Как Defender for Cloud Apps помогает защитить среду Google Workspace
Как облачное средство хранения файлов и совместной работы, Google Workspace позволяет пользователям обмениваться своими документами между вашей организацией и партнерами упрощенным и эффективным способом. Использование Google Workspace может предоставлять конфиденциальные данные не только внутренним, но и внешним участникам совместной работы, или, что еще хуже, сделать их общедоступными через общую ссылку. Такие инциденты могут быть вызваны злоумышленниками или неосведомленными сотрудниками. Google Workspace также предоставляет большую стороннюю экосистему приложений для повышения производительности. Использование этих приложений может привести к риску вредоносных приложений или использования приложений с чрезмерными разрешениями.
Подключение Google Workspace к Defender for Cloud Apps позволяет получить более подробную информацию о действиях пользователей, обеспечивает обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения, обнаружения защиты информации (например, обнаружение внешнего обмена информацией), включает автоматизированные средства управления исправлением и обнаруживает угрозы из включенных сторонних приложений в вашей организации.
Основные угрозы
- Скомпрометированные учетные записи и внутренние угрозы
- Утечка данных
- Недостаточная осведомленность о безопасности
- Вредоносные сторонние приложения и надстройки Google
- Вредоносная программа
- Программа-шантажист
- Неуправляемый перенос собственного устройства (BYOD)
Как Defender for Cloud Apps помогает защитить среду
- Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
- Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
- Обнаружение приложений OAuth, имеющих доступ к вашей среде, и управление ими
- Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке
- Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы
- Использование журнала аудита действий для криминалистических исследований
Управление состоянием безопасности SaaS
Подключите Google Workspace для автоматического получения рекомендаций по безопасности в Microsoft Secure Score. В разделе Оценка безопасности выберите Рекомендуемые действия и отфильтруйте по продукту = Google Workspace.
Google Workspace поддерживает рекомендации по безопасности для включения принудительного применения MFA.
Дополнительные сведения см. в разделе:
Управление Рабочей областью Google с помощью встроенных политик и шаблонов политик
Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:
| Тип | Имя |
|---|---|
| Встроенная политика обнаружения аномалий |
Действия с анонимных IP-адресов. Действия из редкой страны Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполненное прерванным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений) Обнаружение вредоносных программ Многократные неудачные попытки входа. Необычные административные действия |
| Шаблон политики действий | Вход с опасного IP-адреса |
| Шаблон политики файлов | Обнаружение файла, к которым предоставлен общий доступ с несанкционированным доменом Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты Обнаружение файлов с помощью PII,PCI/PHI |
Дополнительные сведения о создании политик см. в разделе Создание политики.
Автоматизация элементов управления
Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Google Workspace для устранения обнаруженных угроз:
| Тип | Действие |
|---|---|
| Управление данными | — Применение метки конфиденциальности Защита информации Microsoft Purview — предоставление разрешения на чтение домену — Сделать файл или папку на Google Диске частными — Сокращение общего доступа к файлу или папке — Удаление участника совместной работы из файла — удаление метки конфиденциальности Защита информации Microsoft Purview — Удаление внешних участников совместной работы в файле или папке — удаление возможности редактора файлов для общего доступа — удаление общего доступа к файлу или папке — Требовать от пользователя сброса пароля в Google — отправка дайджеста нарушений защиты от потери данных владельцам файлов — отправка нарушения защиты от потери данных в редактор последнего файла — Передача прав владения файлом — Файл корзины |
| Управление пользователями | — Приостановка пользователя — уведомление пользователя об оповещении (через Microsoft Entra ID) — требовать от пользователя повторного входа (через Microsoft Entra ID). — Приостановить пользователя (через Microsoft Entra ID) |
| Управление приложениями OAuth | — Отмена разрешения приложения OAuth |
Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.
Защита Google Workspace в режиме реального времени
Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.
Подключение Google Workspace к Microsoft Defender for Cloud Apps
В этом разделе содержатся инструкции по подключению Microsoft Defender for Cloud Apps к существующей учетной записи Google Workspace с помощью API соединителя. Это подключение позволяет отслеживать использование Google Workspace и управлять ими. Сведения о том, как Defender for Cloud Apps защищает Google Workspace, см. в разделе Защита Google Workspace.
Примечание.
Действия загрузки файлов для Google Workspace не отображаются в Defender for Cloud Apps.
Настройка Google Workspace
В качестве Администратор Google Workspace Super войдите в https://console.cloud.google.com.
Выберите раскрывающийся список проекта на верхней ленте, а затем выберите Создать проект , чтобы начать новый проект.
На странице Новый проект назовите проект следующим образом: Defender for Cloud Apps и нажмите кнопку Создать.
После создания проекта выберите созданный проект на верхней ленте. Скопируйте номер проекта, он понадобится вам позже.
В меню навигации перейдите в раздел Api & Services>Library. Включите следующие API (используйте строку поиска, если API не указан в списке):
- API пакета SDK для Администратор
- Google Drive API
В меню навигации перейдите в раздел API & Службы>Учетные данные и выполните следующие действия.
Выберите СОЗДАТЬ УЧЕТНЫЕ ДАННЫЕ.
Выберите Учетная запись службы.
Сведения об учетной записи службы. Укажите имя как Defender for Cloud Apps и описание в качестве соединителя API из Defender for Cloud Apps в учетную запись рабочей области Google.
Выберите СОЗДАТЬ И ПРОДОЛЖИТЬ.
В разделе Предоставить этой учетной записи службы доступ к проекту в поле Роль выберите Проект > Редактор, а затем нажмите кнопку Готово.
В меню навигации вернитесь к API & Учетные данные служб>.
В разделе Учетные записи служб найдите и измените созданную ранее учетную запись службы, щелкнув значок карандаша.
Скопируйте адрес электронной почты. Он потребуется позже.
На верхней ленте перейдите к разделу КЛЮЧИ .
В меню ADD KEY (Добавить ключ ) выберите Создать новый ключ.
Выберите P12 и нажмите кнопку СОЗДАТЬ. Сохраните скачанный файл и пароль, необходимый для использования файла.
В меню навигации перейдите в раздел IAM & Администратор>Счетные записи службы. Скопируйте идентификатор клиента , назначенный только что созданной учетной записи службы. Он понадобится вам позже.
Перейдите в admin.google.com и в меню навигации перейдите в раздел Элементы>управления APIуправления безопасностью> и доступом к данным. Затем сделайте следующее:
В разделе Делегирование на уровне домена выберите УПРАВЛЕНИЕ ШИРОКОЕ ДЕЛЕГИРОВАНИЕ ДОМЕНА.
Выберите Добавить новый.
В поле Идентификатор клиента введите идентификатор клиента , скопированный ранее.
В поле Области OAuth введите следующий список обязательных областей (скопируйте текст и вставьте его в поле):
https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user
Выберите АВТОРИЗОВАТЬ.
Настройка Defender for Cloud Apps
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.
Чтобы указать сведения о подключении к Google Workspace, в разделе Соединители приложений выполните одно из следующих действий.
Для организации Google Workspace, у которого уже есть подключенный экземпляр GCP
- В списке соединителей в конце строки, в которой отображается экземпляр GCP, выберите три точки и выберите Подключить экземпляр Google Workspace.
Для организации Google Workspace, у которых еще нет подключенного экземпляра GCP
- На странице Подключенные приложения выберите +Подключить приложение, а затем выберите Google Workspace.
В окне Имя экземпляра присвойте соединителю имя. Нажмите кнопку Далее.
В разделе Добавление ключа Google укажите следующие сведения:
Введите идентификатор учетной записи службы, Email, скопированный ранее.
Введите номер проекта (идентификатор приложения), скопированный ранее.
Отправьте файл сертификата P12, сохраненный ранее.
Введите один адрес электронной почты учетной записи администратора Google Workspace.
Если у вас есть учетная запись Google Workspace Business или Корпоративная, выберите поле проверка. Сведения о том, какие функции доступны в Defender for Cloud Apps для Google Workspace Business или Enterprise, см. в статье Включение действий мгновенной видимости, защиты и управления для приложений.
Выберите Подключить Google Workspaces.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.
После подключения к Google Workspace вы будете получать события за семь дней до подключения.
После подключения к Google Workspace Defender for Cloud Apps выполняет полное сканирование. В зависимости от количества файлов и пользователей, завершение полной проверки может занять некоторое время. Чтобы включить сканирование практически в режиме реального времени, файлы, в которых обнаружено действие, перемещаются в начало очереди сканирования. Например, файл, который редактируется, обновляется или предоставляется к общему доступу, проверяется сразу. Это не относится к файлам, которые не изменяются по своей природе. Например, файлы, которые просматриваются, просматриваются, печатаются или экспортируются, сканируются во время обычной проверки.
Данные Управления безопасностью SaaS (SSPM) (предварительная версия) отображаются на портале Microsoft Defender на странице Оценка безопасности. Дополнительные сведения см. в статье Управление состоянием безопасности для приложений SaaS.
Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.