Defender for Cloud Apps如何帮助保护 Google 工作区环境
作为云文件存储和协作工具,Google Workspace 使用户能够以简化且高效的方式在组织和合作伙伴之间共享其文档。 使用 Google Workspace 可能会不仅在内部公开敏感数据,还会向外部协作者公开敏感数据,或者更糟的是,它可以通过共享链接公开提供。 此类事件可能是由恶意参与者或不知道的员工引起的。 Google Workspace 还提供大型第三方应用生态系统,以帮助提高工作效率。 使用这些应用可能会使组织面临恶意应用或使用权限过多的应用的风险。
将 Google Workspace 连接到Defender for Cloud Apps可让你深入了解用户的活动,使用基于机器学习的异常情况检测提供威胁检测、信息保护检测 ((例如检测外部信息共享) ),启用自动修正控制,并检测组织中已启用的第三方应用的威胁。
主要威胁
- 泄露的帐户和内部威胁
- 数据泄漏
- 安全意识不足
- 恶意第三方应用和 Google 加载项
- 恶意软件
- 勒索软件
- 非托管自带设备 (BYOD)
Defender for Cloud Apps如何帮助保护环境
- 检测云威胁、泄露的帐户和恶意预览体验成员
- 发现、分类、标记和保护存储在云中的管控和敏感数据
- 发现和管理有权访问环境的 OAuth 应用
- 对存储在云中的数据强制实施 DLP 和合规性策略
- 限制共享数据的公开并强制实施协作策略
- 将活动的审核记录用于取证调查
SaaS 安全态势管理
连接 Google Workspace 以自动获取安全分数Microsoft安全建议。 在“安全功能分数”中,选择“ 建议的操作” ,并按 产品 = Google 工作区进行筛选。
Google Workspace 支持 启用 MFA 强制实施的安全建议。
有关更多信息,请参阅:
使用内置策略和策略模板控制 Google 工作区
可以使用以下内置策略模板来检测潜在威胁并通知你:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 |
来自匿名 IP 地址的活动 来自不常见国家/地区的活动 来自可疑 IP 地址的活动 不可能旅行 终止的用户 (执行的活动需要作为 IdP) Microsoft Entra ID 恶意软件检测 多个失败登录尝试 异常管理活动 |
| 活动策略模板 | 从有风险的 IP 地址登录 |
| 文件策略模板 | 检测与未经授权的域共享的文件 检测与个人电子邮件地址共享的文件 使用 PII/PCI/PHI 检测文件 |
有关创建策略的详细信息,请参阅 创建策略。
自动化治理控制
除了监视潜在威胁外,还可以应用并自动执行以下 Google 工作区治理操作来修正检测到的威胁:
| 类型 | Action |
|---|---|
| 数据治理 | - 应用Microsoft Purview 信息保护敏感度标签 - 授予对域的读取权限 - 将 Google Drive 中的文件/文件夹设为私密 - 减少对文件/文件夹的公共访问 - 从文件中删除协作者 - 删除Microsoft Purview 信息保护敏感度标签 - 删除文件/文件夹上的外部协作者 - 删除文件编辑器的共享功能 - 删除对文件/文件夹的公共访问权限 - 要求用户将密码重置为 Google - 向文件所有者发送 DLP 冲突摘要 - 将 DLP 冲突发送到最后一个文件编辑器 - 传输文件所有权 - 回收站文件 |
| 用户治理 | - 挂起用户 - 通过Microsoft Entra ID) 在警报 (通知用户 - 要求用户通过Microsoft Entra ID) 重新登录 ( - 通过Microsoft Entra ID) 暂停用户 ( |
| OAuth 应用治理 | - 撤销 OAuth 应用权限 |
有关修正来自应用的威胁的详细信息,请参阅 治理连接的应用。
实时保护 Google Workspace
查看我们的最佳做法, 了解如何保护与外部用户协作 , 以及阻止和保护将敏感数据下载到非托管或有风险的设备。
将 Google 工作区连接到Microsoft Defender for Cloud Apps
本部分提供有关使用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 Google 工作区帐户的说明。 通过此连接,可以了解和控制 Google 工作区的使用。 有关Defender for Cloud Apps如何保护 Google Workspace 的信息,请参阅保护 Google Workspace。
注意
Defender for Cloud Apps中不显示 Google Workspace 的文件下载活动。
配置 Google 工作区
作为 Google Workspace Super 管理员,请https://console.cloud.google.com登录到 。
选择顶部功能区中的项目下拉列表,然后选择“ 新建项目 ”以启动新项目。
在“新建项目”页中,按如下方式命名项目:Defender for Cloud Apps并选择“创建”。
创建项目后,从顶部功能区选择已创建的项目。 复制 项目编号,稍后将需要它。
在导航菜单中,转到“ API & 服务>库”。 启用以下 API (如果未) 列出该 API,请使用搜索栏:
- 管理员 SDK API
- Google Drive API
在导航菜单中,转到“ API & 服务>凭据 ”,然后执行以下步骤:
选择“ 创建凭据”。
选择“ 服务帐户”。
服务帐户详细信息:将名称作为Defender for Cloud Apps和说明作为 API 连接器从 Defender for Cloud Apps 提供给 Google 工作区帐户。
选择“ 创建并继续”。
在“授予此服务帐户对项目的访问权限”下,对于“角色”,选择“项目>编辑器”,然后选择“完成”。
在导航菜单中,返回到 API & 服务>凭据。
在 “服务帐户”下,通过选择铅笔图标找到并编辑之前创建的服务帐户。
复制电子邮件地址。 稍后需要用到该名称。
从顶部功能区导航到 “密钥 ”。
在 “添加密钥 ”菜单中,选择“ 创建新密钥”。
选择 “P12”,然后选择“ 创建”。 保存下载的文件以及使用该文件所需的密码。
在导航菜单中,转到 IAM & 管理员>Service 帐户。 复制分配给刚刚创建的服务帐户的 客户端 ID - 稍后会用到它。
转到 admin.google.com ,在导航菜单中,转到 “安全>访问和数据控制>API 控件”。 然后执行下列操作:
在 “域范围委派”下,选择“ 管理域范围委派”。
选择 “新增”。
在“ 客户端 ID ”框中,输入之前复制的 “客户端 ID ”。
在“ OAuth 作用域 ”框中,输入以下所需范围列表, (复制文本并将其粘贴到) 框中:
https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user
选择“ 授权”。
配置Defender for Cloud Apps
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。
若要提供 Google 工作区连接详细信息,请在 “应用连接器”下执行以下操作之一:
对于已具有连接的 GCP 实例的 Google 工作区组织
- 在连接器列表中,在显示 GCP 实例的行末尾,选择三个点,然后选择 “连接 Google 工作区实例”。
对于尚未连接 GCP 实例的 Google 工作区组织
- 在 “连接的应用 ”页中,选择“ +连接应用”,然后选择“ Google 工作区”。
在 “实例名称 ”窗口中,为连接器指定一个名称。 然后选择“下一步”。
在 “添加 Google 密钥”中,填写以下信息:
输入服务帐户 ID,即之前复制的Email。
输入前面复制 的项目编号 (应用 ID) 。
上传之前保存的 P12 证书 文件。
输入 Google Workspace Super 管理员的电子邮件地址。
使用不是 Google Workspace Super 管理员 的帐户进行部署将导致 API 测试失败,并且不允许Defender for Cloud Apps正常运行。 我们请求特定范围,因此即使超级管理员,Defender for Cloud Apps仍然受到限制。
如果你有 Google Workspace Business 或 Enterprise 帐户,请选择“检查”框。 有关 Defender for Cloud Apps 中适用于 Google Workspace Business 或 Enterprise 的功能的信息,请参阅为应用启用即时可见性、保护和治理操作。
选择 “连接 Google 工作区”。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。
连接 Google Workspace 后,你将在连接前 7 天收到事件。
连接 Google Workspace 后,Defender for Cloud Apps执行完全扫描。 根据你拥有的文件和用户数,完成完整扫描可能需要一段时间。 若要启用准实时扫描,将检测到活动的文件移动到扫描队列的开头。 例如,会立即扫描已编辑、更新或共享的文件。 这不适用于本质上未修改的文件。 例如,在常规扫描期间,将扫描查看、预览、打印或导出的文件。
SaaS 安全态势管理 (SSPM) 数据 (预览版) 显示在“安全功能分数”页上的 Microsoft Defender 门户中。 有关详细信息,请参阅 SaaS 应用的安全态势管理。
如果连接应用时遇到任何问题,请参阅 应用连接器故障排除。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。