Defender for Cloud Apps 如何協助保護您的Google Workspace環境
Google Workspace 是一種雲端檔案儲存和共同作業工具,可讓您的使用者以簡化且有效率的方式,跨組織和合作夥伴共用其檔。 使用Google Workspace不僅可能會在內部公開您的敏感數據,也會向外部共同作業者公開敏感數據,甚至甚至是透過共用連結公開。 這類事件可能是惡意執行者或非知情的員工所造成。 Google Workspace 也提供大型的第三方應用程式生態系統,以協助提升生產力。 使用這些應用程式可能會讓您的組織面臨惡意應用程式的風險,或使用具有過多許可權的應用程式。
將Google Workspace 連線到 Defender for Cloud Apps 可讓您更深入瞭解用戶的活動、使用機器學習型異常偵測提供威脅偵測、資訊保護偵測 (例如偵測外部資訊共用) 、啟用自動化補救控制,以及偵測組織中已啟用的第三方應用程式的威脅。
主要威脅
- 遭入侵的帳戶和內部威脅
- 數據外洩
- 安全性感知不足
- 惡意的第三方應用程式和Google附加元件
- 惡意程式碼
- 勒索軟體
- Unmanaged 將您自己的裝置 (BYOD)
Defender for Cloud Apps 如何協助保護您的環境
- 偵測雲端威脅、遭入侵的帳戶和惡意測試人員
- 探索、分類、標記和保護儲存在雲端中的控管和敏感性資料
- 探索和管理可存取您環境的 OAuth 應用程式
- 針對儲存在雲端的資料強制執行 DLP 和合規性原則
- 限制共用資料的暴露程度,並強制執行共同作業原則
- 使用活動的稽核線索來啟動鑒識調查
SaaS 安全性狀態管理
連線 Google Workspace ,以在安全分數Microsoft自動取得安全性建議。 在 [安全分數] 中,選取 [建議的動作 ],並依 [產品 = Google 工作區] 進行篩選。
Google Workspace 支援 啟用 MFA 強制執行的安全性建議。
如需詳細資訊,請參閱:
使用內建原則和原則範本控制 Google 工作區
您可以使用下列內建原則範本來偵測潛在威脅並通知您:
| 類型 | 姓名 |
|---|---|
| 內建異常偵測原則 |
來自匿名 IP 位址的活動 來自不常使用國家/地區的活動。 來自可疑IP位址的活動 不可能的移動 終止的使用者 (執行的活動需要 Microsoft Entra ID 為IdP) 惡意程式碼偵測 多次失敗的登入嘗試 不尋常的系統管理活動 |
| 活動原則範本 | 從具風險的IP位址登入 |
| 檔案原則範本 | 偵測與未經授權網域共用的檔案 偵測與個人電子郵件地址共用的檔案 使用 PII/PCI/PHI 偵測檔案 |
如需建立原則的詳細資訊,請參閱 建立原則。
自動化控管控件
除了監視潛在威脅之外,您還可以套用並自動化下列 Google 工作區治理動作,以補救偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 資料管理 | - 套用 Microsoft Purview 資訊保護 敏感度標籤 - 將讀取許可權授與網域 - 將Google雲端硬盤中的檔案/資料夾設為私人 - 減少對檔案/資料夾的公用存取 - 從檔案中移除共同作業者 - 移除 Microsoft Purview 資訊保護 敏感度標籤 - 移除檔案/資料夾上的外部共同作業者 - 移除檔案編輯器的共用能力 - 移除檔案/資料夾的公用存取權 - 要求使用者將密碼重設為Google - 將 DLP 違規摘要傳送給檔案擁有者 - 將 DLP 違規傳送至最後一個檔案編輯器 - 轉移檔案擁有權 - 垃圾桶檔案 |
| 使用者控管 | - 暫停使用者 - 透過 Microsoft Entra ID) 通知使用者警示 ( - 要求使用者透過 Microsoft Entra ID) 再次登入 ( - 透過 Microsoft Entra ID) 暫停使用者 ( |
| OAuth 應用程式控管 | - 撤銷 OAuth 應用程式許可權 |
如需從應用程式補救威脅的詳細資訊,請參閱 治理連線的應用程式。
實時保護Google Workspace
檢閱我們與 外部用戶保護及共同 作業,以及 封鎖和保護將敏感數據下載到非受控或具風險裝置的最佳做法。
將Google Workspace 連線至 Microsoft Defender for Cloud Apps
本節提供使用連接器 API 將 Microsoft Defender for Cloud Apps 連線到現有 Google Workspace 帳戶的指示。 此連線可讓您瞭解並控制Google Workspace的使用。 如需 Defender for Cloud Apps 如何保護Google Workspace 的相關信息,請參閱保護Google Workspace。
注意事項
Google Workspace 的檔案下載活動不會顯示在 Defender for Cloud Apps 中。
設定Google Workspace
以 Google Workspace Super 管理員 身分登入 https://console.cloud.google.com。
選取頂端功能區中的專案下拉式清單,然後選取 [ 新增專案 ] 以啟動新專案。
在 [新增專案] 頁面中,將您的專案命名為如下:Defender for Cloud Apps],然後選取 [建立]。
建立項目之後,請從頂端功能區選取已建立的專案。 複製 [項目編號],您稍後將需要它。
在導覽功能表中,移至服務連結庫 &> API。 如果未列出 API,請啟用下列 API (使用搜尋列) :
- 管理員 SDK API
- Google 雲端硬碟 API
在導覽功能表中,移至 [服務>認證 & API,然後執行下列步驟:
選 取 [建立認證]。
![選取 [建立認證]。](media/connect-google-workspace/6.jpg)
選 取 [服務帳戶]。
服務帳戶詳細數據:提供從 Defender for Cloud Apps到 Google 工作區帳戶的 API 連接器 Defender for Cloud Apps 名稱和描述。
選 取 [建立後繼續]。
在 [將此服務帳戶存取權授與專案] 底下,針對 [角色] 選取 [專案 > 編輯器],然後選取 [完成]。
在導覽功能表中,返回服務認證 & API>。
在 [ 服務帳戶] 底下,選取鉛筆圖示,找出並編輯您稍早建立的服務帳戶。
![選取 [服務帳戶]。](media/connect-google-workspace/12.jpg)
複製電子郵件位址。 以便後續步驟使用。
從頂端 功能區流覽至KEYS 。
從 [ 新增金鑰 ] 選單中,選取 [ 建立新金鑰]。
選 取 [P12],然後選取 [ 建立]。 儲存下載的檔案和使用檔案所需的密碼。
在導覽功能表中,移至 IAM & 管理員>Service 帳戶。 複製指派給您剛建立之服務帳戶 的用戶端識別 碼 -您稍後將需要此標識符。
移至 [admin.google.com],然後在導覽功能表中,移至 [安全>性存取和數據控制API 控>件]。 然後執行下列動作:
在 [ 網域範圍委派] 底下,選 取 [管理網域寬委派]。
選取 [新增]。
在 [ 用戶端識別符] 方塊中,輸入您稍早複製 的用戶端識別 符。
在 [ OAuth 範圍 ] 方塊中,輸入下列必要範圍清單 (複製文字並貼到) 方塊中:
https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user
選 取 [授權]。
設定 Defender for Cloud Apps
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]。
若要提供 Google Workspace 連線詳細數據,請在 [應用程式連接器] 底下執行下列其中一項:
對於已經有已連線 GCP 實例的 Google 工作區組織
- 在連接器清單中,於 GCP 實例出現的數據列結尾,選取三個點,然後選取 [連線 Google 工作區實例]。
針對尚未擁有已連線 GCP 實例的 Google 工作區組織
- 在 [ 連線的應用程式] 頁面中,選取 [+連線應用程式],然後選取 [Google 工作區]。
在 [ 實例名稱] 視窗中,為您的連接器命名。 然後選取 [下一步]。
在 [ 新增 Google 金鑰] 中,填寫下列資訊:
輸入 [服務帳戶標識符],這是您稍早複製的 Email。
輸入您稍早複製 (應用程式識別碼) 項目編號 。
上傳您稍早儲存的 P12 憑證 檔案。
輸入Google Workspace系統管理員的一 封系統管理員帳戶電子郵件 。
如果您有Google Workspace Business或 Enterprise 帳戶,請選取複選框。 如需 Google Workspace Business 或 Enterprise Defender for Cloud Apps 中可用功能的相關信息,請參閱為您的應用程式啟用立即可見度、保護和控管動作。
選取 [連線 Google 工作區]。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]。 確定已連線應用程式連接器的狀態為 [已連線]。
連線到 Google Workspace 之後,您會在連線前七天收到事件。
連線到Google Workspace之後,Defender for Cloud Apps 執行完整掃描。 視您擁有的檔案和用戶數目而定,完成完整掃描可能需要一些時間。 若要啟用近乎即時的掃描,偵測到活動的檔案會移至掃描佇列的開頭。 例如,系統會立即掃描已編輯、更新或共用的檔案。 這不適用於原本未修改的檔案。 例如,在一般掃描期間會掃描已檢視、預覽、列印或導出的檔案。
SaaS 安全性狀態管理 (SSPM) 數據 (預覽) 會顯示在 Microsoft Defender 入口網站的 [安全分數] 頁面上。 如需詳細資訊,請參閱 SaaS 應用程式的安全性狀態管理。
如果您在連線應用程式時遇到任何問題,請參閱 針對應用程式連接器進行疑難解答。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。