連接您的 GCP 帳戶
將 GCP 帳戶上線至適用於雲端的 Microsoft Defender,整合 GCP 安全性命令和適用於雲端的 Defender。 因此,適用於雲端的 Defender 會在這兩個雲端環境間提供可見度和保護,以支援:
偵測安全性設定錯誤
顯示適用於雲端的 Defender 建議和 GCP 安全性命令中心結果的單一檢視
將您的 GCP 資源合併到適用於雲端的 Defender 的安全分數計算中
根據 CIS 標準,將 GCP Security Command Center 建議合併至適用於雲端的 Defender 法規合規性儀表板
在下面的螢幕擷取畫面中,您可以看到 GCP 專案顯示在適用於雲端的 Defender 的概觀儀表板中。
請遵循下列步驟來建立 GCP 雲端連接器。
設定具有 Security Health Analytics 的 GCP Security Command Center
對於組織中的所有 GCP 專案,您也必須:
使用 GCP 文件中的指示,設定 GCP Security Command Center。
使用 GCP 文件中的指示,啟用 Security Health Analytics。
確認有流向 Security Command Center 的資料。
連接您的 GCP 環境以進行安全性設定的指示,會遵循 Google 在使用安全性設定方面的建議。 此整合會使用 Google 安全性命令中心,且會使用更多資源,可能影響到計費。
當您第一次啟用 Security Health Analytics 時,資料可能需要幾個小時才可供使用。
啟用 GCP Security Command Center API
從 Google 的 Cloud 控制台 API Library,選取您要連接到 Azure 資訊安全中心的專案。
在 API Library 中,尋找並選取 [Security Command Center API]。
在 API 的頁面上,選取 [ENABLE] (啟用)。
建立安全性設定整合的專用服務帳戶
在 GCP 控制台中,選取您要連接到資訊安全中心的專案。
在 [導覽] 功能表中的 [IAM 和管理] 選項底下,選取 [服務帳戶]。
選取 [CREATE SERVICE ACCOUNT] (建立服務帳戶)。
輸入帳戶名稱,然後選取 [Create] (建立)。
將 [角色] 指定為 [資訊安全中心管理檢視器],然後選取 [繼續]。
[Grant users access to this service account] (授權使用者存取此服務帳戶) 區段為選擇性。 選取完成。
複製已建立服務帳戶的 [Email] (電子郵件) 值,並將其儲存以供稍後使用。
在 [導覽] 功能表中的 [IAM 和管理] 選項下方,選取 [IAM]
切換至組織層級。
選取 [ADD] (新增)。
在 [New members] (新成員) 欄位中,貼上您稍早複製的 [Email] (電子郵件) 值。
將 [角色] 指定為 [資訊安全中心管理檢視器],然後選取 [儲存]。
建立專用服務帳戶的私密金鑰
切換至專案層級。
在 [導覽] 功能表中的 [IAM 和管理] 選項底下,選取 [服務帳戶]。
開啟專用服務帳戶,然後選取 [編輯]。
在 [金鑰] 區段中選取 [新增金鑰],然後選取 [建立新的金鑰]。
在 [Create private key] (建立私密金鑰) 畫面中,選取 [JSON],然後選取 [CREATE] (建立)。
儲存此 JSON 檔案以供稍後使用。
將 GCP 連線至適用於雲端的 Defender
從適用於雲端的 Defender 的功能表中,選取 [雲端連接器]。
選取 [新增 GCP 帳戶]。
在 [上線] 頁面中執行下列動作,然後選取 [下一步]。
驗證選擇的訂閱。
在 [顯示名稱] 欄位中,輸入連接器的顯示名稱。
在 [組織識別碼] 欄位中,輸入您的組織識別碼。
在 [私密金鑰] 檔案方塊中,瀏覽至您在前一步驟下載的 JSON 檔案。 建立專用服務帳戶的私密金鑰。
確認
在成功建立連接器並正確設定 GCP Security Command Center 之後:
GCP CIS 標準會顯示在適用於雲端的 Defender 的法規合規性儀表板中。
上線完成 5-10 分鐘後,資訊安全中心入口網站和法規合規性儀表板將會顯示您的 GCP 資源安全性建議:
