Wie Defender for Cloud Apps Ihre GCP-Umgebung (Google Cloud Platform) schützt
Google Cloud Platform ist ein IaaS-Anbieter, mit dem Ihre organization ihre gesamten Workloads in der Cloud hosten und verwalten können. Neben den Vorteilen der Nutzung der Infrastruktur in der Cloud können die wichtigsten Ressourcen Ihrer organization Bedrohungen ausgesetzt sein. Verfügbar gemachte Ressourcen umfassen Speicherinstanzen mit potenziell vertraulichen Informationen, Computeressourcen, die einige Ihrer wichtigsten Anwendungen betreiben, Ports und virtuelle private Netzwerke, die den Zugriff auf Ihre organization ermöglichen.
Wenn Sie GCP mit Defender for Cloud Apps verbinden, können Sie Ihre Ressourcen schützen und potenzielle Bedrohungen erkennen, indem Sie Verwaltungs- und Anmeldeaktivitäten überwachen, über mögliche Brute-Force-Angriffe, böswillige Verwendung eines privilegierten Benutzerkontos und ungewöhnliche Löschungen von VMs benachrichtigen.
- Missbrauch von Cloudressourcen
- Kompromittierte Konten und Insider-Bedrohungen
- Datenlecks
- Fehlkonfiguration von Ressourcen und unzureichende Zugriffssteuerung
- Erkennen von Cloudbedrohungen, kompromittierten Konten und böswilligen Insidern
- Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:
Typ | Name |
---|---|
Integrierte Richtlinie zur Anomalieerkennung |
Aktivität von anonymen IP-Adressen Aktivität aus seltenen Ländern Aktivität von verdächtigen IP-Adressen Unmöglicher Ortswechsel Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra ID als IdP) Mehrere fehlgeschlagene Anmeldeversuche Ungewöhnliche administrative Aktivitäten Mehrere VM-Löschaktivitäten Ungewöhnliche Aktivitäten zur Erstellung mehrerer VMs (Vorschau) |
Aktivitätsrichtlinienvorlage | Änderungen an Compute-Engine-Ressourcen Änderungen an der StackDriver-Konfiguration Änderungen an Speicherressourcen Änderungen am virtuellen privaten Netzwerk Anmeldung von einer riskanten IP-Adresse |
Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.
Zusätzlich zur Überwachung auf potenzielle Bedrohungen können Sie die folgenden GCP-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:
Typ | Aktion |
---|---|
Benutzergovernance | – Der Benutzer muss das Kennwort auf Google zurücksetzen (erfordert eine verbundene verknüpfte Google Workspace-instance) - Benutzer anhalten (erfordert verknüpfte Google Workspace-instance) – Benutzer bei Warnung benachrichtigen (über Microsoft Entra ID) – Benutzer muss sich erneut anmelden (über Microsoft Entra ID) – Benutzer anhalten (über Microsoft Entra ID) |
Weitere Informationen zum Beheben von Bedrohungen durch Apps finden Sie unter Steuern verbundener Apps.
Überprüfen Sie unsere bewährten Methoden zum Schützen und Zusammenarbeiten mit externen Benutzern sowie zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.
Dieser Abschnitt enthält Anweisungen zum Herstellen einer Verbindung Microsoft Defender for Cloud Apps mit Ihrem vorhandenen Google Cloud Platform-Konto (GCP) mithilfe der Connector-APIs. Diese Verbindung bietet Ihnen Einblick in die GCP-Verwendung und Kontrolle über die Verwendung von GCP. Informationen dazu, wie Defender for Cloud Apps GCP schützt, finden Sie unter Schützen von GCP.
Es wird empfohlen, ein dediziertes Projekt für die Integration zu verwenden und den Zugriff auf das Projekt einzuschränken, um eine stabile Integration aufrechtzuerhalten und Löschungen/Änderungen des Setupprozesses zu verhindern.
Hinweis
Die Anweisungen zum Verbinden Ihrer GCP-Umgebung für die Überwachung folgen den Empfehlungen von Google für die Verwendung aggregierter Protokolle. Die Integration nutzt Google StackDriver und nutzt zusätzliche Ressourcen, die sich auf Ihre Abrechnung auswirken können. Die verbrauchten Ressourcen sind:
- Aggregierte Exportsenke – Organisationsebene
- Pub/Sub-Thema – GCP-Projektebene
- Pub/Sub-Abonnement – GCP-Projektebene
Die Defender for Cloud Apps-Überwachungsverbindung importiert nur Admin Aktivitätsüberwachungsprotokolle. Datenzugriffs- und Systemereignisüberwachungsprotokolle werden nicht importiert. Weitere Informationen zu GCP-Protokollen finden Sie unter Cloudüberwachungsprotokolle.
Der integrierende GCP-Benutzer muss über die folgenden Berechtigungen verfügen:
- IAM- und Admin Bearbeiten – Organisationsebene
- Projekterstellung und -bearbeitung
Sie können die GCP-Sicherheitsüberwachung mit Ihren Defender for Cloud Apps Verbindungen verbinden, um Einblick in die GCP-App-Verwendung und Kontrolle über die Verwendung von GCP-Apps zu erhalten.
Erstellen Eines dedizierten Projekts in GCP unter Ihrem organization, um Integrationsisolation und -stabilität zu ermöglichen
Melden Sie sich mit Ihrem integrierenden GCP-Benutzerkonto beim GCP-Portal an.
Wählen Sie Projekt erstellen aus, um ein neues Projekt zu starten.
Benennen Sie ihr Projekt auf dem Bildschirm Neues Projekt , und wählen Sie Erstellen aus.
Wechseln Sie zum dedizierten Projekt.
Wechseln Sie zur Registerkarte Bibliothek .
Suchen Sie nach CloudProtokollierungs-API, und wählen Sie sie aus, und wählen Sie dann auf der Seite API die Option AKTIVIEREN aus.
Suchen Sie nach Cloud Pub/Sub-API, und wählen Sie sie aus, und wählen Sie dann auf der API-Seite AKTIVIEREN aus.
Hinweis
Stellen Sie sicher, dass Sie nicht Pub/Sub Lite API auswählen.
Wählen Sie unter IAM & Admindie Option Dienstkonten aus.
Wählen Sie DIENSTKONTO ERSTELLEN aus, um ein dediziertes Dienstkonto zu erstellen.
Geben Sie einen Kontonamen ein, und wählen Sie dann Erstellen aus.
Geben Sie die Rolle als Pub/Sub-Admin an, und wählen Sie dann Speichern aus.
Kopieren Sie den Email Wert, den Sie später benötigen.
Wählen Sie unter IAM & Admin die Option IAM aus.
Wechseln Sie zur organization Ebene.
Wählen Sie HINZUFÜGEN aus.
Fügen Sie im Feld Neue Elemente den Email Wert ein, den Sie zuvor kopiert haben.
Geben Sie die Rolle als Protokollkonfigurationswriter an, und wählen Sie dann Speichern aus.
Wechseln Sie zur Projektebene.
Wählen Sie unter IAM & Admindie Option Dienstkonten aus.
Öffnen Sie das dedizierte Dienstkonto, und wählen Sie Bearbeiten aus.
Wählen Sie CREATE KEY (SCHLÜSSEL ERSTELLEN) aus.
Wählen Sie auf dem Bildschirm Privaten Schlüssel erstellendie Option JSON und dann ERSTELLEN aus.
Hinweis
Sie benötigen die JSON-Datei, die später auf Ihr Gerät heruntergeladen wird.
Notieren Sie sich Ihre Organisations-ID. Sie benötigen diese später. Weitere Informationen finden Sie unter Abrufen Ihrer organization-ID.
In diesem Verfahren wird beschrieben, wie Sie die GCP-Verbindungsdetails hinzufügen, um die Google Cloud Platform-Überwachung mit Defender for Cloud Apps zu verbinden.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus.
Führen Sie auf der Seite App-Connectors eine der folgenden Aktionen aus, um die Anmeldeinformationen für den GCP-Connector anzugeben:
Hinweis
Es wird empfohlen, dass Sie Ihre Google Workspace-instance verbinden, um eine einheitliche Benutzerverwaltung und Governance zu erhalten. Dies wird auch dann empfohlen, wenn Sie keine Google Workspace-Produkte verwenden und die GCP-Benutzer über das Google Workspace-Benutzerverwaltungssystem verwaltet werden.
Für einen neuen Connector
Wählen Sie +App verbinden und dann Google Cloud Platform aus.
Geben Sie im nächsten Fenster einen Namen für den Connector ein, und wählen Sie dann Weiter aus.
Gehen Sie auf der Seite Details eingeben wie folgt vor, und wählen Sie dann Absenden aus.
- Geben Sie im Feld Organisations-ID die organization sie sich zuvor notieren.
- Navigieren Sie im Feld Datei mit privatem Schlüssel zu der JSON-Datei, die Sie zuvor heruntergeladen haben.
Für einen vorhandenen Connector
Wählen Sie in der Liste der Connectors in der Zeile, in der der GCP-Connector angezeigt wird, Einstellungen bearbeiten aus.
Gehen Sie auf der Seite Details eingeben wie folgt vor, und wählen Sie dann Absenden aus.
- Geben Sie im Feld Organisations-ID die organization sie sich zuvor notieren.
- Navigieren Sie im Feld Datei mit privatem Schlüssel zu der JSON-Datei, die Sie zuvor heruntergeladen haben.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der status des verbundenen App-Connectors Verbunden ist.
Hinweis
Defender for Cloud Apps erstellen mithilfe des Integrationsdienstkontos im Integrationsprojekt eine aggregierte Exportsenke (organization Ebene), ein Pub/Sub-Thema und ein Pub/Sub-Abonnement.
Die aggregierte Exportsenke wird verwendet, um Protokolle über die GCP-organization hinweg zu aggregieren, und das erstellte Pub/Sub-Thema wird als Ziel verwendet. Defender for Cloud Apps dieses Thema über das Pub/Sub-Abonnement abonniert, das erstellt wurde, um die Administratoraktivitätsprotokolle im GCP-organization abzurufen.
Wenn Sie Probleme beim Herstellen einer Verbindung mit der App haben, finden Sie weitere Informationen unter Problembehandlung für App-Connectors.
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.