Поделиться через

Как Defender for Cloud Apps помогает защитить среду Google Cloud Platform (GCP)

  • Статья

Google Cloud Platform — это поставщик IaaS, который позволяет вашей организации размещать и управлять всеми рабочими нагрузками в облаке. Наряду с преимуществами использования инфраструктуры в облаке, наиболее важные ресурсы вашей организации могут подвергаться угрозам. Доступные ресурсы включают экземпляры хранилища с потенциально конфиденциальной информацией, вычислительные ресурсы, которые управляют некоторыми из наиболее важных приложений, портов и виртуальных частных сетей, которые обеспечивают доступ к вашей организации.

Подключение GCP к Defender for Cloud Apps помогает защитить ресурсы и обнаружить потенциальные угрозы, отслеживая действия администратора и входа, уведомляя о возможных атаках методом подбора, вредоносном использовании привилегированной учетной записи пользователя и необычном удалении виртуальных машин.

Основные угрозы

  • Злоупотребление облачными ресурсами
  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Неправильная настройка ресурсов и недостаточное управление доступом

Как Defender for Cloud Apps помогает защитить среду

Управление GCP с помощью встроенных политик и шаблонов политик

Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:

Тип Имя
Встроенная политика обнаружения аномалий Действия с анонимных IP-адресов.
Действия из редкой страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполненное прерванным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений)
Многократные неудачные попытки входа.
Необычные административные действия
Многократные действия по удалению виртуальных машин.
Необычные действия по созданию нескольких виртуальных машин (предварительная версия)
Шаблон политики действий Изменения в ресурсах подсистемы вычислений
Изменения в конфигурации StackDriver
Изменения в ресурсах хранилища
Изменения в виртуальной частной сети
Вход с опасного IP-адреса

Дополнительные сведения о создании политик см. в разделе Создание политики.

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению GCP для устранения обнаруженных угроз:

Тип Действие
Управление пользователями — требуется, чтобы пользователь сбросил пароль в Google (требуется подключенный экземпляр связанной рабочей области Google).
— Приостановка пользователя (требуется подключенный связанный экземпляр Google Workspace).
— уведомление пользователя об оповещении (через Microsoft Entra ID)
— требовать от пользователя повторного входа (через Microsoft Entra ID).
— Приостановить пользователя (через Microsoft Entra ID)

Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.

Защита GCP в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение Google Cloud Platform к Microsoft Defender for Cloud Apps

В этом разделе содержатся инструкции по подключению Microsoft Defender for Cloud Apps к существующей учетной записи Google Cloud Platform (GCP) с помощью API соединителя. Это подключение позволяет отслеживать использование GCP и управлять ими. Сведения о том, как Defender for Cloud Apps защищает GCP, см. в разделе Защита GCP.

Рекомендуется использовать выделенный проект для интеграции и ограничить доступ к проекту, чтобы обеспечить стабильную интеграцию и предотвратить удаление или изменение процесса установки.

Примечание.

Инструкции по подключению среды GCP для аудита соответствуют рекомендациям Google по использованию агрегированных журналов. Интеграция использует Google StackDriver и будет потреблять дополнительные ресурсы, которые могут повлиять на выставление счетов. Потребляемые ресурсы:

Подключение аудита Defender for Cloud Apps импортирует только журналы аудита действий Администратор; Журналы аудита доступа к данным и системных событий не импортируются. Дополнительные сведения о журналах GCP см. в разделе Журналы аудита облака.

Предварительные условия

Интегрирующий пользователь GCP должен иметь следующие разрешения:

  • Изменение IAM и Администратор — уровень организации
  • Создание и изменение проекта

Вы можете подключить аудит безопасности GCP к Defender for Cloud Apps подключениям, чтобы получить представление об использовании приложений GCP и контролировать их.

Настройка Google Cloud Platform

Создание выделенного проекта

Создание выделенного проекта в GCP в организации для обеспечения изоляции и стабильности интеграции

  1. Войдите на портал GCP с помощью интегрируемой учетной записи пользователя GCP.

  2. Выберите Создать проект , чтобы начать новый проект.

  3. На экране Новый проект присвойте проекту имя и нажмите кнопку Создать.

    Снимок экрана: диалоговое окно создания проекта GCP.

Включение необходимых API

  1. Переключитесь на выделенный проект.

  2. Перейдите на вкладку Библиотека .

  3. Найдите и выберите API ведения журнала в облаке, а затем на странице API выберите ВКЛЮЧИТЬ.

  4. Найдите и выберите API облачной публикации или sub, а затем на странице API выберите ВКЛЮЧИТЬ.

    Примечание.

    Убедитесь, что вы не выбираете API Pub/Sub Lite.

Создание выделенной учетной записи службы для интеграции аудита безопасности

  1. В разделе Администратор IAM & выберите Учетные записи служб.

  2. Выберите СОЗДАТЬ УЧЕТНУЮ ЗАПИСЬ СЛУЖБЫ , чтобы создать выделенную учетную запись службы.

  3. Введите имя учетной записи и нажмите кнопку Создать.

  4. Укажите роль в качестве Администратор Pub/Sub и нажмите кнопку Сохранить.

    Снимок экрана: добавление роли IAM в GCP.

  5. Скопируйте значение Email, оно понадобится позже.

    Снимок экрана: диалоговое окно учетной записи службы GCP.

  6. В разделе Администратор IAM & выберите IAM.

    1. Переключитесь на уровень организации.

    2. Нажмите кнопку ДОБАВИТЬ.

    3. В поле Новые члены вставьте скопированное ранее значение Email.

    4. Укажите роль в качестве средства записи конфигурации журналов , а затем нажмите кнопку Сохранить.

      Снимок экрана: диалоговое окно добавления участника.

Создание закрытого ключа для выделенной учетной записи службы

  1. Переключение на уровень проекта.

  2. В разделе Администратор IAM & выберите Учетные записи служб.

  3. Откройте выделенную учетную запись службы и выберите Изменить.

  4. Выберите CREATE KEY (СОЗДАТЬ КЛЮЧ).

  5. На экране Создание закрытого ключа выберите JSON, а затем нажмите кнопку СОЗДАТЬ.

    Снимок экрана: диалоговое окно создания закрытого ключа.

    Примечание.

    Вам потребуется JSON-файл, скачанный на устройство позже.

Получение идентификатора организации

Запишите идентификатор организации. Он понадобится вам позже. Дополнительные сведения см. в разделе Получение идентификатора организации.

Снимок экрана: диалоговое окно идентификатора организации.

Подключение аудита Google Cloud Platform к Defender for Cloud Apps

В этой процедуре описывается добавление сведений о подключении GCP для подключения аудита Google Cloud Platform к Defender for Cloud Apps.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  2. На странице Соединители приложений , чтобы указать учетные данные соединителя GCP, выполните одно из следующих действий.

    Примечание.

    Мы рекомендуем подключить экземпляр Google Workspace для унифицированного управления пользователями и управления. Это рекомендуется, даже если вы не используете продукты Google Workspace и пользователи GCP управляются через систему управления пользователями Google Workspace.

    Для нового соединителя

    1. Выберите +Подключить приложение, а затем — Google Cloud Platform.

      Подключение GCP.

    2. В следующем окне укажите имя соединителя и нажмите кнопку Далее.

      Имя соединителя GCP.

    3. На странице Ввод сведений выполните указанные ниже действия и нажмите кнопку Отправить.

      1. В поле Идентификатор организации введите организацию, о ней вы записали ранее.
      2. В поле Файл закрытого ключа перейдите к скачанном ранее JSON-файлу.

      Подключите аудит безопасности приложений GCP для нового соединителя.

    Для существующего соединителя

    1. В списке соединителей в строке, в которой отображается соединитель GCP, выберите Изменить параметры.

      Снимок экрана: страница

    2. На странице Ввод сведений выполните указанные ниже действия и нажмите кнопку Отправить.

      1. В поле Идентификатор организации введите организацию, о ней вы записали ранее.
      2. В поле Файл закрытого ключа перейдите к скачанном ранее JSON-файлу.

      Подключение аудита безопасности приложений GCP для существующего соединителя.

  3. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

    Примечание.

    Defender for Cloud Apps создаст агрегированный приемник экспорта (уровень организации), раздел Pub/Sub и подписку pub/sub с помощью учетной записи службы интеграции в проекте интеграции.

    Агрегированный приемник экспорта используется для агрегирования журналов в организации GCP, а созданный раздел Pub/Sub используется в качестве назначения. Defender for Cloud Apps подписывается на этот раздел с помощью подписки Pub/Sub, созданной для получения журналов действий администратора в организации GCP.

Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.

Дальнейшие действия

Управление облачными приложениями с помощью политик

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.