Verbinden von GCP-Projekten mit Microsoft Defender für Cloud

Workloads umfassen in der Regel mehrere Cloudplattformen. Cloudsicherheitsdienste müssen das Gleiche tun. Microsoft Defender for Cloud schützt Workloads in Google Cloud Platform (GCP), aber Sie müssen die Verbindung zwischen diesen und Defender for Cloud einrichten.

Wenn Sie ein GCP-Projekt verbinden, das Sie zuvor mit dem klassischen Connector verbunden hatten, müssen Sie es zunächst entfernen. Die Verwendung eines GCP-Projekts, das sowohl durch den klassischen als auch durch native Connectors verbunden ist, kann doppelte Empfehlungen erzeugen.

In diesem Screenshot sehen Sie die GPC-Konten, die im Übersichtsdashboard von Defender for Cloud angezeigt werden.

Voraussetzungen

Die in diesem Artikel aufgeführten Verfahren setzen Folgendes voraus:

• Ein Microsoft Azure-Abonnement Falls Sie kein Azure-Abonnement haben, können Sie sich kostenlos registrieren.

• Einrichten von Microsoft Defender for Cloud in Ihrem Azure-Abonnement.

• Zugriff auf ein GCP-Projekt.

• Die Berechtigung Mitwirkender für das relevante Azure-Abonnement und die Berechtigung Besitzer für die GCP-Organisation oder das Projekt.

Weitere Informationen zu den Preisen von Defender for Cloud finden Sie in der Preisübersicht.

Wenn Sie Ihre GCP-Projekte mit bestimmten Azure-Abonnements verbinden, berücksichtigen Sie die Google Cloud-Ressourcenhierarchie und die folgenden Richtlinien:

• Sie können Ihre GCP-Projekte mit Microsoft Defender for Cloud auf Projektebene verbinden.
• Sie können mehrere Projekte mit einem Azure-Abonnement verbinden.
• Sie können mehrere Projekte mit mehreren Azure-Abonnements verbinden.

Verbinden Ihres GCP-Projekts

So verbinden Sie Ihr GCP-Projekt mithilfe eines nativen Connectors mit Defender for Cloud:

1. Melden Sie sich beim Azure-Portal an.

2. Navigieren Sie zu Defender for Cloud>Umgebungseinstellungen.

3. Wählen Sie Umgebung hinzufügen>Google Cloud Platform aus.

   

4. Geben Sie alle relevanten Informationen ein.

   

   Optional werden, wenn Sie Organisation auswählen, ein Verwaltungsprojekt und eine benutzerdefinierte Organisationsrolle für Ihr GCP-Projekt für den Onboardingprozess erstellt. Die automatische Bereitstellung wird für das Onboarding neuer Projekte aktiviert.

Auswählen von Defender-Plänen

In diesem Abschnitt des Assistenten wählen Sie die Defender for Cloud-Pläne aus, die Sie aktivieren möchten.

1. Klicken Sie auf Weiter: Pläne auswählen.

2. Legen Sie für die Pläne, die Sie verbinden möchten, die Umschaltfläche auf Ein fest. Standardmäßig werden alle erforderlichen Voraussetzungen und Komponenten bereitgestellt. Erfahren Sie, wie Sie die einzelnen Pläne konfigurieren.

   

   Wenn Sie den Microsoft Defender for Containers-Plan aktivieren, stellen Sie sicher, dass die Netzwerkanforderungen dafür erfüllt sind.

3. Wählen Sie Zugriff konfigurieren aus, und wählen Sie Folgendes aus:

   1. Wählen Sie den Bereitstellungstyp aus:

      • Standardzugriff: Ermöglicht es Defender for Cloud, Ihre Ressourcen zu überprüfen, und enthält automatisch zukünftige Funktionen.
      • Zugriff mit den geringsten Rechten: Gewährt Defender for Cloud nur Zugriff auf die aktuellen Berechtigungen, die für die ausgewählten Pläne erforderlich sind. Wenn Sie die Berechtigungen mit den geringsten Rechten auswählen, erhalten Sie Benachrichtigungen zu allen neuen Rollen und Berechtigungen, die erforderlich sind, um den vollständigen Funktionsumfang für die Connectorintegrität zu erhalten.

   2. Wählen Sie die Bereitstellungsmethode aus: GCP Cloud Shell oder Terraform.

   

4. Befolgen Sie die Anweisungen auf dem Bildschirm für die ausgewählte Bereitstellungsmethode, um die erforderlichen Abhängigkeiten von GCP abzuschließen.

5. Wählen Sie Weiter: Überprüfen und generieren aus.

6. Wählen Sie Erstellen aus.

   Hinweis

   Die folgenden APIs müssen aktiviert sein, um Ihre GCP-Ressourcen zu ermitteln und den Authentifizierungsprozess zuzulassen:

   • iam.googleapis.com
   • sts.googleapis.com
   • cloudresourcemanager.googleapis.com
   • iamcredentials.googleapis.com
   • compute.googleapis.com Wenn Sie diese APIs nicht aktivieren, können Sie sie während des Onboardingprozesses durch Ausführen des GCloud-Skripts aktivieren.

Nachdem Sie den Connector erstellt haben, wird eine Überprüfung in Ihrer GCP-Umgebung gestartet. Neue Empfehlungen werden in Defender for Cloud nach bis zu sechs Stunden angezeigt. Wenn Sie die automatische Bereitstellung aktiviert haben, werden Azure Arc und alle aktivierten Erweiterungen automatisch für jede neue erkannte Ressource installiert.

Optional: Konfigurieren ausgewählter Pläne

Standardmäßig sind alle Pläne aktiviert. Sie können Pläne deaktivieren, die Sie nicht benötigen.

Konfigurieren des Defender for Servers-Plans

Microsoft Defender for Servers stattet Ihre GCP-VM-Instanzen mit Bedrohungserkennung und erweiterten Schutzmaßnahmen aus. Um vollständigen Einblick in Microsoft Defender for Servers-Sicherheitsinhalte zu erhalten, verbinden Sie Ihre GCP-VM-Instanzen mit Azure Arc. Wenn Sie den Microsoft Defender for Servers-Plan auswählen, benötigen Sie Folgendes:

• Microsoft Defender für Server muss für das Abonnement aktiviert sein. Informationen zum Aktivieren von Plänen finden Sie unter Aktivieren erweiterter Sicherheitsfeatures.

• Azure Arc für Server muss auf Ihren VM-Instanzen installiert sein.

Es wird empfohlen, den Prozess für die automatische Bereitstellung zu verwenden, um Azure Arc auf Ihren VM-Instanzen zu installieren. Die automatische Bereitstellung ist im Onboarding-Prozess standardmäßig aktiviert und erfordert Berechtigungen als Besitzer für das Abonnement. Der Prozess für die automatische Bereitstellung von Azure Arc verwendet auf GCP-Seite den Betriebssystemkonfigurations-Agenten. Erfahren Sie mehr über die Verfügbarkeit des Betriebssystemkonfigurations-Agents auf GCP-Computern.

Der Prozess für die automatische Bereitstellung von Azure Arc verwendet den VM-Manager in GCP, um über den Betriebssystemkonfigurations-Agenten Richtlinien auf Ihren VMs durchzusetzen. Für einen virtuellen Computer mit einem aktiven Betriebssystemkonfigurations-Agent fallen Kosten gemäß GCP an. Informationen dazu, wie sich diese Kosten auf Ihr Konto auswirken können, finden Sie in der technischen Dokumentation zu GCP.

Microsoft Defender for Servers installiert den Betriebssystemkonfigurations-Agenten nicht auf einer VM, auf der er nicht installiert ist. Microsoft Defender for Servers ermöglicht jedoch die Kommunikation zwischen dem Betriebssystemkonfigurations-Agent und dem Betriebssystemkonfigurations-Dienst, wenn der Agent bereits installiert ist, mit dem Dienst aber nicht kommuniziert. Diese Kommunikation kann den Betriebssystemkonfigurations-Agent von inactive in active ändern und zu zusätzlichen Kosten führen.

Alternativ können Sie Ihre VM-Instanzen manuell mit Azure Arc für Server verbinden. Instanzen in Projekten mit aktiviertem Defender for Servers-Plan, die nicht mit Azure Arc verbunden sind werden durch die Empfehlung GCP-VM-Instanzen sollten mit Azure Arc verbunden sein angezeigt. Wählen Sie die Option Beheben in der Empfehlung aus, um Azure Arc auf den ausgewählten Computern zu installieren.

Die entsprechenden Azure Arc-Server für EC2-Instanzen oder GCP-VMs, die nicht mehr vorhanden sind (und die entsprechenden Azure Arc-Server mit dem Status Getrennt oder Abgelaufen) werden nach 7 Tagen entfernt. Durch diesen Prozess werden irrelevante Azure ARC-Entitäten entfernt, sodass nur Azure Arc-Server angezeigt werden, die sich auf vorhandene Instanzen beziehen.

Stellen Sie sicher, dass die Netzwerkanforderungen für Azure Arc erfüllt sind.

Aktivieren Sie diese anderen Erweiterungen auf den mit Azure Arc verbundenen Computern:

• Microsoft Defender für den Endpunkt
• Eine Lösung zur Sicherheitsrisikobewertung (Microsoft Defender Vulnerability Management oder Qualys)
• Der Log Analytics-Agent auf mit Azure Arc verbundenen Computern oder der Azure Monitor-Agent

Stellen Sie sicher, dass im ausgewählten Log Analytics-Arbeitsbereich die Sicherheitslösung installiert ist. Der Log Analytics-Agent und der Azure Monitor-Agent sind derzeit auf Abonnementebene konfiguriert. Alle Multi-Cloud-Konten und -projekte (sowohl aus AWS als auch GCP) unter demselben Abonnement erben die Abonnementeinstellungen für den Log Analytics-Agent und den Azure Monitor-Agent. Weitere Informationen zur Überwachung von Komponenten für Defender for Servers.

Defender for Servers weist Ihren GCP-Ressourcen Tags zu, um den automatischen Bereitstellungsprozess zu verwalten. Diese Tags müssen Ihren Ressourcen ordnungsgemäß zugewiesen sein, sodass Defender for Servers Ihre Ressourcen verwalten kann: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId und ProjectNumber.

So konfigurieren Sie den Defender for Servers-Plan:

1. Führen Sie die Schritte zum Verbinden Ihres GCP-Projekts aus.

2. Wählen Sie auf dem Bildschirm Pläne auswählen die Option Konfigurieren aus.

   

3. Legen Sie im Bereich Konfiguration der automatischen Bereitstellung die Umschaltflächen je nach Bedarf auf Ein oder Aus fest.

   

   Wenn der Azure Arc-Agent auf Aus festgelegt ist, müssen Sie den oben erwähnten manuellen Installationsvorgang befolgen.

4. Wählen Sie Speichern aus.

5. Fahren Sie mit Schritt 8 der Anleitung Verbinden Ihres GCP-Projekts fort.

Konfigurieren des Defender for Databases-Plans

Um vollständigen Einblick in Microsoft Defender for Databases-Sicherheitsinhalte zu erhalten, verbinden Sie Ihre GCP-VM-Instanzen mit Azure Arc.

So konfigurieren Sie den Defender for Databases-Plan:

1. Führen Sie die Schritte zum Verbinden Ihres GCP-Projekts aus.

2. Wählen Sie auf dem Bildschirm Pläne auswählen die Option Konfigurieren aus.

   

3. Legen Sie im Bereich Konfiguration der automatischen Bereitstellung die Umschaltflächen je nach Bedarf auf Ein oder Aus fest.

   

   Wenn die Umschaltfläche für Azure Arc auf Aus festgelegt ist, müssen Sie den oben erwähnten manuellen Installationsvorgang befolgen.

4. Wählen Sie Speichern aus.

5. Fahren Sie mit Schritt 8 der Anleitung Verbinden Ihres GCP-Projekts fort.

Konfigurieren des Microsoft Defender for Containers-Plans

Mit Microsoft Defender for Containers können die Bedrohungserkennung und erweiterte Schutzmaßnahmen in Ihren GCP Google Kubernetes Engine (GKE) Standard-Clustern integriert werden. Um den vollständigen Sicherheitswert von Defender for Containers zu erhalten und GCP-Cluster vollständig zu schützen, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind.

Hinweis

• Wenn Sie alle verfügbaren Konfigurationsoptionen deaktivieren, werden keine Agents oder Komponenten in Ihren Clustern bereitgestellt. Erfahren Sie mehr über die Verfügbarkeit von Features.
• Wenn Defender for Containers auf GCP eingesetzt wird, können externe Kosten wie Protokollierungskosten, Pub/Sub-Kosten und ausgehende Kosten anfallen.

• Kubernetes-Überwachungsprotokolle für Defender for Cloud: Standardmäßig aktiviert. Diese Konfiguration ist nur auf der GCP-Projektebene verfügbar. Es ermöglicht die Sammlung der Überwachungsprotokolldaten ohne Agent über die GCP-Cloudprotokollierung für das Microsoft Defender for Cloud-Back-End zur weiteren Analyse.
• Kubernetes mit Azure Arc-Unterstützung, der Defender-Agent und Azure Policy für Kubernetes: standardmäßig aktiviert. Sie können Kubernetes mit Azure Arc-Unterstützung und die Erweiterungen auf drei Arten in Ihren GKE-Clustern installieren:
  • Aktivieren Sie die automatische Bereitstellung von Defender for Containers auf Projektebene, wie in den Anweisungen in diesem Abschnitt beschrieben. Diese Methode wird empfohlen.
  • Verwenden Sie Defender for Cloud-Empfehlungen für die Installation pro Cluster. Sie werden auf der Seite mit den Microsoft Defender for Cloud-Empfehlungen angezeigt. Erfahren Sie mehr über das Bereitstellen der Lösung in bestimmten Clustern.
  • Installieren Sie Kubernetes mit Arc-Unterstützung und Erweiterungen manuell.

So konfigurieren Sie den Microsoft Defender for Containers-Plan:

1. Führen Sie die Schritte zum Verbinden Ihres GCP-Projekts aus.

2. Wählen Sie auf dem Bildschirm Pläne auswählen die Option Konfigurieren aus.

   

3. Legen Sie im Defender for Containers-Konfigurationsbereich die Umschaltflächen auf Ein fest.

   

4. Wählen Sie Speichern aus.

5. Fahren Sie mit Schritt 8 der Anleitung Verbinden Ihres GCP-Projekts fort.

Überwachen Ihrer GCP-Ressourcen

Die Seite mit den Sicherheitsempfehlungen in Defender for Cloud zeigt Ihre GCP-Ressourcen zusammen mit Ihren Azure- und AWS-Ressourcen für eine echte Multi-Cloud-Ansicht an.

Zum Anzeigen aller aktiven Empfehlungen für Ihre Ressourcen nach Ressourcentyp verwenden Sie die Ressourcenbestandsseite von Defender for Cloud, und filtern Sie nach dem gewünschten GPC-Ressourcentyp.

Integrieren in Microsoft 365 Defender

Wenn Sie Defender for Cloud aktivieren, werden die Benachrichtigungen von Defender for Cloud automatisch in das Microsoft 365 Defender-Portal integriert. Es sind keine weiteren Schritte erforderlich.

Die Integration zwischen Microsoft Defender for Cloud und Microsoft 365 Defender macht Ihre Cloudumgebungen in Microsoft 365 Defender verfügbar. Durch die Integration von Defender for Cloud-Warnungen und Cloudkorrelationen in Microsoft 365 Defender können SOC-Teams jetzt über eine einzige Schnittstelle auf alle Sicherheitsinformationen zugreifen.

Erfahren Sie mehr über die Defender for Cloud-Benachrichtigungen in Microsoft 365 Defender.

Nächste Schritte

Das Herstellen einer Verbindung mit Ihrem GCP-Projekt ist Teil der in Microsoft Defender for Cloud verfügbaren Multi-Cloud-Funktion:

• Schützen Sie alle Ihre Ressourcen mit Defender for Cloud.
• Richten Sie Ihre lokalen Computer und Ihr AWS-Konto ein.
• Problembehandlung bei Multi-Cloud-Connectors
• Schauen Sie sich die Antworten auf häufige Fragen zum Herstellen einer Verbindung mit Ihrem GCP-Projekt an.