Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Defender for Cloud poskytuje správu stavu zabezpečení a ochranu před hrozbami pro úlohy spuštěné v GCP (Google Cloud Platform).
V tomto článku se dozvíte, jak propojit projekt GCP nebo organizaci s Programem Microsoft Defender for Cloud, aby Microsoft Defender pro Cloud mohl zjišťovat prostředky, vyhodnocovat stav zabezpečení a zobrazovat doporučení a výstrahy zabezpečení.
Architektura ověřování
Microsoft Defender pro cloud používá federované ověřování k bezpečnému přístupu k rozhraním API GCP bez ukládání dlouhodobých přihlašovacích údajů.
Během onboardingu vytvoří Defender for Cloud vztah důvěryhodnosti s Google Cloudem pomocí federace identit úloh a zosobnění účtu služby. Přístup je omezený na připojený projekt nebo organizaci a omezuje se na oprávnění vyžadovaná povolenými plány Defenderu.
Přečtěte si další informace o architektuře ověřování pro konektory GCP.
Požadavky
Před připojením projektu GCP se ujistěte, že máte:
Předplatné Microsoft Azure. Pokud nemáte předplatné Azure, můžete si ho zdarma zaregistrovat.
Microsoft Defender pro cloud je pro vaše předplatné Azure povolený.
Přístup k projektu nebo organizaci GCP
Oprávnění na úrovni přispěvatele pro příslušné předplatné Azure
Pokud v programu Defender for CSPM povolíte CIEM, uživatel, který konektor nasadí, potřebuje pro tenanta také roli Správce zabezpečení a oprávnění Application.ReadWrite.All .
Důležité informace o nákladech
Při připojování projektů GCP ke službě Microsoft Defender for Cloud a povolení plánů Defenderu se můžou účtovat další poplatky.
Další informace o cenách Defenderu pro cloud najdete na stránce s cenami.
Náklady můžete také odhadnout pomocí kalkulačky nákladů v programu Defender for Cloud.
Mapování projektů GCP a předplatného
Při připojování projektů GCP k předplatným Azure zvažte následující:
- Projekty GCP jsou připojené k Programu Microsoft Defender for Cloud na úrovni projektu.
- K jednomu předplatnému Azure můžete připojit více projektů GCP.
- Můžete připojit více projektů GCP napříč několika předplatnými Azure.
Přečtěte si další informace o hierarchii prostředků Google Cloud.
Připojení projektu GCP
Přihlaste se do Azure Portalu.
Vyhledejte a vyberte Microsoft Defender for Cloud.
Přejděte do Defenderu pro cloud>nastavení prostředí.
Vyberte Přidat prostředí>Google Cloud Platform.
Vyberte předplatné, ve kterém se vytvoří bezpečnostní konektor.
Vyberte skupinu prostředků , ve které se vytvoří konektor zabezpečení.
Vyberte umístění , kde se vytvoří konektor zabezpečení.
Vyberte interval pro kontrolu prostředí GCP každých 4, 6, 12 nebo 24 hodin. Některé kolektory dat běží s pevnými intervaly kontroly a nejsou ovlivněny vlastními konfiguracemi intervalů.
Poznámka:
Následující kolektory dat používají pevný interval skenování:
Název kolektoru dat Interval skenování Výpočetní instance
PolitikaÚložištěArtifactRegistry
ObrázekRejstříkuArtefaktů
Kontejnerový cluster
ComputeInstanceGroup
ComputeZonalInstanceGroupInstance
ComputeRegionalInstanceGroupManager
ComputeZonalInstanceGroupManager
ComputeGlobalInstanceTemplate1 hodina Jenom organizace: Zadejte ID organizace GCP.
Jenom organizace: V případě potřeby zadejte čísla projektu, která chcete vyloučit.
Jenom organizace: V případě potřeby zadejte ID složek, které chcete vyloučit.
Pouze jeden projekt: Zadejte číslo projektu GCP.
Pouze jeden projekt: Zadejte ID projektu GCP.
Vyberte Další: Vyberte plány.
Poznámka:
Vzhledem k tomu, že agent Log Analytics (označovaný také jako MMA) bude v srpnu 2024 vyřazen z provozu, všechny funkce Defenderu pro servery a možnosti zabezpečení, které jsou na něm aktuálně závislé, včetně těch, které jsou popsány na této stránce, budou dostupné prostřednictvím integrace Microsoft Defender for Endpoint nebo skenu bez agentů před datem vyřazení. Další informace o roadmapě jednotlivých funkcí, které jsou aktuálně závislé na agentu Log Analytics, najdete v tomto oznámení.
Vyberte plány Defenderu, které chcete povolit.
Poznámka:
Každý plán může účtovat poplatky. Přečtěte si další informace o cenách Defender for Cloud.
Vyberte Další: Konfigurovat přístup.
Vyberte typ oprávnění:
- Výchozí přístup: Uděluje oprávnění požadovaná pro aktuální a budoucí funkce.
- Přístup s nejnižšími oprávněními: Uděluje pouze oprávnění požadovaná dnes. Pokud budete později potřebovat další přístup, můžete dostávat oznámení.
Podle pokynů na obrazovce nakonfigurujte přístup mezi Defender for Cloud a prostředím GCP.
Vygenerovaný skript
gcloudvychází z rozsahu a Defender plánů, které jste vybrali. Spusťte skript v prostředí GCP, které nasazujete.Skript vytvoří požadované prostředky v prostředí GCP, včetně následujících:
- Skupina identit úloh
- Zprostředkovatel identity úloh (podle plánu)
- Servisní účty
- Vazby zásad na úrovni projektu (účet služby má přístup pouze ke konkrétnímu projektu)
Poznámka:
V projektu, ve kterém spouštíte skript onboardingu, musí být povolená následující rozhraní API:
iam.googleapis.comsts.googleapis.comcloudresourcemanager.googleapis.comiamcredentials.googleapis.comcompute.googleapis.com
Při onboardingu na úrovni organizace povolte tato API v projektu správy.
Pokud tato rozhraní API nejsou povolená, můžete je během onboardingu povolit spuštěním skriptu GCP Cloud Shell.
Vyberte Další: Zkontrolovat a vygenerovat.
Projděte si podrobnosti o konektoru.
Vyberte Vytvořit.
Defender for Cloud začne kontrolovat prostředky GCP. Doporučení zabezpečení se zobrazí během několika hodin. Pokud jste povolili automatické zřizování, služba Azure Arc a všechna povolená rozšíření se automaticky nainstalují pro každý nově zjištěný prostředek.
Aktualizace konfigurace konektoru GCP
Aktualizujte konfiguraci konektoru GCP, když se změní oprávnění nebo prostředky vyžadované Defender for Cloud.
Aktualizujte konfiguraci v následujících případech:
- Povolili jste nový plán Defender, například Defender CSPM, Defender pro databáze nebo Defender pro kontejnery.
- Změnili jste konfiguraci plánu, například jste povolili automatické zřizování nebo změnili vybraný rozsah.
- Microsoft vydal aktualizovaný skript pro onboarding, například verzi, která podporuje nové funkce, opravuje chyby nebo aktualizuje oprávnění.
- Dochází k problémům se stavem konektoru související s chybějícími oprávněními nebo chybějícími prostředky GCP.
Pokud chcete konfiguraci aktualizovat, vraťte se do konektoru GCP v Defender for Cloud, vygenerujte nejnovější skript gcloud pro vybraný obor a plány a spusťte skript znovu v prostředí GCP, které nasazujete.
Ověření stavu konektoru
Ověření správného fungování konektoru GCP:
Přihlaste se do Azure Portalu.
Přejděte do Defenderu pro cloud>nastavení prostředí.
Vyhledejte projekt GCP a zkontrolujte sloupec stavu připojení a zjistěte, jestli je připojení v pořádku nebo jestli má problémy.
Výběrem hodnoty zobrazené ve sloupci Stav připojení zobrazíte další podrobnosti.
Na stránce podrobností o prostředí jsou uvedeny všechny zjištěné problémy s konfigurací nebo oprávněními ovlivňujícími připojení k projektu GCP.
Pokud problém existuje, můžete ho vybrat, abyste zobrazili popis problému a doporučené kroky pro nápravu. V některých případech je k dispozici skript pro nápravu, který vám pomůže problém vyřešit.
Přečtěte si další informace o řešení potíží s konektory s více cloudy.
Zobrazení aktuálního pokrytí
Defender for Cloud poskytuje přístup k sešitům prostřednictvím sešitů Azure. Sešity jsou přizpůsobitelné sestavy, které poskytují přehled o vaší bezpečnostní situaci.
Sešit pokrytí vám pomůže pochopit aktuální pokrytí tím, že ukazuje, které plány jsou povolené pro vaše předplatná a prostředky.
Povolení příjmu dat protokolování cloudu GCP (Preview)
Příjem dat protokolování cloudu GCP vylepšuje přehledy identit a oprávnění přidáním kontextu aktivity pro posouzení nároků na cloudovou infrastrukturu (CIEM), doporučení na základě rizik a analýzy cest útoku.
Přečtěte si další informace o ingestování protokolování cloudu GCP pomocí pub/Sub (Preview).