Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Google Cloud Platform ist ein IaaS-Anbieter, mit dem Ihre organization ihre gesamten Workloads in der Cloud hosten und verwalten können. Neben den Vorteilen der Nutzung der Infrastruktur in der Cloud können die wichtigsten Ressourcen Ihrer organization Bedrohungen ausgesetzt sein. Verfügbar gemachte Ressourcen umfassen Speicherinstanzen mit potenziell vertraulichen Informationen, Computeressourcen, die einige Ihrer wichtigsten Anwendungen betreiben, Ports und virtuelle private Netzwerke, die den Zugriff auf Ihre organization ermöglichen.
Wenn Sie GCP mit Defender for Cloud Apps verbinden, können Sie Ihre Ressourcen schützen und potenzielle Bedrohungen erkennen, indem Sie Verwaltungs- und Anmeldeaktivitäten überwachen, über mögliche Brute-Force-Angriffe, böswillige Verwendung eines privilegierten Benutzerkontos und ungewöhnliche Löschungen virtueller Computer (VMs) benachrichtigen.
Hauptbedrohungen
- Missbrauch von Cloudressourcen
- Kompromittierte Konten und Insider-Bedrohungen
- Datenlecks
- Fehlkonfiguration von Ressourcen und unzureichende Zugriffssteuerung
Wie Defender for Cloud Apps ihre Umgebung schützt
- Erkennen von Cloudbedrohungen, kompromittierten Konten und böswilligen Insidern
- Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
Steuern von GCP mit integrierten Richtlinien und Richtlinienvorlagen
Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:
| Typ | Name |
|---|---|
| Integrierte Richtlinie zur Anomalieerkennung |
Aktivität von anonymen IP-Adressen Aktivität aus seltenen Ländern Aktivität von verdächtigen IP-Adressen Unmöglicher Ortswechsel Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra ID als IdP) Mehrere fehlgeschlagene Anmeldeversuche Ungewöhnliche administrative Aktivitäten Mehrere VM-Löschaktivitäten Ungewöhnliche Aktivitäten zur Erstellung mehrerer VMs (Vorschau) |
| Aktivitätsrichtlinienvorlage | Änderungen an Compute-Engine-Ressourcen Änderungen an der StackDriver-Konfiguration Änderungen an Speicherressourcen Änderungen am virtuellen privaten Netzwerk Anmeldung von einer riskanten IP-Adresse |
Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.
Automatisieren von Governancekontrollen
Zusätzlich zur Überwachung auf potenzielle Bedrohungen können Sie die folgenden GCP-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:
| Typ | Aktion |
|---|---|
| Benutzergovernance | – Der Benutzer muss das Kennwort auf Google zurücksetzen (erfordert eine verbundene verknüpfte Google Workspace-instance) - Benutzer anhalten (erfordert verknüpfte Google Workspace-instance) – Benutzer bei Warnung benachrichtigen (über Microsoft Entra ID) – Benutzer muss sich erneut anmelden (über Microsoft Entra ID) – Benutzer anhalten (über Microsoft Entra ID) |
Weitere Informationen zum Beheben von Bedrohungen durch Apps finden Sie unter Steuern verbundener Apps.
Schützen von GCP in Echtzeit
Überprüfen Sie unsere bewährten Methoden zum Schützen und Zusammenarbeiten mit externen Benutzern sowie zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.
Verbinden von Google Cloud Platform mit Microsoft Defender for Cloud Apps
Dieser Abschnitt enthält Anweisungen zum Herstellen einer Verbindung Microsoft Defender for Cloud Apps mit Ihrem vorhandenen Google Cloud Platform-Konto (GCP) mithilfe der Connector-APIs. Diese Verbindung bietet Ihnen Einblick in die GCP-Verwendung und Kontrolle über die Verwendung von GCP. Informationen dazu, wie Defender for Cloud Apps GCP schützt, finden Sie unter Schützen von GCP.
Es wird empfohlen, ein dediziertes Projekt für die Integration zu verwenden und den Zugriff auf das Projekt einzuschränken, um eine stabile Integration aufrechtzuerhalten und Löschungen/Änderungen des Setupprozesses zu verhindern.
Hinweis
Die Anweisungen zum Verbinden Ihrer GCP-Umgebung für die Überwachung folgen den Empfehlungen von Google für die Verwendung aggregierter Protokolle. Die Integration nutzt Google StackDriver und nutzt zusätzliche Ressourcen, die sich auf Ihre Abrechnung auswirken können. Die verbrauchten Ressourcen sind:
- Aggregierte Exportsenke – Organisationsebene
- Pub/Sub-Thema – GCP-Projektebene
- Pub/Sub-Abonnement – GCP-Projektebene
Die Defender for Cloud Apps-Überwachungsverbindung importiert nur Admin Aktivitätsüberwachungsprotokolle. Datenzugriffs- und Systemereignisüberwachungsprotokolle werden nicht importiert. Weitere Informationen zu GCP-Protokollen finden Sie unter Cloudüberwachungsprotokolle.
Voraussetzungen
Der integrierende GCP-Benutzer muss über die folgenden Berechtigungen verfügen:
- IAM- und Admin Bearbeiten – Organisationsebene
- Projekterstellung und -bearbeitung
Sie können die GCP-Sicherheitsüberwachung mit Ihren Defender for Cloud Apps Verbindungen verbinden, um Einblick in die GCP-App-Verwendung und Kontrolle über die Verwendung von GCP-Apps zu erhalten.
Konfigurieren von Google Cloud Platform
Erstellen Sie ein dediziertes Projekt in GCP unter Ihrem organization, um Integrationsisolation und -stabilität zu ermöglichen.
Aktivieren Sie die Cloudprotokollierungs-API und die Cloud Pub/Sub-API für das dedizierte Projekt.
Hinweis
Stellen Sie sicher, dass Sie nicht Pub/Sub Lite API auswählen.
Erstellen eines dedizierten Dienstkontos mit erforderlichen Rollen
- Erstellen Sie ein dediziertes Dienstkonto.
- Kopieren Sie den Email Wert, den Sie später benötigen.
- Weisen Sie dem Dienstkonto die Rolle Pub/Sub Admin zu.
- Weisen Sie dem Dienstkonto auf organization Ebene die Rolle Protokollkonfigurationsschreiber zu.
Erstellen eines privaten Schlüssels für das dedizierte Dienstkonto
Wechseln Sie zur Projektebene.
Wählen Sie Dienstkonten aus.
Generieren Sie einen privaten JSON-Schlüssel.
Hinweis
Sie benötigen die JSON-Datei, die später auf Ihr Gerät heruntergeladen wird.
Abrufen Ihrer Organisations-ID
Notieren Sie sich Ihre Organisations-ID. Sie benötigen diese später. Weitere Informationen finden Sie unter Abrufen Ihrer organization-ID.
Verbinden der Google Cloud Platform-Überwachung mit Defender for Cloud Apps
In diesem Verfahren wird beschrieben, wie Sie die GCP-Verbindungsdetails hinzufügen, um die Google Cloud Platform-Überwachung mit Defender for Cloud Apps zu verbinden.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus.
Führen Sie auf der Seite App-Connectors eine der folgenden Aktionen aus, um die Anmeldeinformationen für den GCP-Connector anzugeben:
Hinweis
Es wird empfohlen, dass Sie Ihre Google Workspace-instance verbinden, um eine einheitliche Benutzerverwaltung und Governance zu erhalten. Dies wird auch dann empfohlen, wenn Sie keine Google Workspace-Produkte verwenden und die GCP-Benutzer über das Google Workspace-Benutzerverwaltungssystem verwaltet werden.
Für einen neuen Connector
Wählen Sie +App verbinden und dann Google Cloud Platform aus.
Geben Sie im nächsten Fenster einen Namen für den Connector ein, und wählen Sie dann Weiter aus.
Gehen Sie auf der Seite Details eingeben wie folgt vor, und wählen Sie dann Absenden aus.
- Geben Sie im Feld Organisations-ID die organization sie sich zuvor notieren.
- Navigieren Sie im Feld Datei mit privatem Schlüssel zu der JSON-Datei, die Sie zuvor heruntergeladen haben.
Für einen vorhandenen Connector
Wählen Sie in der Liste der Connectors in der Zeile, in der der GCP-Connector angezeigt wird, Einstellungen bearbeiten aus.
Gehen Sie auf der Seite Details eingeben wie folgt vor, und wählen Sie dann Absenden aus.
- Geben Sie im Feld Organisations-ID die organization sie sich zuvor notieren.
- Navigieren Sie im Feld Datei mit privatem Schlüssel zu der JSON-Datei, die Sie zuvor heruntergeladen haben.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der status des verbundenen App-Connectors Verbunden ist.
Hinweis
Defender for Cloud Apps erstellen mithilfe des Integrationsdienstkontos im Integrationsprojekt eine aggregierte Exportsenke (organization Ebene), ein Pub/Sub-Thema und ein Pub/Sub-Abonnement.
Die aggregierte Exportsenke wird verwendet, um Protokolle über die GCP-organization hinweg zu aggregieren, und das erstellte Pub/Sub-Thema wird als Ziel verwendet. Defender for Cloud Apps dieses Thema über das Pub/Sub-Abonnement abonniert, das erstellt wurde, um die Administratoraktivitätsprotokolle im GCP-organization abzurufen.
Nächste Schritte
- Steuerung von Cloud-Apps mit Richtlinien
- Wenn Sie Probleme beim Herstellen einer Verbindung mit der App haben, finden Sie weitere Informationen unter Problembehandlung für App-Connectors.