voor controle volgen de aanbevelingen van Google voor het gebruik van geaggregeerde logboeken. De integratie maakt gebruik van Google StackDriver en verbruikt extra resources die van invloed kunnen zijn op uw facturering. De verbruikte resources zijn:

De Defender for Cloud Apps controleverbinding importeert alleen Beheer activiteitencontrolelogboeken; Auditlogboeken voor gegevenstoegang en systeemgebeurtenissen worden niet geïmporteerd. Zie Cloud auditlogboeken voor meer informatie over GCP-logboeken.

Vereisten

De integrerende GCP-gebruiker moet de volgende machtigingen hebben:

  • IAM en Beheer bewerken : organisatieniveau
  • Project maken en bewerken

U kunt GCP Security-controle verbinden met uw Defender for Cloud Apps-verbindingen om inzicht te krijgen in en controle te krijgen over het gebruik van GCP-apps.

Google Cloud Platform configureren

Een toegewezen project maken

Maak een toegewezen project in GCP onder uw organisatie om integratie-isolatie en stabiliteit mogelijk te maken

  1. Meld u aan bij uw GCP-portal met uw integrerende GCP-gebruikersaccount.

  2. Selecteer Project maken om een nieuw project te starten.

  3. Geef in het scherm Nieuw project de naam van uw project en selecteer Maken.

    Schermopname van het dialoogvenster GCP project maken.

Vereiste API's inschakelen

  1. Schakel over naar het toegewezen project.

  2. Ga naar het tabblad Bibliotheek .

  3. Zoek en selecteer Cloud Logging API en selecteer vervolgens op de pagina API de optie INSCHAKELEN.

  4. Zoek en selecteer Cloud Pub/Sub-API en selecteer vervolgens op de pagina API de optie INSCHAKELEN.

    Opmerking

    Zorg ervoor dat u geen Pub/Sub Lite-API selecteert.

Een toegewezen serviceaccount maken voor de integratie van beveiligingscontrole

  1. Selecteer onder IAM & beheerderde optie Serviceaccounts.

  2. Selecteer SERVICEACCOUNT MAKEN om een toegewezen serviceaccount te maken.

  3. Voer een accountnaam in en selecteer vervolgens Maken.

  4. Geef de rol op als pub-/sub-Beheeren selecteer opslaan.

    Schermopname van GCP IAM-rol toevoegen.

  5. Kopieer de Email waarde. U hebt deze later nodig.

    Schermopname van het dialoogvenster GCP-serviceaccount.

  6. Selecteer onder IAM & beheerderde optie IAM.

    1. Schakel over naar organisatieniveau.

    2. Selecteer TOEVOEGEN.

    3. Plak in het vak Nieuwe leden de Email waarde die u eerder hebt gekopieerd.

    4. Geef de rol op als Logboekconfiguratieschrijver en selecteer vervolgens Opslaan.

      Schermopname van het dialoogvenster Lid toevoegen.

Een persoonlijke sleutel maken voor het toegewezen serviceaccount

  1. Overschakelen naar projectniveau.

  2. Selecteer onder IAM & beheerderde optie Serviceaccounts.

  3. Open het toegewezen serviceaccount en selecteer Bewerken.

  4. Selecteer CREATE KEY.

  5. Selecteer JSON in het scherm Persoonlijke sleutel maken en selecteer vervolgens CREATE.

    Schermopname van het dialoogvenster Persoonlijke sleutel maken.

    Opmerking

    U hebt het JSON-bestand nodig dat later naar uw apparaat wordt gedownload.

Uw organisatie-id ophalen

Noteer uw organisatie-id. U hebt deze later nodig. Zie Uw organisatie-id ophalen voor meer informatie.

Schermopname van het dialoogvenster Organisatie-id.

Google Cloud Platform-controle verbinden met Defender for Cloud Apps

In deze procedure wordt beschreven hoe u de GCP-verbindingsgegevens toevoegt om google cloudplatformcontrole te verbinden met Defender for Cloud Apps.

  1. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Verbonden appsde optie App-connectors.

  2. Voer op de pagina App-connectors een van de volgende handelingen uit om de referenties van de GCP-connector op te geven:

    Opmerking

    We raden u aan om verbinding te maken met uw Google Workspace-exemplaar om uniform gebruikersbeheer en beheer te krijgen. Dit wordt aanbevolen, zelfs als u geen Google Workspace-producten gebruikt en de GCP-gebruikers worden beheerd via het gebruikersbeheersysteem van Google Workspace.

    Voor een nieuwe connector

    1. Selecteer +Verbinding maken met een app, gevolgd door Google Cloud Platform.

      Verbinding maken met GCP.

    2. Geef in het volgende venster een naam op voor de connector en selecteer volgende.

      Naam van GCP-connector.

    3. Ga op de pagina Details invoeren als volgt te werk en selecteer verzenden.

      1. Voer in het vak Organisatie-id de organisatie in die u eerder hebt genoteerd.
      2. Blader in het vak Bestand met persoonlijke sleutel naar het JSON-bestand dat u eerder hebt gedownload.

      Verbinding maken met GCP-app-beveiligingscontrole voor nieuwe connector.

    Voor een bestaande connector

    1. Selecteer instellingen bewerken in de lijst met connectors in de rij waarin de GCP-connector wordt weergegeven.

      Schermopname van de pagina Verbonden apps, met de koppeling Beveiligingscontrole bewerken.

    2. Ga op de pagina Details invoeren als volgt te werk en selecteer verzenden.

      1. Voer in het vak Organisatie-id de organisatie in die u eerder hebt genoteerd.
      2. Blader in het vak Bestand met persoonlijke sleutel naar het JSON-bestand dat u eerder hebt gedownload.

      Verbinding maken met GCP-app-beveiligingscontrole voor bestaande connector.

  3. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Verbonden appsde optie App-connectors. Zorg ervoor dat de status van de verbonden App Connector Verbonden is.

    Opmerking

    Defender for Cloud Apps maakt een geaggregeerde export sink (organisatieniveau), een Pub/Sub-onderwerp en een Pub/Sub-abonnement met behulp van het integratieserviceaccount in het integratieproject.

    Geaggregeerde export sink wordt gebruikt om logboeken in de GCP-organisatie te aggregeren en het pub/subonderwerp dat is gemaakt, wordt gebruikt als het doel. Defender for Cloud Apps abonneert zich op dit onderwerp via het Pub/Sub-abonnement dat is gemaakt om de beheerdersactiviteitenlogboeken in de GCP-organisatie op te halen.

Als u problemen ondervindt bij het verbinden van de app, raadpleegt u Problemen met app-connectors oplossen.

Volgende stappen

Cloud-apps beheren met beleid

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.