Schnellstart: Verbinden von GCP-Projekten mit Microsoft Defender für Cloud

Cloudworkloads umfassen in der Regel mehrere Cloudplattformen, daher muss das auch für Cloudsicherheitsdienste gelten. Microsoft Defender for Cloud schützt Workloads in Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), GitHub und Azure DevOps (ADO).

Um Ihre GCP-basierten Ressourcen zu schützen, können Sie ein GCP-Projekt mit einem der folgenden Connectors verbinden:

  • Nativer Cloudconnector (empfohlen): Stellt eine Agent-lose Verbindung mit Ihrem GCP-Konto bereit, die Sie mit Defender-Plänen von Defender für Cloud erweitern können, um Ihre GCP-Ressourcen zu schützen:

    • Cloud Security Posture Management (CSPM) bewertet Ihre GCP-Ressourcen auf der Grundlage GCP-spezifischer Sicherheitsempfehlungen und spiegelt Ihren Sicherheitsstatus in Ihrer Sicherheitsbewertung wider. Die Ressourcen werden im Ressourcenbestand von Defender für Cloud angezeigt und mit GCP-spezifischen integrierten Standards auf ihre Compliance bewertet.
    • Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Schutzmaßnahmen für unterstützte Windows- und Linux-VM-Instanzen. Dieser Plan umfasst die integrierte Lizenz für Microsoft Defender für Endpunkt, Sicherheitsbaselines und Bewertungen auf Betriebssystemebene, Überprüfungen zur Sicherheitsrisikobewertung, adaptive Anwendungssteuerung (AAC), Überwachung der Dateiintegrität (FIM) und mehr.
    • Microsoft Defender für Container bietet Bedrohungserkennung und erweiterte Schutzmaßnahmen für unterstützte Google GKE-Cluster. Dieser Plan umfasst auch die Kubernetes-Bedrohungserkennung, Verhaltensanalysen, Best Practices für Kubernetes, Empfehlungen zur Zugangssteuerung und vieles mehr.
    • Microsoft Defender für SQL stattet die in Ihren GCP-Compute-Modul-Instanzen laufenden SQL-Server mit Bedrohungserkennung und erweiterten Schutzmaßnahmen aus, u. a. mit erweitertem Bedrohungsschutz und Überprüfungen zur Sicherheitsrisikobewertung.
  • Klassischer Cloudconnector: Muss in Ihrem GCP-Konto konfiguriert werden, um einen Benutzer zu erstellen, den Defender für Cloud verwenden kann, um eine Verbindung mit Ihrer GCP-Umgebung herzustellen. Wenn Sie über klassische Cloudconnectors verfügen, sollten Sie diese Connectors löschen und unter Verwendung des nativen Connectors erneut eine Verbindung mit dem Projekt herstellen. Die parallele Verwendung des klassischen und des nativen Connectors kann zur Generierung doppelter Empfehlungen führen.

Screenshot: GCP-Projekte im Übersichtsdashboard von Microsoft Defender für Cloud.

Verfügbarkeit

Aspekt Details
Status des Release: Vorschau
Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Preise: Der Defender für SQL-Plan wird zum gleichen Preis wie für Azure-Ressourcen abgerechnet.
Der Defender für Server-Plan wird zu demselben Preis abgerechnet wie der Microsoft Defender für Server-Plan für Azure-Computer. Wenn der Azure Arc-Agent nicht für eine GCP-VM-Instanz bereitgestellt wurde, wird Ihnen dieser Computer nicht in Rechnung gestellt.
Der Plan Defender für Container ist während der Vorschau kostenlos. Danach wird er für GCP zu demselben Preis wie für Azure-Ressourcen abgerechnet.
Erforderliche Rollen und Berechtigungen: Mitwirkender für das relevante Azure-Abonnement
Besitzer der GCP-Organisation oder des Projekts
Clouds: Kommerzielle Clouds
National (Azure Government, Azure China 21Vianet, andere Gov-Clouds)

Verbinden Ihrer GCP-Projekte

Wenn Sie Ihre GCP-Projekte mit bestimmten Azure-Abonnements verbinden, berücksichtigen Sie die Google Cloud-Ressourcenhierarchie und die folgenden Richtlinien:

  • Sie können Ihre GCP-Projekte mit Microsoft Defender für Cloud auf Projektebene verbinden.
  • Sie können mehrere Projekte mit einem Azure-Abonnement verbinden.
  • Sie können mehrere Projekte mit mehreren Azure-Abonnements verbinden.

Führen Sie die folgenden Schritte aus, um Ihren GCP-Cloudconnector zu erstellen:

So verbinden Sie Ihr GCP-Konto mithilfe eines nativen Connectors mit Defender für Cloud

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Defender für Cloud>Umgebungseinstellungen.

  3. Klicken Sie auf + Umgebung hinzufügen.

  4. Wählen Sie Google Cloud Platform aus.

    Screenshot der Position der Schaltfläche für die Google Cloud-Umgebung.

  5. Geben Sie alle relevanten Informationen ein.

    Screenshot der Seite „GCP-Connector erstellen“, auf der Sie alle relevanten Informationen eingeben müssen.

    (Optional) Wenn Sie Organisation auswählen, werden ein Verwaltungsprojekt und eine benutzerdefinierte Organisationsrolle im GCP-Projekt für den Onboardingprozess erstellt. Die automatische Bereitstellung wird für das Onboarding neuer Projekte aktiviert.

  6. Klicken Sie auf Weiter: Pläne auswählen.

  7. Legen Sie die Umschaltfläche für die Pläne, mit denen Sie eine Verbindung herstellen möchten, auf Ein fest. Standardmäßig werden alle erforderlichen Voraussetzungen und Komponenten bereitgestellt. (Optional) Informieren Sie sich, wie Sie die einzelnen Pläne konfigurieren.

    1. (Nur Container) Stellen Sie sicher, dass die Netzwerkanforderungen für den Defender für Container-Plan erfüllt sind.
  8. Klicken Sie auf Weiter: Zugriff konfigurieren.

  9. Wählen Sie Kopieren aus.

    Der Screenshot zeigt die Position der Schaltfläche „Kopieren“.

    Hinweis

    Zum Auffinden von GCP-Ressourcen und für den Authentifizierungsprozess müssen die folgenden APIs aktiviert sein: iam.googleapis.com, sts.googleapis.com, cloudresourcemanager.googleapis.com, iamcredentials.googleapis.com, compute.googleapis.com. Wenn diese APIs nicht aktiviert sind, werden sie während des Onboardingprozesses durch Ausführen des GCloud-Skripts aktiviert.

  10. Wählen Sie GCP Cloud Shell > aus.

  11. GCP Cloud Shell wird geöffnet.

  12. Fügen Sie das Skript in das Cloud Shell-Terminal ein, und führen Sie es aus.

  13. Stellen Sie sicher, dass die folgenden Ressourcen erstellt wurden:

    CSPM Defender für Container
    Leserrolle für das CSPM-Dienstkonto
    Identitätsverbund für Microsoft Defender für Cloud
    CSPM-Identitätspool
    Dienstkonto für Microsoft Defender für Server (wenn der Serverplan aktiviert ist)
    Dienstkonto für Azure-Arc for servers onboarding (Azure Arc für Server-Onboarding) (wenn die automatische Azure Arc für Server-Bereitstellung aktiviert ist)
    Rolle des Dienstkontos von Microsoft Defender-Containern
    Rolle des Kontos des Microsoft Defender-Datensammlerdiensts
    Microsoft Defender für Cloud-Identitätspool

Nach dem Erstellen eines Connectors wird eine Überprüfung in Ihrer GCP-Umgebung gestartet. Neue Empfehlungen werden in Defender für Cloud nach bis zu sechs Stunden angezeigt. Wenn Sie die automatische Bereitstellung aktiviert haben, werden Azure Arc und alle aktivierten Erweiterungen automatisch für jede neue erkannte Ressource installiert.

(Optional) Konfigurieren ausgewählter Pläne

Standardmäßig ist für alle Pläne On festgelegt. Sie können Pläne deaktivieren, die Sie nicht benötigen.

Screenshot, der zeigt, dass alle Pläne auf „Ein“ umgeschaltet sind.

Konfigurieren des Serverplans

Verbinden Sie Ihre GCP-VM-Instanzen mit Azure Arc, um die vollständige Sichtbarkeit in die Sicherheitsinhalte von Microsoft Defender für Server zu erhalten.

Microsoft Defender für Server stattet Ihre GCP-VM-Instanzen mit Bedrohungserkennung und erweiterten Schutzmaßnahmen aus. Stellen Sie sicher, dass Sie die folgenden Anforderungen konfiguriert haben, um vollständigen Einblick in die Sicherheitsinhalte von Microsoft Defender für Server zu erhalten:

  • Microsoft Defender für Server muss für das Abonnement aktiviert sein. Informationen zum Aktivieren von Plänen finden Sie im Artikel Aktivieren von erweiterten Sicherheitsfeatures.

  • Azure Arc für Server muss auf Ihren VM-Instanzen installiert sein.

    • (Empfohlen) Automatische Berechtigung: Die automatische Bereitstellung ist im Onboardingprozess standardmäßig aktiviert und erfordert Besitzerberechtigungen für das Abonnement. Bei der automatischen Arc-Bereitstellung wird auf GCP-Seite der Betriebssystemkonfigurations-Agent verwendet. Informieren Sie sich genauer über die Verfügbarkeit des Betriebssystemkonfigurations-Agents auf GCP-Computern.

    Hinweis

    Der Prozess der automatischen Arc-Bereitstellung nutzt den VM-Manager auf Ihrer Google Cloud Platform, um über den Betriebssystemkonfigurations-Agent Richtlinien auf Ihren VMs zu erzwingen. Bei einem virtuellen Computer mit einem Active OS-Agent fallen entsprechend GCP Kosten an. In der technischen Dokumentation von GCP erfahren Sie, wie sich dies auf Ihr Konto auswirken kann.

    Microsoft Defender für Server installiert den Betriebssystemkonfigurations-Agenten nicht auf einem virtuellen Computer, auf dem er nicht installiert ist. Microsoft Defender für Server ermöglicht jedoch die Kommunikation zwischen dem Betriebssystemkonfigurations-Agenten und dem Betriebssystemkonfigurations-Dienst, wenn der Agent bereits installiert ist, mit dem Dienst aber nicht kommuniziert.

    Dies kann den Betriebssystemkonfigurations-Agenten von inactive in active ändern und führt zu zusätzlichen Kosten.

    • Manuelle Installation: Sie können Ihre VM-Instanzen manuell mit Azure Arc für Server verbinden. Instanzen in Projekten, für die der Defender für Server-Plan aktiviert ist und die nicht mit Arc verbunden sind, werden mit der Empfehlung „GCP VM instances should be connected to Azure Arc“ (GCP-VM-Instanzen sollten mit Azure Arc verbunden werden) angezeigt. Verwenden Sie die in dieser Empfehlung bereitgestellte Option „Beheben“, um Azure Arc auf den ausgewählten Computern zu installieren.
  • Stellen Sie sicher, dass die Netzwerkanforderungen für Azure Arc erfüllt sind.

  • Zusätzliche Erweiterungen sollten auf den mit Arc verbundenen Computern aktiviert werden.

    • Microsoft Defender für den Endpunkt

    • VA-Lösung (TVM/Qualys)

    • Log Analytics-Agent (LA) auf Arc-Computern oder Azure Monitor-Agent (AMA). Stellen Sie sicher, dass im ausgewählten Arbeitsbereich die Sicherheitslösung installiert ist.

      Der LA-Agent und AMA sind derzeit auf Abonnementebene konfiguriert, sodass alle Konten und Projekte mit mehreren Clouds (aus AWS und GCP) unter demselben Abonnement die Abonnementeinstellungen im Hinblick auf den LA-Agent und AMA erben.

      Weitere Informationen zur Überwachung von Komponenten für Defender for Cloud.

    Hinweis

    Defender für Server weist Ihren GCP-Ressourcen Tags zu, um den automatischen Bereitstellungsprozess zu verwalten. Diese Tags müssen Ihren Ressourcen ordnungsgemäß zugewiesen sein, sodass Defender für Cloud Ihre Ressourcen verwalten kann: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId, ProjectNumber

Konfigurieren des Serverplans:

  1. Führen Sie die Schritte zum Verbinden Ihres GCP-Projekts aus.

  2. Klicken Sie auf dem Bildschirm „Pläne auswählen“ auf Konfiguration anzeigen.

    Screenshot, der zeigt, wo Sie klicken müssen, um den Plan „Server“ zu konfigurieren.

  3. Legen Sie die Umschalter auf dem Bildschirm für die automatische Bereitstellung je nach Bedarf auf „Ein“ oder „Aus“ fest.

    Screenshot mit den Umschaltern für den Plan „Server“.

    Hinweis

    Wenn die Einstellung für Azure Arc auf Aus festgelegt ist, müssen Sie den zuvor erwähnten manuellen Installationsvorgang befolgen.

  4. Wählen Sie Speichern aus.

  5. Fahren Sie mit Schritt 8 der Anweisungen zum Verbinden Ihrer GCP-Projekte fort.

Konfigurieren des Datenbankplans

Verbinden Sie Ihre GCP-VM-Instanzen mit Azure Arc, um die vollständige Sichtbarkeit in die Sicherheitsinhalte von Microsoft Defender für SQL zu erhalten.

Microsoft Defender für SQL stattet Ihre GCP-VM-Instanzen mit Bedrohungserkennung und Sicherheitsrisikobewertung aus. Stellen Sie sicher, dass die folgenden Anforderungen konfiguriert sind, um vollständigen Einblick in die Sicherheitsinhalte von Microsoft Defender für SQL zu erhalten:

  • Der Plan „Microsoft SQL Server-Instanzen auf Computern“ ist für Ihr Abonnement aktiviert. Informationen zum Aktivieren von Plänen finden Sie im Artikel Aktivieren erweiterter Sicherheitsfeatures.

  • Azure Arc für Server muss auf Ihren VM-Instanzen installiert sein.

    • (Empfohlen) Automatische Berechtigung: Die automatische Bereitstellung ist im Onboardingprozess standardmäßig aktiviert und erfordert Besitzerberechtigungen für das Abonnement. Bei der automatischen Arc-Bereitstellung wird auf GCP-Seite der Betriebssystemkonfigurations-Agent verwendet. Informieren Sie sich genauer über die Verfügbarkeit des Betriebssystemkonfigurations-Agents auf GCP-Computern.

    Hinweis

    Der Prozess der automatischen Arc-Bereitstellung nutzt den VM-Manager auf Ihrer Google Cloud Platform, um über den Betriebssystemkonfigurations-Agent Richtlinien auf Ihren VMs zu erzwingen. Bei einem virtuellen Computer mit einem Active OS-Agent fallen entsprechend GCP Kosten an. In der technischen Dokumentation von GCP erfahren Sie, wie sich dies auf Ihr Konto auswirken kann.

    Microsoft Defender für Server installiert den Betriebssystemkonfigurations-Agenten nicht auf einem virtuellen Computer, auf dem er nicht installiert ist. Microsoft Defender für Server ermöglicht jedoch die Kommunikation zwischen dem Betriebssystemkonfigurations-Agenten und dem Betriebssystemkonfigurations-Dienst, wenn der Agent bereits installiert ist, mit dem Dienst aber nicht kommuniziert.

    Dies kann den Betriebssystemkonfigurations-Agenten von inactive in active ändern und führt zu zusätzlichen Kosten.

  • Zusätzliche Erweiterungen sollten auf den mit Arc verbundenen Computern aktiviert werden.

    • SQL Server-Instanzen auf Computern. Stellen Sie sicher, dass der Plan für Ihr Abonnement aktiviert ist.

    • Log Analytics-Agent (LA) auf Arc-Computern. Stellen Sie sicher, dass im ausgewählten Arbeitsbereich die Sicherheitslösung installiert ist.

      Der LA-Agent und der Plan „SQL Server-Instanzen auf Computern“ sind derzeit auf Abonnementebene konfiguriert, sodass alle Multi-Cloud-Konten und -Projekte (aus AWS und GCP) unter demselben Abonnement die Abonnementeinstellungen erben, wodurch zusätzliche Kosten entstehen können.

      Weitere Informationen zur Überwachung von Komponenten für Defender for Cloud.

    Hinweis

    Defender für SQL weist Ihren GCP-Ressourcen Tags zu, um den automatischen Bereitstellungsprozess zu verwalten. Diese Tags müssen Ihren Ressourcen ordnungsgemäß zugewiesen sein, sodass Defender für Cloud Ihre Ressourcen verwalten kann: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId, ProjectNumber

  • Automatische Ermittlung und Registrierung von SQL-Servern. Aktivieren Sie diese Einstellungen, um die automatische Ermittlung und Registrierung von SQL-Servern zu ermöglichen und eine zentrale Bestandsaufnahme und Verwaltung von SQL-Ressourcen bereitzustellen.

So konfigurieren Sie den Datenbankplan:

  1. Führen Sie die Schritte zum Verbinden Ihres GCP-Projekts aus.

  2. Klicken Sie auf dem Bildschirm „Pläne auswählen“ auf Konfigurieren.

    Screenshot, der zeigt, wo Sie klicken müssen, um den Plan „Datenbanken“ zu konfigurieren.

  3. Legen Sie die Umschalter auf dem Bildschirm für die automatische Bereitstellung je nach Bedarf auf „Ein“ oder „Aus“ fest.

    Screenshot mit den Umschaltern für den Plan „Datenbanken“.

    Hinweis

    Wenn die Einstellung für Azure Arc auf Aus festgelegt ist, müssen Sie den zuvor erwähnten manuellen Installationsvorgang befolgen.

  4. Wählen Sie Speichern aus.

  5. Fahren Sie mit Schritt 8 der Anweisungen zum Verbinden Ihrer GCP-Projekte fort.

Konfigurieren des Containerplans

Mit Microsoft Defender für Container können die Bedrohungserkennung und erweiterte Schutzmaßnahmen in Ihren GCP GKE-Standard-Clustern integriert werden. Um den vollständigen Sicherheitswert von Defender für Container zu erhalten und GCP-Cluster vollständig zu schützen, stellen Sie sicher, dass die folgenden Anforderungen konfiguriert sind:

  • Kubernetes-Überwachungsprotokolle für Defender für Cloud: Standardmäßig aktiviert. Diese Konfiguration ist nur auf GCP-Projektebene verfügbar. Dies ermöglicht die Sammlung der Überwachungsprotokolldaten ohne Agent über die GCP-Cloudprotokollierung für das Microsoft Defender für Cloud-Back-End zur weiteren Analyse.
  • Azure Arc-fähige Kubernetes-Plattform, die Defender-Erweiterung und die Azure Policy-Erweiterung: Standardmäßig aktiviert. Sie können die Azure Arc-fähigen Kubernetes-Funktionen und die Erweiterungen auf drei verschiedene Arten in Ihren GKE-Clustern installieren:
    • (Empfohlen) Aktivieren Sie wie in den folgenden Anweisungen erläutert die automatische Bereitstellung von Defender für Container auf Projektebene.
    • Defender für Cloud-Empfehlungen für clusterbasierte Installation, die auf der Seite für Microsoft Defender für Cloud-Empfehlungen angezeigt werden. Weitere Informationen finden Sie unter Bereitstellen der Lösung in bestimmten Clustern.
    • Manuelle Installation für Arc-fähige Kubernetes-Funktionen und -Erweiterungen.

Hinweis

Wenn Sie alle verfügbaren Konfigurationsoptionen deaktivieren, werden keine Agents oder Komponenten in Ihren Clustern bereitgestellt. Erfahren Sie mehr über die Verfügbarkeit von Features.

Konfigurieren des Containerplans:

  1. Führen Sie die Schritte zum Verbinden Ihres GCP-Projekts aus.

  2. Klicken Sie auf dem Bildschirm „Pläne auswählen“ auf Konfigurieren.

    Screenshot, der zeigt, wo Sie klicken müssen, um den Plan „Container“ zu konfigurieren.

  3. Schalten Sie auf dem Bildschirm „Automatische Bereitstellung“ den Schalter auf Ein.

    Screenshot mit den Umschaltern für den Plan „Container“.

  4. Wählen Sie Speichern aus.

  5. Fahren Sie mit Schritt 8 der Anweisungen zum Verbinden Ihrer GCP-Projekte fort.

Entfernen klassischer Connectors

Wenn Sie über Connectors verfügen, die über die Benutzeroberfläche für klassische Cloudconnectors erstellt wurden, entfernen Sie sie zuerst:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Defender für Cloud>Umgebungseinstellungen.

  3. Wählen Sie die Option aus, um zurück zur klassischen Connectorumgebung zu wechseln.

    Zurückwechseln zur klassischen Benutzeroberfläche für Cloudconnectors in Defender für Cloud.

  4. Klicken Sie für jeden Connector auf die Schaltfläche mit den drei Punkten am Ende der Zeile und dann auf Löschen.

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Preise: Erfordert Microsoft Defender für Server-Plan 2
Erforderliche Rollen und Berechtigungen: Besitzer oder Mitwirkender für das entsprechende Azure-Abonnement
Clouds: Kommerzielle Clouds
National (Azure Government, Azure China 21Vianet)

Verbinden Ihres GCP-Projekts

Erstellen Sie einen Connector für jede Organisation, die Sie in Defender für Cloud überwachen möchten.

Wenn Sie Ihre GCP-Projekte mit bestimmten Azure-Abonnements verbinden, berücksichtigen Sie die Google Cloud-Ressourcenhierarchie und die folgenden Richtlinien:

  • Sie können Ihre GCP-Projekte auf Organisationsebene mit Defender für Cloud verbinden.
  • Sie können mehrere Organisationen mit einem einzelnen Azure-Abonnement verbinden.
  • Sie können mehrere Organisationen mit mehreren Azure-Abonnements verbinden.
  • Wenn Sie eine Organisation verbinden, werden alle in dieser Organisation enthaltenen Projekte zu Defender für Cloud hinzugefügt.

Führen Sie die folgenden Schritte aus, um Ihren GCP-Cloudconnector zu erstellen:

Schritt 1: Einrichten von GCP Security Command Center mit Security Health Analytics

Für alle GCP-Projekte in Ihrer Organisation müssen Sie außerdem folgende Schritte ausführen:

  1. Richten Sie GCP Security Command Center mithilfe dieser Anweisungen aus der GCP-Dokumentation ein.
  2. Aktivieren Sie Security Health Analytics mithilfe dieser Anweisungen aus der GCP-Dokumentation.
  3. Vergewissern Sie sich, dass Daten an Security Command Center übertragen werden.

Die Anweisungen zum Verbinden Ihrer GCP-Umgebung für die Sicherheitskonfiguration entsprechen den Empfehlungen von Google zur Sicherheitskonfiguration. Die Integration nutzt das Google Security Command Center sowie weitere Ressourcen, die sich auf Ihre Abrechnung auswirken können.

Wenn Sie Security Health Analytics erstmalig aktivieren, kann es mehrere Stunden dauern, bis die Daten verfügbar sind.

Schritt 2: Aktivieren der GCP Security Command Center-API

  1. Wählen Sie in der Cloud Console-API-Bibliothek von Google die Projekte in der Organisation aus, die Sie mit Microsoft Defender für Cloud verbinden möchten.
  2. Suchen Sie in der API-Bibliothek nach Security Command Center API, und wählen Sie diesen Eintrag aus.
  3. Wählen Sie auf der Seite der API ENABLE (Aktivieren) aus.

Erfahren Sie mehr über die Security Command Center-API.

Schritt 3: Erstellen eines dedizierten Dienstkontos für die Integration der Sicherheitskonfiguration

  1. Wählen Sie in der GCP-Konsole ein Projekt aus der Organisation aus, in der Sie das erforderliche Dienstkonto erstellen.

    Hinweis

    Wenn dieses Dienstkonto auf der Organisationsebene hinzugefügt wird, wird es für den Zugriff auf die Daten verwendet, die von Security Command Center aus allen anderen aktivierten Projekten in der Organisation gesammelt werden.

  2. Wählen Sie im Abschnitt IAM & admin (IAM und Verwaltung) des Navigationsmenüs die Option Service accounts (Dienstkonten) aus.

  3. Wählen Sie CREATE SERVICE ACCOUNT (Dienstkonto erstellen) aus.

  4. Geben Sie einen Kontonamen ein, und wählen Sie Create (Erstellen) aus.

  5. Geben Sie die Rolle als Defender für Cloud Admin Viewer an,und wählen Sie Continue (Weiter) aus.

  6. Der Abschnitt Grant users access to this service account (Benutzern Zugriff auf dieses Dienstkonto gewähren) ist optional. Wählen Sie Fertigaus.

  7. Kopieren Sie den Wert E-Mail des erstellten Dienstkontos, und speichern Sie ihn für die spätere Verwendung.

  8. Wählen Sie im Abschnitt IAM & admin (IAM und Verwaltung) des Navigationsmenüs IAM aus.

    1. Wechseln Sie zur Organisationsebene.
    2. Wählen Sie ADD (Hinzufügen) aus.
    3. Fügen Sie im Feld New members (Neue Mitglieder) den Wert von E-Mail ein, den Sie zuvor kopiert haben.
    4. Geben Sie die Rolle als Defender für Cloud Admin Viewer an,und wählen Sie Save (Speichern) aus. Festlegen der relevanten GCP-Berechtigungen

Schritt 4: Erstellen eines privaten Schlüssels für das dedizierte Dienstkonto

  1. Wechseln Sie zur Projektebene.
  2. Wählen Sie im Abschnitt IAM & admin (IAM und Verwaltung) des Navigationsmenüs die Option Service accounts (Dienstkonten) aus.
  3. Öffnen Sie das dedizierte Dienstkonto, und wählen Sie „Edit“ (Bearbeiten) aus.
  4. Wählen Sie im Abschnitt Keys (Schlüssel) die Option ADD KEY (Schlüssel hinzufügen) und dann Create new key (Neuen Schlüssel erstellen) aus.
  5. Wählen Sie auf dem Bildschirm „Create private key“ (Privaten Schlüssel erstellen) die Option JSON und dann CREATE (Erstellen) aus.
  6. Speichern Sie diese JSON-Datei für die spätere Verwendung.

Schritt 5. Herstellen einer Verbindung zwischen GCP und Defender für Cloud

  1. Öffnen Sie im Defender für Cloud-Menü die Option Umgebungseinstellungen, und wählen Sie die Option aus, um zurück zur klassischen Connectorumgebung zu wechseln.

    Zurückwechseln zur klassischen Benutzeroberfläche für Cloudconnectors in Defender für Cloud.

  2. Klicken Sie auf „Add GCP project“ (GCP-Projekt hinzufügen).

  3. Auf der Seite für das Onboarding:

    1. Überprüfen Sie das ausgewählte Abonnement.
    2. Geben Sie im Feld Display name (Anzeigename) einen Anzeigenamen für den Connector ein.
    3. Geben Sie im Feld Organization ID (Organisations-ID) die ID Ihrer Organisation ein. Wenn sie Ihnen nicht bekannt ist, finden Sie weitere Informationen unter Creating and managing organizations (Erstellen und Verwalten von Organisationen).
    4. Navigieren Sie im Dateifeld Private Key (Privater Schlüssel) zu der JSON-Datei, die Sie in Schritt 4: Erstellen eines privaten Schlüssels für das dedizierte Dienstkonto heruntergeladen haben.
  4. Wählen Sie Weiter aus.

Schritt 6. Bestätigung

Wenn der Connector erstellt und GCP Security Command Center ordnungsgemäß konfiguriert wurde:

  • Der GCP-CIS-Standard wird auf dem Dashboard zur Einhaltung gesetzlicher Bestimmungen von Defender für Cloud angezeigt.
  • Sicherheitsempfehlungen für Ihre GCP-Ressourcen werden fünf bis zehn Minuten nach Abschluss des Onboardings im Defender für Cloud-Portal und auf dem Dashboard für die Einhaltung gesetzlicher Bestimmungen angezeigt: GCP resources and recommendations in Defender for Cloud's recommendations page

Überwachen Ihrer GCP-Ressourcen

Wie oben zu sehen ist, werden auf der Seite mit Sicherheitsempfehlungen in Microsoft Defender für Cloud Ihre GCP-Ressourcen in Verbindung mit Ihren Azure- und AWS-Ressourcen für eine echte Multi-Cloud-Ansicht angezeigt.

Zum Anzeigen aller aktiven Empfehlungen für Ihre Ressourcen nach Ressourcentyp verwenden Sie die Ressourcenbestandsseite von Defender für Cloud, und filtern Sie nach dem gewünschten GCP-Ressourcentyp:

Ressourcentypfilter der Seite für den Ressourcenbestand mit den GCP-Optionen

Häufig gestellte Fragen: Verbinden von GCP-Projekten mit Microsoft Defender für Cloud

Gibt es eine API, über die ich meine GCP-Ressourcen mit Defender für Cloud verbinden kann?

Ja. Informationen zum Erstellen, Bearbeiten oder Löschen von Defender für Cloud-Cloudconnectors mit einer REST-API finden Sie in den Details zur Connectors-API.

Nächste Schritte

Das Herstellen einer Verbindung mit Ihrem GCP-Projekt ist Teil der in Microsoft Defender für Cloud verfügbaren Multi-Cloud-Funktion. Zugehörige Informationen finden Sie auf den folgenden Seiten: