Cómo Defender for Cloud Apps ayuda a proteger su entorno de Google Cloud Platform (GCP)
Google Cloud Platform es un proveedor de IaaS que permite a su organización hospedar y administrar todas sus cargas de trabajo en la nube. Junto con las ventajas del uso de la infraestructura en la nube, los recursos más críticos de su organización pueden exponerse a amenazas. Los recursos expuestos incluyen instancias de almacenamiento con información potencialmente confidencial, recursos de proceso que operan algunas de las aplicaciones, los puertos y las redes privadas virtuales más críticos que permiten el acceso a su organización.
Conectar GCP a Defender for Cloud Apps le ayuda a proteger los recursos y a detectar posibles amenazas mediante la supervisión de actividades administrativas y de inicio de sesión y la notificación sobre posibles ataques por fuerza bruta, el uso malintencionado de una cuenta de usuario con privilegios y la eliminación inusual de máquinas virtuales.
Principales amenazas
- Abuso de recursos en la nube
- Cuentas en peligro y amenazas internas
- Pérdida de datos
- Configuración incorrecta de recursos y control de acceso insuficiente
Cómo Defender for Cloud Apps ayuda a proteger su entorno
- Detección de amenazas en la nube, cuentas en peligro y usuarios internos malintencionados
- Uso de la pista de auditoría de actividades para investigaciones forenses
Control de GCP con directivas integradas y plantillas de directiva
Puede usar las siguientes plantillas de directiva integradas para detectar y notificarle posibles amenazas:
| Tipo | Nombre |
|---|---|
| Directiva de detección de anomalías integrada | Actividad desde direcciones IP anónimas Actividad desde un país poco frecuente Actividad desde direcciones IP sospechosas Viaje imposible Actividad realizada por un usuario finalizado (requiere microsoft Entra ID como IdP) Varios intentos incorrectos de inicio de sesión Actividades administrativas inusuales Varias actividades de eliminación de VM Actividades inusuales de creación de múltiples máquinas virtuales (versión preliminar) |
| Plantilla de directiva de actividad | Cambios en los recursos del motor de proceso Cambios en la configuración de StackDriver Cambios en los recursos de almacenamiento Cambios en la red privada virtual Inicio de sesión desde una dirección IP de riesgo |
Para obtener más información acerca de la creación de directivas, consulte Creación de una directiva.
Automatización de controles de gobernanza
Además de la supervisión de posibles amenazas, puede aplicar y automatizar las siguientes acciones de gobernanza de GCP para corregir las amenazas detectadas:
| Tipo | Acción |
|---|---|
| Regulación de usuario | - Requerir que el usuario restablezca la contraseña en Google (requiere una instancia de Google Workspace vinculada y conectada) - Suspender al usuario (requiere una instancia de Google Workspace vinculada y conectada) - Notificar al usuario una alerta (a través de Microsoft Entra ID) - Requerir que el usuario vuelva a iniciar sesión (a través de Microsoft Entra ID) - Suspender al usuario (a través de Microsoft Entra ID) |
Para obtener más información sobre la corrección de amenazas de aplicaciones, consulte Gobernanza de aplicaciones conectadas.
Protección de GCP en tiempo real
Revise nuestros procedimientos recomendados para proteger y colaborar con usuarios externos y bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo.
Conexión de Google Cloud Platform a Microsoft Defender for Cloud Apps
En esta sección se proporcionan instrucciones para conectar Microsoft Defender for Cloud Apps a la cuenta de Google Cloud Platform (GCP) existente mediante las API del conector. Esta conexión le ofrece visibilidad y control del uso de GCP. Para obtener información sobre cómo Defender for Cloud Apps protege GCP, consulte Protección de GCP.
Se recomienda usar un proyecto dedicado para la integración y restringir el acceso al mismo para mantener una integración estable y evitar que se elimine o se modifique el proceso de instalación.
Nota:
Las instrucciones para conectar el entorno de GCP para la auditoría siguen las recomendaciones de Google para consumir registros agregados. La integración aprovecha el centro de comandos de seguridad de Google StackDriver y consumirá recursos adicionales que podrían afectar a la facturación. Los recursos consumidos son:
- Receptor de exportación agregado: nivel de organización
- Tema de publicación/suscripción: nivel de proyecto de GCP
- Suscripción de publicación/suscripción: nivel de proyecto de GCP
La conexión de auditoría de Defender for Cloud Apps solo importa Administración registros de auditoría de actividad; Los registros de auditoría de eventos del sistema y acceso a datos no se importan. Para más información sobre los registros de GCP, consulte Registros de auditoría en la nube.
Requisitos previos
El usuario de integración de GCP debe tener los permisos siguientes:
- Edición de IAM y administración: nivel de organización
- Creación y edición de proyectos
Puede conectar la auditoría de seguridad de GCP a las conexiones de Defender for Cloud Apps para obtener visibilidad y control sobre el uso de las aplicaciones de GCP.
Configuración de Google Cloud Platform
Creación de un proyecto dedicado
Cree un proyecto dedicado en GCP en su organización para habilitar el aislamiento y la estabilidad de la integración
Inicie sesión en el portal de GCP mediante la integración de la cuenta de usuario de GCP.
Seleccione Nuevo proyecto para iniciar un nuevo proyecto.
En la pantalla Nuevo proyecto, asigne un nombre a su proyecto y seleccione Crear.
Habilite las API necesarias
Cambie al proyecto dedicado.
Vaya a la pestaña Biblioteca.
Busque y seleccione API de registro en la nube y, después, en la página API, seleccione HABILITAR.
Busque y seleccione API Cloud Pub/Sub y, después, en la página API, seleccione HABILITAR.
Nota:
Asegúrese de que no seleccione Pub/Sub Lite API.
Crear una cuenta de servicio dedicada para la integración de la auditoría de seguridad
En IAM & admin, seleccione Cuentas de servicio.
Seleccione CREAR CUENTA DE SERVICIO para crear una cuenta de servicio dedicada.
Escriba un nombre de cuenta y seleccione Crear.
Especifique el rol como Administrador de publicación/suscripción y, a continuación, seleccione Guardar.
Copie el valor de correo electrónico, lo necesitará más adelante.
En IAM & admin, seleccione IAM.
Cambie al nivel de organización.
Seleccione AGREGAR.
En el campo Nuevos miembros, pegue el valor Correo electrónico que copió anteriormente.
Especifique el rol como Escritor de configuración de registros y, a continuación, seleccione Guardar.
Crear una clave privada para la cuenta de servicio dedicada
Cambie al nivel de proyecto.
En IAM & admin, seleccione Cuentas de servicio.
Abra la cuenta de servicio dedicada y seleccione Editar.
Seleccione CREAR CLAVE.
En la pantalla Creación de una clave privada, seleccione JSON y, a continuación, seleccione CREAR.
Nota:
Necesitará el archivo JSON que se descarga en el dispositivo más adelante.
Recuperar el identificador de la organización
Tome nota del identificador de la organización, lo necesitará más adelante. Para más información, consulte Cómo obtener el ID de su organización.
Conexión de la auditoría de Google Cloud Platform a Defender for Cloud Apps
En este procedimiento se describe cómo agregar los detalles de conexión de GCP para conectar la auditoría de Google Cloud Platform a Defender for Cloud Apps.
En el portal de Microsoft Defender, selecciona Configuración. A continuación, seleccione Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones.
En la página Conector de aplicaciones, para proporcionar las credenciales del conector de GCP, realice una de las siguientes acciones:
Nota:
Se recomienda conectar la instancia de Google Workspace para obtener una administración y gobernanza de usuarios unificadas. Es lo más recomendable aunque no utilice ningún producto de Google Workspace y los usuarios de GCP se administren a través del sistema de administración de usuarios de Google Workspace.
Para un nuevo conector
Seleccione +Conectar una aplicación y, después, Google Cloud Platform.
En la ventana siguiente, proporcione un nombre al conector y seleccione Siguiente.
En la página Introducir detalles, escriba lo siguiente y, luego, seleccione Enviar.
- En el cuadro Id. de organización, escriba la organización que anotó anteriormente.
- En el cuadro Archivo de clave privada, vaya al archivo JSON que descargó anteriormente.
Para un conector existente
En la lista de conectores, seleccione Editar configuración en la fila en la que aparece el conector de GCP.
En la página Introducir detalles, escriba lo siguiente y, luego, seleccione Enviar.
- En el cuadro Id. de organización, escriba la organización que anotó anteriormente.
- En el cuadro Archivo de clave privada, vaya al archivo JSON que descargó anteriormente.
En el portal de Microsoft Defender, selecciona Configuración. A continuación, seleccione Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones. Asegúrese de que el estado del conector de aplicación conectado esté Conectado.
Nota:
Defender for Cloud Apps creará un receptor de exportación agregado (nivel de organización), un tema Pub/Sub y una suscripción a Pub/Sub mediante la cuenta de servicio de integración en el proyecto de integración.
El receptor de exportación agregado se usa para agregar registros en la organización de GCP y el tema de publicación/suscripción creado se usa como destino. Defender for Cloud Apps se suscribe a este tema a través de la suscripción de publicación/suscripción creada para recuperar los registros de actividad de administrador en toda la organización de GCP.
Si tiene algún problema al conectar la aplicación, consulte Solución de problemas con los conectores de aplicaciones.
Pasos siguientes
Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.