Comment Defender for Cloud Apps contribue à la protection de votre environnement Google Workspace
En tant qu’outil de stockage de fichiers et de collaboration cloud, Google Workspace permet à vos utilisateurs de partager leurs documents au sein de votre organisation et partenaires de manière simplifiée et efficace. L’utilisation de Google Workspace peut exposer vos données sensibles non seulement en interne, mais également à des collaborateurs externes, ou, dans un cas encore pire, la rendre disponible publiquement via un lien partagé. Ces incidents peuvent être provoqués par des acteurs malveillants ou par des employés qui n’en ont pas connaissance. Google Workspace fournit également un grand éco-système d’application tiers pour améliorer la productivité. L’utilisation de ces applications peut exposer votre organisation au risque d’applications malveillantes ou d’utilisation d’applications avec des autorisations excessives.
Connecter Google Workspace à Defender for Cloud Apps vous donne des aperçus améliorés sur les activités de vos utilisateurs, fournit une détection des menaces à l’aide de détections d’anomalies basées sur l’apprentissage automatique, des détections de protection des données (telles que la détection du partage d’informations externes), active les contrôles de correction automatisés et détecte les menaces provenant d’applications tierces dans votre organisation.
Menaces principales
- Comptes compromis et menaces internes
- Fuite de données
- Sensibilisation insuffisante à la sécurité
- Applications de tiers malveillantes et extensions Google
- Programme malveillant
- Rançongiciel
- Appareil BYOD (apportez votre propre appareil) non géré
Comment Defender for Cloud Apps contribue à la protection de votre environnement
- Détecter les menaces du cloud, les comptes compromis et les insiders malveillants
- Découvrir, classifier, étiqueter et protéger les données réglementées et sensibles stockées dans le cloud
- Découvrir et gérer des applications OAuth qui ont accès à votre environnement
- Appliquer des stratégies de conformité et DLP pour les données stockées dans le cloud
- Limiter l’exposition des données partagées et appliquer des stratégies de collaboration
- Utiliser la piste d’audit des activités pour les examens forensiques
Gestion de la posture de sécurité SaaS
Connecter Google Workspace pour obtenir automatiquement des recommandations de sécurité dans le degré de sécurisation Microsoft. Dans Degré de sécurisation, sélectionnez Actions recommandées et filtrez par espace de travail Google Product = .
Google Workspace prend en charge les recommandations de sécurité pour activer l’application de l’authentification multifacteur.
Pour plus d’informations, consultez l’article suivant :
Contrôler Google Workspace avec des stratégies et des modèles de stratégie prédéfinis
Vous pouvez utiliser les modèles de stratégie prédéfinis suivants pour détecter les menaces potentielles et vous avertir :
Type | Nom |
---|---|
Stratégie de détection d’anomalie prédéfinie | Activité depuis des adresses IP anonymes Activité à partir de pays peu fréquents Activité à partir d’adresses IP suspectes Voyage impossible Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité) Détection de programme malveillant Plusieurs tentatives de connexion infructueuses Activités administratives inhabituelles |
Modèle de stratégie d’activité | Connexion à partir d’une adresse IP à risque |
Modèle de stratégie de fichier | Détecter un fichier partagé avec un domaine non autorisé Détecter un fichier partagé avec des adresses e-mail personnelles Détecter des fichiers avec PII/PCI/PHI |
Pour plus d’informations sur la création de stratégies, consultez Créer une stratégie.
Automatiser les contrôles de gouvernance
Outre la surveillance des menaces potentielles, vous pouvez appliquer et automatiser les actions de gouvernance Google Workplace suivantes pour corriger les menaces détectées :
Type | Action |
---|---|
Gouvernance des données | - Appliquer l’étiquette de confidentialité de Protection des données Microsoft Purview - Attribuer une permission de lecture au domaine - Créer un fichier/dossier dans Google Drive privé - Réduire l’accès public au fichier/dossier - Supprimer un collaborateur d’un fichier - Supprimer l’étiquette de confidentialité de Protection des données Microsoft Purview - Supprimer des collaborateurs externes sur un fichier/dossier - Supprimer la capacité des éditeurs de fichiers à partager - Supprimer l’accès public au fichier/dossier - Exiger que l’utilisateur réinitialise le mot de passe à Google - Envoyer le résumé de violation DLP aux propriétaires de fichiers - Envoyer une violation DLP à l’éditeur de dernier fichier - Transférer la possession de fichier - Fichier corbeille |
Gouvernance des utilisateurs | - Suspendre l’utilisateur - Avertir l’utilisateur en cas d’alerte (via Microsoft Entra ID) - Exiger que l’utilisateur se reconnecte (via Microsoft Entra ID) - Suspendre l’utilisateur (via Microsoft Entra ID) |
Gouvernance des applications OAuth | – Révoquer les autorisations d’application OAuth |
Pour plus d’informations sur la correction des menaces des applications, consultez Gouvernance des applications connectées.
Protéger Google Workspace en temps réel
Passez en revue nos meilleures pratiques pour sécuriser et collaborer avec des utilisateurs externes et bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou à risque.
Connecter Google Workspace à Microsoft Defender for Cloud Apps
Cette section fournit des instructions pour connecter Microsoft Defender pour le cloud Apps à votre compte Google Workspace existant à l’aide des API du connecteur. Cette connexion vous permet de bénéficier de plus de visibilité et de contrôle lors de l’utilisation de Google Workspace. Pour plus d’informations sur la façon dont Defender for Cloud Apps protège Google Workspace, consultez Protéger Google Workspace.
Remarque
Les activités de téléchargement de fichiers pour Google Workspace ne sont pas affichées dans Defender for Cloud Apps.
Configurer Google Workspace
En tant que Super Administrateur de Google Workspace, connectez-vous à https://console.cloud.google.com.
Sélectionnez la liste déroulante du projet dans le ruban supérieur, puis sélectionnez Nouveau projet pour démarrer un nouveau projet.
Dans la page Nouveau projet, nommez votre projet de la manière suivante : Defender for Cloud Apps, puis sélectionnez Créer.
Une fois le projet créé, sélectionnez le projet créé dans le ruban supérieur. Copiez le numéro du projet, vous en aurez besoin ultérieurement.
Dans le menu de navigation, accédez à la bibliothèque API &Services>. Activez les API suivantes (utilisez la barre de recherche si l’API n’est pas répertoriée) :
- Administration de l’API du kit de développement logiciel (SDK)
- API Google Drive
Dans le menu de navigation, accédez aux API & Informations d’identification des services>et effectuez les étapes suivantes :
Sélectionnez CRÉER DES IDENTIFIANTS.
Sélectionnez Compte de service.
Détails du compte de service : indiquez le nom Defender for Cloud Apps et la description en tant que connecteur d’API de Defender for Cloud Apps à un compte Google Workspace.
Sélectionnez CRÉER ET CONTINUER.
Sous Accorder à ce compte de service l’accès au projet, pour Rôle sélectionnez Éditeur > de projet, puis Terminé.
Dans le menu de navigation, revenez aux API & Informations d’identification des services>.
Sous Comptes de service, recherchez et modifiez le compte de service que vous avez créé précédemment en sélectionnant l’icône de crayon.
Copiez l’adresse e-mail. Vous en aurez besoin ultérieurement.
Accédez à CLÉS à partir du ruban supérieur.
Dans le menu AJOUTER LA CLÉ, sélectionnez Créer une nouvelle clé.
Sélectionnez P12, puis sélectionnez CRÉER. Enregistrez le fichier téléchargé et le mot de passe requis pour utiliser le fichier.
Dans le menu de navigation, accédez aux comptes IAM &Administration> Service. Copiez l’ID client affecté au compte de service que vous venez de créer. Vous en aurez besoin ultérieurement.
Accédez à admin.google.com et, dans le menu de navigation, accédez à Sécurité>Contrôle des accès et des données>API de contrôle. Faites ensuite ce qui suit :
Sous Délégation à l’échelle du domaine, sélectionnez GÉRER LA DÉLÉGATION À L’ÉCHELLE DU DOMAINE.
Sélectionnez Ajouter nouveau.
Dans la zone ID client, entrez l’ID client que vous avez copié précédemment.
Dans la zone Étendues OAuth, entrez la liste suivante des étendues requises (copiez le texte et collez-le dans la zone) :
https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user
Sélectionnez AUTORISER.
Configurer Defender for Cloud Apps
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications.
Pour fournir les détails de connexion à Google Workspace, sous Connecteur d'applications, effectuez l’une des opérations suivantes :
Pour une organisation Google Workspace qui dispose déjà d’une instance GCP connectée
- Dans la liste des connecteurs, à la fin de la ligne dans laquelle l’instance GCP s’affiche, sélectionnez les trois points, puis sélectionnez Connecter instance Google Workspace.
Pour une organisation Google Workspace qui n’a pas encore d’instance GCP connectée
- Dans la page Applications connectées, sélectionnez +Connecter une application, puis sélectionnez Google Workspace.
Dans la fenêtre Nom de l’instance, donnez un nom à votre connecteur. Sélectionnez ensuite Suivant.
Sous l’onglet Ajouter clé Google, entrez les informations suivantes :
Saisissez l’ID du compte de service, l’e-mail que vous avez copié précédemment.
Entrez le Numéro de projet (ID d’application) que vous avez copié précédemment.
Chargez le fichier de certificat P12 que vous avez enregistré précédemment.
Entrez un e-mail du compte d’administrateur de votre administrateur Google Workspace.
Si vous avez un compte Google Workspace Business ou Enterprise, sélectionnez la case à cocher. Pour plus d’informations sur les fonctionnalités disponibles dans Defender for Cloud Apps pour Google Workspace Business ou Enterprise, consultez Activer la visibilité, la protection et des actions de gouvernance instantanées pour vos applications.
Sélectionnez Connecter Google Workspaces.
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté.
Après avoir connecté Google Workspace, vous recevez les événements des sept jours précédant la connexion.
Après la connexion de Google Workspace, Defender for Cloud Apps effectue une analyse complète. Selon le nombre de fichiers et d’utilisateurs, l’exécution de l’analyse complète peut prendre du temps. Pour activer l’analyse en quasi temps réel, les fichiers sur lesquels une activité est détectée sont déplacés au début de la file d’attente d’analyse. Par exemple, un fichier qui est modifié, mis à jour ou partagé est analysé immédiatement. Ceci ne s’applique pas aux fichiers qui ne sont pas modifiés de façon intrinsèque. Par exemple, les fichiers qui sont affichés, prévisualisés, imprimés ou exportés sont analysés dans le cadre de l’analyse régulière.
Les données SaaS Security Posture Management (SSPM) (Préversion) s’affichent dans le portail Microsoft Defender sur la page Niveau de sécurité. Pour plus d’informations, consultez Gestion de l’état de la sécurité pour les applications SaaS.
Si vous rencontrez des problèmes lors de la connexion de l’application, consultez Résolution des problèmes liés aux connecteurs d’applications.
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.