Dela via

Så här skyddar Defender for Cloud Apps din GCP-miljö (Google Cloud Platform)

  • Artikel

Google Cloud Platform är en IaaS-leverantör som gör det möjligt för din organisation att vara värd för och hantera hela sina arbetsbelastningar i molnet. Förutom fördelarna med att utnyttja infrastrukturen i molnet kan organisationens viktigaste tillgångar utsättas för hot. Exponerade tillgångar omfattar lagringsinstanser med potentiellt känslig information, beräkningsresurser som kör några av dina mest kritiska program, portar och virtuella privata nätverk som ger åtkomst till din organisation.

Genom att ansluta GCP till Defender for Cloud Apps kan du skydda dina tillgångar och identifiera potentiella hot genom att övervaka administrativa aktiviteter och inloggningsaktiviteter, meddela om möjliga råstyrkeattacker, skadlig användning av ett privilegierat användarkonto och ovanliga borttagningar av virtuella datorer.

Huvudsakliga hot

  • Missbruk av molnresurser
  • Komprometterade konton och insiderhot
  • Dataläckage
  • Felkonfiguration av resurser och otillräcklig åtkomstkontroll

Hur Defender for Cloud Apps hjälper till att skydda din miljö

Kontrollera GCP med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ Namn
Inbyggd princip för avvikelseidentifiering Aktivitet från anonyma IP-adresser
Aktivitet från sällan förekommande land
Aktivitet från misstänkta IP-adresser
Omöjlig resa
Aktivitet som utförs av avslutad användare (kräver Microsoft Entra ID som IdP)
Flera misslyckade inloggningsförsök
Ovanlig administrativ verksamhet
Flera borttagningsaktiviteter för virtuella datorer
Ovanliga aktiviteter för att skapa virtuella datorer (förhandsversion)
Mall för aktivitetsprincip Ändringar i beräkningsmotorresurser
Ändringar i StackDriver-konfiguration
Ändringar i lagringsresurser
Ändringar i virtuellt privat nätverk
Logga in från en riskabel IP-adress

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande GCP-styrningsåtgärder för att åtgärda identifierade hot:

Typ Åtgärd
Användarstyrning – Kräv att användaren återställer lösenordet till Google (kräver ansluten länkad Google Workspace-instans)
– Pausa användare (kräver ansluten länkad Google Workspace-instans)
– Meddela användaren vid avisering (via Microsoft Entra ID)
– Kräv att användaren loggar in igen (via Microsoft Entra ID)
– Pausa användare (via Microsoft Entra ID)

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda GCP i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Ansluta Google Cloud Platform till Microsoft Defender for Cloud Apps

Det här avsnittet innehåller instruktioner för hur du ansluter Microsoft Defender for Cloud Apps till ditt befintliga GCP-konto (Google Cloud Platform) med hjälp av anslutnings-API:erna. Den här anslutningen ger dig insyn i och kontroll över GCP-användning. Information om hur Defender for Cloud Apps skyddar GCP finns i Skydda GCP.

Vi rekommenderar att du använder ett dedikerat projekt för integrering och begränsar åtkomsten till projektet för att upprätthålla stabil integrering och förhindra borttagningar/ändringar av installationsprocessen.

Obs!

Anvisningarna för att ansluta din GCP-miljö för granskning följer Googles rekommendationer för användning av aggregerade loggar. Integreringen utnyttjar Google StackDriver och förbrukar ytterligare resurser som kan påverka din fakturering. De förbrukade resurserna är:

Den Defender for Cloud Apps granskningsanslutningen importerar endast Admin aktivitetsgranskningsloggar. Granskningsloggar för dataåtkomst och systemhändelser importeras inte. Mer information om GCP-loggar finns i Cloud Audit Logs (Molngranskningsloggar).

Förhandskrav

Den integrerande GCP-användaren måste ha följande behörigheter:

  • Redigera IAM och Admin – organisationsnivå
  • Skapa och redigera projekt

Du kan ansluta GCP-säkerhetsgranskning till dina Defender for Cloud Apps-anslutningar för att få insyn i och kontroll över GCP-appanvändning.

Konfigurera Google Cloud Platform

Skapa ett dedikerat projekt

Skapa ett dedikerat projekt i GCP under din organisation för att möjliggöra integreringsisolering och stabilitet

  1. Logga in på GCP-portalen med ditt integrerande GCP-användarkonto.

  2. Välj Skapa projekt för att starta ett nytt projekt.

  3. På skärmen Nytt projekt namnger du projektet och väljer Skapa.

    Skärmbild som visar dialogrutan skapa GCP-projekt.

Aktivera nödvändiga API:er

  1. Växla till det dedikerade projektet.

  2. Gå till fliken Bibliotek .

  3. Sök efter och välj Cloud Logging API och välj sedan AKTIVERA på API-sidan.

  4. Sök efter och välj Cloud Pub/Sub API och välj sedan AKTIVERA på API-sidan.

    Obs!

    Se till att du inte väljer Pub/Sub Lite API.

Skapa ett dedikerat tjänstkonto för integrering av säkerhetsgranskning

  1. Under IAM & admin väljer du Tjänstkonton.

  2. Välj SKAPA TJÄNSTKONTO för att skapa ett dedikerat tjänstkonto.

  3. Ange ett kontonamn och välj sedan Skapa.

  4. Ange rollen som Pub/Sub Admin och välj sedan Spara.

    Skärmbild som visar hur GCP lägger till IAM-roll.

  5. Kopiera värdet för Email. Du behöver det senare.

    Skärmbild som visar dialogrutan för GCP-tjänstkontot.

  6. Under IAM & admin väljer du IAM.

    1. Växla till organisationsnivå.

    2. Välj LÄGG TILL.

    3. I rutan Nya medlemmar klistrar du in det Email värde som du kopierade tidigare.

    4. Ange rollen som loggkonfigurationsskrivare och välj sedan Spara.

      Skärmbild som visar dialogrutan Lägg till medlem.

Skapa en privat nyckel för det dedikerade tjänstkontot

  1. Växla till projektnivå.

  2. Under IAM & admin väljer du Tjänstkonton.

  3. Öppna det dedikerade tjänstkontot och välj Redigera.

  4. Välj SKAPA NYCKEL.

  5. På skärmen Skapa privat nyckel väljer du JSON och sedan SKAPA.

    Skärmbild som visar dialogrutan Skapa privat nyckel.

    Obs!

    Du behöver JSON-filen som laddas ned till enheten senare.

Hämta ditt organisations-ID

Anteckna organisations-ID:t. Du behöver det senare. Mer information finns i Hämta organisations-ID.

Skärmbild som visar dialogrutan organisations-ID.

Ansluta Google Cloud Platform-granskning till Defender for Cloud Apps

Den här proceduren beskriver hur du lägger till GCP-anslutningsinformation för att ansluta Google Cloud Platform-granskning till Defender for Cloud Apps.

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram.

  2. Gör något av följande för att ange autentiseringsuppgifterna för GCP-anslutningsappen på sidan Appanslutningsprogram :

    Obs!

    Vi rekommenderar att du ansluter din Google Workspace-instans för att få enhetlig användarhantering och styrning. Detta rekommenderas även om du inte använder några produkter för Google Workspace och GCP-användarna hanteras via Google Workspace-användarhanteringssystemet.

    För en ny anslutningsapp

    1. Välj +Anslut en app följt av Google Cloud Platform.

      Anslut GCP.

    2. I nästa fönster anger du ett namn för anslutningsappen och väljer sedan Nästa.

      Namn på GCP-anslutningsapp.

    3. På sidan Ange information gör du följande och väljer sedan Skicka.

      1. I rutan Organisations-ID anger du den organisation som du antecknade tidigare.
      2. I rutan Privat nyckelfil bläddrar du till den JSON-fil som du laddade ned tidigare.

      Anslut GCP-appsäkerhetsgranskning för ny anslutningsapp.

    För en befintlig anslutningsapp

    1. I listan över anslutningsappar går du till raden där GCP-anslutningsappen visas och väljer Redigera inställningar.

      Skärmbild av sidan Anslutna appar som visar länken redigera säkerhetsgranskning.

    2. På sidan Ange information gör du följande och väljer sedan Skicka.

      1. I rutan Organisations-ID anger du den organisation som du antecknade tidigare.
      2. I rutan Privat nyckelfil bläddrar du till den JSON-fil som du laddade ned tidigare.

      Anslut GCP-appsäkerhetsgranskning för befintlig anslutningsapp.

  3. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningen är Ansluten.

    Obs!

    Defender for Cloud Apps skapar en aggregerad exportmottagare (organisationsnivå), ett Pub/Sub-ämne och en Pub/Sub-prenumeration med integrationstjänstkontot i integrationsprojektet.

    Aggregerad exportmottagare används för att aggregera loggar i GCP-organisationen och pub-/underavsnittet som skapats används som mål. Defender for Cloud Apps prenumererar på det här avsnittet via pub-/underprenumerationen som skapats för att hämta administratörsaktivitetsloggarna i GCP-organisationen.

Om du har problem med att ansluta appen läser du Felsöka appanslutningsprogram.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.