Auf Englisch lesen

Freigeben über


Wie Defender for Cloud Apps Ihre GCP-Umgebung (Google Cloud Platform) schützt

Google Cloud Platform ist ein IaaS-Anbieter, mit dem Ihre organization ihre gesamten Workloads in der Cloud hosten und verwalten können. Neben den Vorteilen der Nutzung der Infrastruktur in der Cloud können die wichtigsten Ressourcen Ihrer organization Bedrohungen ausgesetzt sein. Verfügbar gemachte Ressourcen umfassen Speicherinstanzen mit potenziell vertraulichen Informationen, Computeressourcen, die einige Ihrer wichtigsten Anwendungen betreiben, Ports und virtuelle private Netzwerke, die den Zugriff auf Ihre organization ermöglichen.

Wenn Sie GCP mit Defender for Cloud Apps verbinden, können Sie Ihre Ressourcen schützen und potenzielle Bedrohungen erkennen, indem Sie Verwaltungs- und Anmeldeaktivitäten überwachen, über mögliche Brute-Force-Angriffe, böswillige Verwendung eines privilegierten Benutzerkontos und ungewöhnliche Löschungen von VMs benachrichtigen.

Hauptbedrohungen

  • Missbrauch von Cloudressourcen
  • Kompromittierte Konten und Insider-Bedrohungen
  • Datenlecks
  • Fehlkonfiguration von Ressourcen und unzureichende Zugriffssteuerung

Wie Defender for Cloud Apps ihre Umgebung schützt

Steuern von GCP mit integrierten Richtlinien und Richtlinienvorlagen

Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:

Typ Name
Integrierte Richtlinie zur Anomalieerkennung Aktivität von anonymen IP-Adressen
Aktivität aus seltenen Ländern
Aktivität von verdächtigen IP-Adressen
Unmöglicher Ortswechsel
Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra ID als IdP)
Mehrere fehlgeschlagene Anmeldeversuche
Ungewöhnliche administrative Aktivitäten
Mehrere VM-Löschaktivitäten
Ungewöhnliche Aktivitäten zur Erstellung mehrerer VMs (Vorschau)
Aktivitätsrichtlinienvorlage Änderungen an Compute-Engine-Ressourcen
Änderungen an der StackDriver-Konfiguration
Änderungen an Speicherressourcen
Änderungen am virtuellen privaten Netzwerk
Anmeldung von einer riskanten IP-Adresse

Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.

Automatisieren von Governancekontrollen

Zusätzlich zur Überwachung auf potenzielle Bedrohungen können Sie die folgenden GCP-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:

Typ Aktion
Benutzergovernance – Der Benutzer muss das Kennwort auf Google zurücksetzen (erfordert eine verbundene verknüpfte Google Workspace-instance)
- Benutzer anhalten (erfordert verknüpfte Google Workspace-instance)
– Benutzer bei Warnung benachrichtigen (über Microsoft Entra ID)
– Benutzer muss sich erneut anmelden (über Microsoft Entra ID)
– Benutzer anhalten (über Microsoft Entra ID)

Weitere Informationen zum Beheben von Bedrohungen durch Apps finden Sie unter Steuern verbundener Apps.

Schützen von GCP in Echtzeit

Überprüfen Sie unsere bewährten Methoden zum Schützen und Zusammenarbeiten mit externen Benutzern sowie zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.

Verbinden von Google Cloud Platform mit Microsoft Defender for Cloud Apps

Dieser Abschnitt enthält Anweisungen zum Herstellen einer Verbindung Microsoft Defender for Cloud Apps mit Ihrem vorhandenen Google Cloud Platform-Konto (GCP) mithilfe der Connector-APIs. Diese Verbindung bietet Ihnen Einblick in die GCP-Verwendung und Kontrolle über die Verwendung von GCP. Informationen dazu, wie Defender for Cloud Apps GCP schützt, finden Sie unter Schützen von GCP.

Es wird empfohlen, ein dediziertes Projekt für die Integration zu verwenden und den Zugriff auf das Projekt einzuschränken, um eine stabile Integration aufrechtzuerhalten und Löschungen/Änderungen des Setupprozesses zu verhindern.

Hinweis

Die Anweisungen zum Verbinden Ihrer GCP-Umgebung für die Überwachung folgen den Empfehlungen von Google für die Verwendung aggregierter Protokolle. Die Integration nutzt Google StackDriver und nutzt zusätzliche Ressourcen, die sich auf Ihre Abrechnung auswirken können. Die verbrauchten Ressourcen sind:

Die Defender for Cloud Apps-Überwachungsverbindung importiert nur Admin Aktivitätsüberwachungsprotokolle. Datenzugriffs- und Systemereignisüberwachungsprotokolle werden nicht importiert. Weitere Informationen zu GCP-Protokollen finden Sie unter Cloudüberwachungsprotokolle.

Voraussetzungen

Der integrierende GCP-Benutzer muss über die folgenden Berechtigungen verfügen:

  • IAM- und Admin Bearbeiten – Organisationsebene
  • Projekterstellung und -bearbeitung

Sie können die GCP-Sicherheitsüberwachung mit Ihren Defender for Cloud Apps Verbindungen verbinden, um Einblick in die GCP-App-Verwendung und Kontrolle über die Verwendung von GCP-Apps zu erhalten.

Konfigurieren von Google Cloud Platform

Erstellen eines dedizierten Projekts

Erstellen Eines dedizierten Projekts in GCP unter Ihrem organization, um Integrationsisolation und -stabilität zu ermöglichen

  1. Melden Sie sich mit Ihrem integrierenden GCP-Benutzerkonto beim GCP-Portal an.

  2. Wählen Sie Projekt erstellen aus, um ein neues Projekt zu starten.

  3. Benennen Sie ihr Projekt auf dem Bildschirm Neues Projekt , und wählen Sie Erstellen aus.

    Screenshot: Dialogfeld zum Erstellen eines GCP-Projekts

Aktivieren der erforderlichen APIs

  1. Wechseln Sie zum dedizierten Projekt.

  2. Wechseln Sie zur Registerkarte Bibliothek .

  3. Suchen Sie nach CloudProtokollierungs-API, und wählen Sie sie aus, und wählen Sie dann auf der Seite API die Option AKTIVIEREN aus.

  4. Suchen Sie nach Cloud Pub/Sub-API, und wählen Sie sie aus, und wählen Sie dann auf der API-Seite AKTIVIEREN aus.

    Hinweis

    Stellen Sie sicher, dass Sie nicht Pub/Sub Lite API auswählen.

Erstellen eines dedizierten Dienstkontos für die Integration der Sicherheitsüberwachung

  1. Wählen Sie unter IAM & Admindie Option Dienstkonten aus.

  2. Wählen Sie DIENSTKONTO ERSTELLEN aus, um ein dediziertes Dienstkonto zu erstellen.

  3. Geben Sie einen Kontonamen ein, und wählen Sie dann Erstellen aus.

  4. Geben Sie die Rolle als Pub/Sub-Admin an, und wählen Sie dann Speichern aus.

    Screenshot: Hinzufügen einer IAM-Rolle in GCP

  5. Kopieren Sie den Email Wert, den Sie später benötigen.

    Screenshot: Dialogfeld

  6. Wählen Sie unter IAM & Admin die Option IAM aus.

    1. Wechseln Sie zur organization Ebene.

    2. Wählen Sie HINZUFÜGEN aus.

    3. Fügen Sie im Feld Neue Elemente den Email Wert ein, den Sie zuvor kopiert haben.

    4. Geben Sie die Rolle als Protokollkonfigurationswriter an, und wählen Sie dann Speichern aus.

      Screenshot des Dialogfelds

Erstellen eines privaten Schlüssels für das dedizierte Dienstkonto

  1. Wechseln Sie zur Projektebene.

  2. Wählen Sie unter IAM & Admindie Option Dienstkonten aus.

  3. Öffnen Sie das dedizierte Dienstkonto, und wählen Sie Bearbeiten aus.

  4. Wählen Sie CREATE KEY (SCHLÜSSEL ERSTELLEN) aus.

  5. Wählen Sie auf dem Bildschirm Privaten Schlüssel erstellendie Option JSON und dann ERSTELLEN aus.

    Screenshot des Dialogfelds

    Hinweis

    Sie benötigen die JSON-Datei, die später auf Ihr Gerät heruntergeladen wird.

Abrufen Ihrer Organisations-ID

Notieren Sie sich Ihre Organisations-ID. Sie benötigen diese später. Weitere Informationen finden Sie unter Abrufen Ihrer organization-ID.

Screenshot: Dialogfeld

Verbinden der Google Cloud Platform-Überwachung mit Defender for Cloud Apps

In diesem Verfahren wird beschrieben, wie Sie die GCP-Verbindungsdetails hinzufügen, um die Google Cloud Platform-Überwachung mit Defender for Cloud Apps zu verbinden.

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus.

  2. Führen Sie auf der Seite App-Connectors eine der folgenden Aktionen aus, um die Anmeldeinformationen für den GCP-Connector anzugeben:

    Hinweis

    Es wird empfohlen, dass Sie Ihre Google Workspace-instance verbinden, um eine einheitliche Benutzerverwaltung und Governance zu erhalten. Dies wird auch dann empfohlen, wenn Sie keine Google Workspace-Produkte verwenden und die GCP-Benutzer über das Google Workspace-Benutzerverwaltungssystem verwaltet werden.

    Für einen neuen Connector

    1. Wählen Sie +App verbinden und dann Google Cloud Platform aus.

      Verbinden Sie GCP.

    2. Geben Sie im nächsten Fenster einen Namen für den Connector ein, und wählen Sie dann Weiter aus.

      Name des GCP-Connectors.

    3. Gehen Sie auf der Seite Details eingeben wie folgt vor, und wählen Sie dann Absenden aus.

      1. Geben Sie im Feld Organisations-ID die organization sie sich zuvor notieren.
      2. Navigieren Sie im Feld Datei mit privatem Schlüssel zu der JSON-Datei, die Sie zuvor heruntergeladen haben.

      Verbinden sie die Sicherheitsüberwachung der GCP-App für einen neuen Connector.

    Für einen vorhandenen Connector

    1. Wählen Sie in der Liste der Connectors in der Zeile, in der der GCP-Connector angezeigt wird, Einstellungen bearbeiten aus.

      Screenshot der Seite

    2. Gehen Sie auf der Seite Details eingeben wie folgt vor, und wählen Sie dann Absenden aus.

      1. Geben Sie im Feld Organisations-ID die organization sie sich zuvor notieren.
      2. Navigieren Sie im Feld Datei mit privatem Schlüssel zu der JSON-Datei, die Sie zuvor heruntergeladen haben.

      Verbinden sie die Sicherheitsüberwachung der GCP-App für einen vorhandenen Connector.

  3. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der status des verbundenen App-Connectors Verbunden ist.

    Hinweis

    Defender for Cloud Apps erstellen mithilfe des Integrationsdienstkontos im Integrationsprojekt eine aggregierte Exportsenke (organization Ebene), ein Pub/Sub-Thema und ein Pub/Sub-Abonnement.

    Die aggregierte Exportsenke wird verwendet, um Protokolle über die GCP-organization hinweg zu aggregieren, und das erstellte Pub/Sub-Thema wird als Ziel verwendet. Defender for Cloud Apps dieses Thema über das Pub/Sub-Abonnement abonniert, das erstellt wurde, um die Administratoraktivitätsprotokolle im GCP-organization abzurufen.

Wenn Sie Probleme beim Herstellen einer Verbindung mit der App haben, finden Sie weitere Informationen unter Problembehandlung für App-Connectors.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.