Så här skyddar Defender for Cloud Apps din Google Workspace-miljö

Som molnverktyg för fillagring och samarbete gör Google Workspace det möjligt för användarna att dela sina dokument i organisationen och partner på ett effektivt sätt. Att använda Google Workspace kan exponera känsliga data inte bara internt, utan även för externa medarbetare, eller ännu värre göra dem offentligt tillgängliga via en delad länk. Sådana incidenter kan orsakas av skadliga aktörer eller av ovetande anställda. Google Workspace tillhandahåller också ett stort tredjepartsprogram för miljösystem för appar som hjälper dig att öka produktiviteten. Om du använder dessa appar kan din organisation utsättas för risk för skadliga appar eller användning av appar med överdriven behörighet.

Genom att ansluta Google Workspace till Defender for Cloud Apps får du bättre insikter om användarnas aktiviteter, ger hotidentifiering med hjälp av maskininlärningsbaserade avvikelseidentifieringar, identifiering av informationsskydd (till exempel identifiering av extern informationsdelning), möjliggör automatiserade reparationskontroller och identifierar hot från aktiverade appar från tredje part i din organisation.

Huvudsakliga hot

• Komprometterade konton och insiderhot
• Dataläckage
• Otillräcklig säkerhetsmedvetenhet
• Skadliga appar från tredje part och Google-tillägg
• Skadlig kod
• Utpressningstrojan
• Ohanterad BYOD (Bring Your Own Device)

Hur Defender for Cloud Apps hjälper till att skydda din miljö

• Identifiera molnhot, komprometterade konton och skadliga insiders
• Upptäck, klassificera, märka och skydda känsliga och reglerade data som lagras i molnet
• Identifiera och hantera OAuth-appar som har åtkomst till din miljö
• Tillämpa DLP- och efterlevnadsprinciper för data som lagras i molnet
• Begränsa exponeringen av delade data och framtvinga samarbetsprinciper
• Använda spårningsloggen för aktiviteter för kriminaltekniska undersökningar

Hantering av SaaS-säkerhetsstatus

Anslut Google Workspace för att automatiskt få säkerhetsrekommendationer i Microsoft Secure Score. I Säkerhetspoäng väljer du Rekommenderade åtgärder och filtrerar efter Produkt = Google-arbetsyta.

Google Workspace har stöd för säkerhetsrekommendationer för att aktivera MFA-tillämpning.

Mer information finns i:

• Hantering av säkerhetsstatus för SaaS-appar
• Microsoft Secure Score

Kontrollera Google Workspace med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ	Namn
Inbyggd princip för avvikelseidentifiering	Aktivitet från anonyma IP-adresser Aktivitet från sällan förekommande land Aktivitet från misstänkta IP-adresser Omöjlig resa Aktivitet som utförs av avslutad användare (kräver Microsoft Entra ID som IdP) Identifiering av skadlig kod Flera misslyckade inloggningsförsök Ovanlig administrativ verksamhet
Mall för aktivitetsprincip	Logga in från en riskabel IP-adress
Filprincipmall	Identifiera en fil som delas med en obehörig domän Identifiera en fil som delas med personliga e-postadresser Identifiera filer med PII/PCI/PHI

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande styrningsåtgärder för Google Workspace för att åtgärda identifierade hot:

Typ	Åtgärd
Datastyrning	– Använd Microsoft Purview Information Protection känslighetsetikett – Bevilja läsbehörighet till domänen – Gör en fil/mapp i Google Drive privat – Minska offentlig åtkomst till fil/mapp – Ta bort en medarbetare från en fil – Ta bort Microsoft Purview Information Protection känslighetsetikett – Ta bort externa medarbetare i fil/mapp – Ta bort filredigerarens möjlighet att dela – Ta bort offentlig åtkomst till fil/mapp – Kräv att användaren återställer lösenord till Google – Skicka DLP-överträdelse sammanfattad till filägare – Skicka DLP-överträdelse till senaste filredigeraren – Överföra filägarskap – Papperskorgen
Användarstyrning	– Pausa användare – Meddela användaren vid avisering (via Microsoft Entra ID) – Kräv att användaren loggar in igen (via Microsoft Entra ID) – Pausa användare (via Microsoft Entra ID)
OAuth-appstyrning	– Återkalla OAuth-appbehörighet

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda Google-arbetsyta i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Ansluta Google Workspace till Microsoft Defender for Cloud Apps

Det här avsnittet innehåller anvisningar för hur du ansluter Microsoft Defender for Cloud Apps till ditt befintliga Google Workspace-konto med anslutnings-API:erna. Den här anslutningen ger dig insyn i och kontroll över google workspace-användning. Information om hur Defender for Cloud Apps skyddar Google-arbetsytan finns i Skydda Google-arbetsyta.

Obs!

Filnedladdningsaktiviteter för Google Workspace visas inte i Defender for Cloud Apps.

Konfigurera Google-arbetsyta

1. Logga in https://console.cloud.google.compå som google workspace super Admin.

2. Välj listrutan projekt i det övre menyfliksområdet och välj sedan Nytt projekt för att starta ett nytt projekt.

   

3. På sidan Nytt projekt namnger du projektet på följande sätt: Defender for Cloud Apps och väljer Skapa.

   

4. När projektet har skapats väljer du det skapade projektet i det övre menyfliksområdet. Kopiera projektnumret. Du behöver det senare.

   

5. I navigeringsmenyn går du till API:er & Services>Library. Aktivera följande API:er (använd sökfältet om API:et inte visas):

   • Admin SDK-API
   • Google Drive API

6. I navigeringsmenyn går du till API:er &Services-autentiseringsuppgifter> och gör följande:

   1. Välj SKAPA AUTENTISERINGSUPPGIFTER.

      

   2. Välj Tjänstkonto.

   3. Information om tjänstkonto: Ange namnet som Defender for Cloud Apps och beskrivning som API-anslutningsapp från Defender for Cloud Apps till ett Google-arbetsytekonto.

      

   4. Välj SKAPA OCH FORTSÄTT.

   5. Under Bevilja det här tjänstkontot åtkomst till projektet för Roll väljer du Projekt > Editor och sedan Klar.

      

   6. Gå tillbaka till API:er & Services-autentiseringsuppgifter> på navigeringsmenyn.

   7. Under Tjänstkonton letar du upp och redigerar tjänstkontot som du skapade tidigare genom att välja pennikonen.

      

   8. Kopiera e-postadressen. Du behöver det senare.

   9. Gå till NYCKLAR från det övre menyfliksområdet.

      

   10. På menyn LÄGG TILL NYCKEL väljer du Skapa ny nyckel.

   11. Välj P12 och sedan SKAPA. Spara den nedladdade filen och lösenordet som krävs för att använda filen.

       

7. I navigeringsmenyn går du till IAM & Admin>Service-konton. Kopiera klient-ID :t som tilldelats det tjänstkonto som du just har skapat – du behöver det senare.

   

8. Gå till admin.google.com och gå tillAPI-kontroller för säkerhetsåtkomst>och datakontroll> i navigeringsmenyn. Gör sedan följande:

9. Under Domänomfattande delegering väljer du HANTERA DOMÄNOMFATTANDE DELEGERING.

   

10. Välj Lägg till ny.

    1. I rutan Klient-ID anger du det klient-ID som du kopierade tidigare.

    2. I rutan OAuth-omfång anger du följande lista över nödvändiga omfång (kopiera texten och klistra in den i rutan):

       https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user
       

11. Välj AUKTORISERA.

    

Konfigurera Defender for Cloud Apps

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram.

2. Gör något av följande under Appanslutningar för att ange anslutningsinformation för Google Workspace:

   För en Google Workspace-organisation som redan har en ansluten GCP-instans

   • I listan över anslutningsappar väljer du de tre punkterna i slutet av raden där GCP-instansen visas och väljer sedan Anslut Google Workspace-instans.

   För en Google Workspace-organisation som inte redan har en ansluten GCP-instans

   • På sidan Anslutna appar väljer du +Anslut en app och sedan Google Workspace.

3. I fönstret Instansnamn ger du anslutningsappen ett namn. Välj sedan Nästa.

4. I nyckeln Lägg till Google fyller du i följande information:

   

   1. Ange tjänstkontots ID, Email som du kopierade tidigare.

   2. Ange det projektnummer (app-ID) som du kopierade tidigare.

   3. Ladda upp P12-certifikatfilen som du sparade tidigare.

   4. Ange ett e-postmeddelande för administratörskontot för administratören för Google-arbetsytan.

   5. Om du har ett Google Workspace Business- eller Enterprise-konto markerar du kryssrutan. Information om vilka funktioner som är tillgängliga i Defender for Cloud Apps för Google Workspace Business eller Enterprise finns i Aktivera omedelbara synlighets-, skydds- och styrningsåtgärder för dina appar.

   6. Välj Anslut Google-arbetsytor.

5. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningen är Ansluten.

När du har anslutit Google Workspace får du händelser i sju dagar före anslutningen.

När du har anslutit Google Workspace utför Defender for Cloud Apps en fullständig genomsökning. Beroende på hur många filer och användare du har kan det ta en stund att slutföra den fullständiga genomsökningen. Om du vill aktivera genomsökning i nära realtid flyttas filer där aktiviteten identifieras till början av genomsökningskön. Till exempel genomsöks en fil som redigeras, uppdateras eller delas direkt. Detta gäller inte för filer som inte har ändrats i sig. Filer som visas, förhandsgranskas, skrivs ut eller exporteras genomsöks till exempel under den vanliga genomsökningen.

SaaS SSPM-data (Security Posture Management) (förhandsversion) visas i Microsoft Defender-portalen på sidan Säkerhetspoäng. Mer information finns i Säkerhetsstatushantering för SaaS-appar.

Om du har problem med att ansluta appen läser du Felsöka appanslutningsprogram.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.