共用方式為


Defender for Cloud Apps 如何協助保護Google Cloud Platform (GCP) 環境

Google Cloud Platform 是 IaaS 提供者,可讓您的組織在雲端中裝載和管理其整個工作負載。 除了利用雲端基礎結構的優點,貴組織最重要的資產可能會暴露在威脅中。 公開的資產包括具有潛在敏感性資訊的記憶體實例、可操作一些最重要應用程式的計算資源、埠,以及可讓您存取組織的虛擬專用網。

將 GCP 連線到 Defender for Cloud Apps 可協助您保護資產並偵測潛在威脅,方法是監視系統管理和登入活動、通知可能的暴力密碼破解攻擊、惡意使用具特殊許可權的用戶帳戶,以及異常刪除 VM。

主要威脅

  • 濫用雲端資源
  • 遭入侵的帳戶和內部威脅
  • 數據外洩
  • 資源設定錯誤和訪問控制不足

Defender for Cloud Apps 如何協助保護您的環境

使用內建原則和原則範本控制 GCP

您可以使用下列內建原則範本來偵測潛在威脅並通知您:

類型 姓名
內建異常偵測原則 來自匿名 IP 位址的活動
來自不常使用國家/地區的活動。
來自可疑IP位址的活動
不可能的移動
由已終止的使用者執行的活動 (需要 Microsoft Entra ID 為IdP)
多次失敗的登入嘗試
不尋常的系統管理活動
多次刪除 VM 活動
預覽 (異常的多個 VM 建立活動)
活動原則範本 計算引擎資源的變更
StackDriver 組態的變更
記憶體資源的變更
虛擬專用網的變更
從具風險的IP位址登入

如需建立原則的詳細資訊,請參閱 建立原則

自動化控管控件

除了監視潛在威脅之外,您還可以套用並自動化下列 GCP 治理動作,以補救偵測到的威脅:

類型 動作
使用者控管 - 要求使用者將密碼重設為Google (需要連結的Google Workspace 實例)
- 暫停使用者 (需要已連線的連結 Google Workspace 實例)
- 透過 Microsoft Entra ID 通知使用者警示 ()
- 要求使用者透過 Microsoft Entra ID) 再次登入 (
- 透過 Microsoft Entra ID) 暫停使用者 (

如需從應用程式補救威脅的詳細資訊,請參閱 治理連線的應用程式

實時保護 GCP

檢閱我們與 外部用戶保護及共同 作業,以及 封鎖和保護將敏感數據下載到非受控或具風險裝置的最佳做法。

將Google Cloud Platform 連線至 Microsoft Defender for Cloud Apps

本節提供使用連接器 API 將 Microsoft Defender for Cloud Apps 連線到現有 Google Cloud Platform (GCP) 帳戶的指示。 此連線可讓您瞭解並控制 GCP 使用。 如需 Defender for Cloud Apps 如何保護 GCP 的詳細資訊,請參閱保護 GCP

建議您使用專用專案進行整合,並限制對專案的存取,以維持穩定的整合,並防止刪除/修改安裝程式。

注意事項

連接 GCP 環境以進行稽核的指示會遵循 Google 對 取用匯總記錄的建議。 整合會利用Google StackDriver,並會耗用可能會影響計費的其他資源。 取用的資源包括:

Defender for Cloud Apps 稽核聯機只會匯入 管理員 活動稽核記錄;不會匯入數據存取和系統事件稽核記錄。 如需 GCP 記錄的詳細資訊,請參閱 雲端稽核記錄

必要條件

整合 GCP 使用者必須具有下列權限:

  • IAM 和 管理員 編輯 – 組織層級
  • 專案建立和編輯

您可以將 GCP 安全性稽核連線到 Defender for Cloud Apps 連線,以瞭解並控制 GCP 應用程式的使用。

設定Google Cloud Platform

建立專用專案

在組織下的 GCP 中建立專用專案,以啟用整合隔離和穩定性

  1. 使用整合 GCP 使用者帳戶登入您的 GCP 入口網站。

  2. 取 [建立專案 ] 以啟動新專案。

  3. 在 [ 新增專案] 畫面中,為您的專案命名,然後選取 [ 建立]

    顯示 [GCP 建立專案] 對話框的螢幕快照。

啟用必要的 API

  1. 切換至專用專案。

  2. 移至 [連結 庫] 索引 標籤。

  3. 搜尋並選取 [雲端記錄 API],然後在 [API] 頁面上選取 [ 啟用]

  4. 搜尋並選取 [雲端發佈/子 API],然後在 [API] 頁面上選取 [ 啟用]

    注意事項

    請確定您未選取 Pub/Sub Lite API

建立用於安全性稽核整合的專用服務帳戶

  1. [IAM & 系統管理員] 底下,選取 [ 服務帳戶]

  2. 取 [建立服務帳戶 ] 以建立專用服務帳戶。

  3. 輸入帳戶名稱,然後選取 [ 建立]

  4. 角色指定為 Pub/Sub 管理員,然後選取 [儲存]

    顯示 GCP 新增 IAM 角色的螢幕快照。

  5. 複製 Email 值,稍後將需要此值。

    顯示 [GCP 服務帳戶] 對話框的螢幕快照。

  6. [IAM & 系統管理員] 底下,選取 [IAM]

    1. 切換至組織層級。

    2. 選取 [新增]

    3. 在 [新增成員] 方塊中,貼上您稍早複製的 Email 值。

    4. [角色 ] 指定為 [記錄組態寫入器 ],然後選取 [ 儲存]

      顯示 [新增成員] 對話框的螢幕快照。

建立專用服務帳戶的私鑰

  1. 切換至專案層級。

  2. [IAM & 系統管理員] 底下,選取 [ 服務帳戶]

  3. 開啟專用服務帳戶,然後選取 [編輯]

  4. 取 [建立金鑰]

  5. 在 [ 建立私鑰] 畫面中,選取 [JSON],然後選取 [ 建立]

    顯示 [建立私鑰] 對話框的螢幕快照。

    注意事項

    您稍後將需要下載到裝置的 JSON 檔案。

擷取您的組織標識碼

記下您的 組織識別碼,您稍後將需要此標識碼。 如需詳細資訊,請 參閱取得您的組織標識符

顯示 [組織標識符] 對話框的螢幕快照。

將Google Cloud Platform稽核聯機至 Defender for Cloud Apps

此程式描述如何新增 GCP 連線詳細數據,以將 Google Cloud Platform 稽核連線至 Defender for Cloud Apps。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]

  2. [應用程式連接器] 頁面中,若要提供 GCP 連接器認證,請執行下列其中一項:

    注意事項

    建議您將Google Workspace實例連線,以取得統一的使用者管理和控管。 即使您不使用任何 Google 工作區產品,而且 GCP 使用者是透過 Google Workspace 使用者管理系統來管理,還是建議您這麼做。

    針對新的連接器

    1. 取 [+連接應用程式],後面接著 Google Cloud Platform

      線上 GCP。

    2. 在下一個視窗中,提供連接器的名稱,然後選取 [ 下一步]

      GCP 連接器名稱。

    3. 在 [ 輸入詳細數據 ] 頁面中,執行下列動作,然後選取 [ 提交]

      1. 在 [ 組織標識符] 方塊中,輸入您稍早記下的組織。
      2. 在 [ 私鑰檔案] 方塊中,流覽至您稍早下載的 JSON 檔案。

      線上新連接器的 GCP 應用程式安全性稽核。

    針對現有的連接器

    1. 在連接器清單中,於出現 GCP 連接器的數據列上,選取 [ 編輯設定]

      [已連線的應用程式] 頁面的螢幕快照,其中顯示 [編輯安全性稽核] 連結。

    2. 在 [ 輸入詳細數據 ] 頁面中,執行下列動作,然後選取 [ 提交]

      1. 在 [ 組織標識符] 方塊中,輸入您稍早記下的組織。
      2. 在 [ 私鑰檔案] 方塊中,流覽至您稍早下載的 JSON 檔案。

      線上現有連接器的 GCP 應用程式安全性稽核。

  3. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]。 確定已連線應用程式連接器的狀態為 [已連線]

    注意事項

    Defender for Cloud Apps 會使用整合專案中的整合服務帳戶, (組織層級) 、Pub/Sub 主題和 Pub/Sub 訂用帳戶建立匯總的導出接收器。

    匯總導出接收會用來匯總整個 GCP 組織的記錄,而建立的 Pub/Sub 主題會作為目的地。 Defender for Cloud Apps 透過建立來擷取整個 GCP 組織之系統管理員活動記錄的 Pub/Sub 訂用帳戶訂閱本主題。

如果您在連線應用程式時遇到任何問題,請參閱 針對應用程式連接器進行疑難解答

後續步驟

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證