Comment Defender for Cloud Apps aide à protéger votre environnement Google Cloud Platform (GCP).
Google Cloud Platform est un fournisseur IaaS qui permet à votre organisation d’héberger et de gérer leurs charges de travail entières dans le cloud. Outre les avantages liés au fait de tirer profit de l’infrastructure dans le cloud, les ressources les plus critiques de votre organisation peuvent être exposées aux menaces. Les ressources exposées incluent des instances de stockage avec des informations potentiellement sensibles, des ressources de calcul qui exploitent certaines de vos applications, des ports et des réseaux privés virtuels les plus critiques qui permettent d’accéder à votre organisation.
Connecter GCP à Defender for Cloud Apps vous aide à sécuriser vos ressources et à détecter les menaces potentielles en surveillant les activités administratives et de connexion, en informant les attaques par force brute possibles, l’utilisation malveillante d’un compte d’utilisateur privilégié et les suppressions inhabituelles d’ordinateurs virtuels.
Menaces principales
- Abus de ressources cloud
- Comptes compromis et menaces internes
- Fuite de données
- Configuration incorrecte des ressources et contrôle d’accès insuffisant
Comment Defender for Cloud Apps contribue à la protection de votre environnement
- Détecter les menaces du cloud, les comptes compromis et les insiders malveillants
- Utiliser la piste d’audit des activités pour les examens forensiques
Contrôler GCP avec des stratégies et des modèles de stratégie prédéfinis
Vous pouvez utiliser les modèles de stratégie prédéfinis suivants pour détecter les menaces potentielles et vous avertir :
| Type | Nom |
|---|---|
| Stratégie de détection d’anomalie prédéfinie | Activité depuis des adresses IP anonymes Activité à partir de pays peu fréquents Activité à partir d’adresses IP suspectes Voyage impossible Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité) Plusieurs tentatives de connexion infructueuses Activités administratives inhabituelles Plusieurs activités de suppression de machine virtuelle Activités inhabituelles de création de machines virtuelles (préversion) |
| Modèle de stratégie d’activité | Modifications apportées aux ressources du moteur de calcul Modifications apportées à la configuration de StackDriver Modifications apportées aux ressources de stockage Modifications du réseau privé virtuel Connexion à partir d’une adresse IP à risque |
Pour plus d’informations sur la création de stratégies, consultez Créer une stratégie.
Automatiser les contrôles de gouvernance
Outre la surveillance des menaces potentielles, vous pouvez appliquer et automatiser les actions de gouvernance GCP suivantes pour corriger les menaces détectées :
| Type | Action |
|---|---|
| Gouvernance des utilisateurs | - Exiger que l’utilisateur réinitialise le mot de passe pour Google (nécessite une instance de Google Workspace liée connectée) - Suspendre l’utilisateur (nécessite une instance Google Workspace liée connectée) - Notifier l’utilisateur en cas d’alerte (via Microsoft Entra ID) - Exiger que l’utilisateur se reconnecte (via Microsoft Entra ID) - Suspendre l’utilisateur (via Microsoft Entra ID) |
Pour plus d’informations sur la correction des menaces des applications, consultez Gouvernance des applications connectées.
Protéger GCP en temps réel
Passez en revue nos meilleures pratiques pour sécuriser et collaborer avec des utilisateurs externes et bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou à risque.
Connecter Google Cloud Platform à Microsoft Defender for Cloud Apps
Cette section fournit des instructions pour connecter Microsoft Defender pour le cloud Apps à votre compte Google Cloud Platform (GCP) existant à l’aide des API du connecteur. Cette connexion vous permet de bénéficier de plus de visibilité et de contrôle lors de l’utilisation de GCP. Pour plus d’informations sur la façon dont Defender for Cloud Apps protège GCP, consultez Protéger GCP.
Nous vous recommandons d’utiliser un projet dédié pour l’intégration et de restreindre l’accès au projet afin de maintenir l’intégration stable et d’empêcher les suppressions/modifications du processus d’installation.
Remarque
Les instructions de connexion de votre environnement GCP pour l’audit suivent les recommandations de Google pour consommer des journaux agrégés. L’intégration s’appuie sur Google StackDriver et consomme des ressources supplémentaires susceptibles d’avoir un impact sur votre facturation. Les ressources consommées sont les suivantes :
- Récepteur d’exportation agrégé – Niveau de l’organisation
- Sujet Pub/Sub – Niveau du projet GCP
- Abonnement Pub/Sous – Niveau du projet GCP
La connexion d’audit Defender for Cloud Apps importe uniquement les journaux d’audit d’activité d’administration ; les journaux d’audit des événements système et d’accès aux données ne sont pas importés. Pour plus d’informations sur les journaux GCP, consultez Journaux d’audit cloud.
Prérequis
L’utilisateur GCP intégré doit disposer des autorisations suivantes :
- IAM et modification Administration – Niveau de l’organisation
- Création et modification de projet
Vous pouvez connecter l’audit de sécurité GCP aux connexions Defender for Cloud Apps pour obtenir une visibilité et un contrôle sur l’utilisation de l’application GCP.
Configurer Google Cloud Platform
Créer un projet dédié
Créer un projet dédié dans GCP sous votre organisation pour permettre l’isolation et la stabilité de l’intégration
Connectez-vous à votre portail GCP à l’aide de votre compte d’utilisateur GCP intégré.
Sélectionnez Créer un projet pour créer un projet.
Sur l’écran Nouveau projet, nommez votre projet et sélectionnez Créer.
Activer les API requises
Basculez vers le projet dédié.
Allez à l’onglet Bibliothèque.
Recherchez et sélectionnez API de journalisation cloud puis, dans la page API, sélectionnez ACTIVER.
Recherchez et sélectionnez API Pub/Sub cloud, puis, dans la page API, sélectionnez ACTIVER.
Remarque
Veillez à ne pas sélectionner API Pub/Sub Lite.
Créer un compte de service dédié pour l’intégration de l’audit de sécurité
Sous IAM &admin, sélectionnez Comptes de service.
Sélectionnez CRÉER UN COMPTE DE SERVICE pour créer un compte de service dédié.
Saisissez un nom de compte, puis sélectionnez Créer.
Spécifiez le rôle en tant que Administration Pub/Sub, puis sélectionnez Enregistrer.
Copiez la valeur e-mail : vous en aurez besoin ultérieurement.
Sous IAM &admin, sélectionnez IAM.
Basculez vers le niveau de l’organisation.
Sélectionnez AJOUTER.
Dans la zone Nouveaux membres, collez la valeur E-mail que vous avez copiée précédemment.
Spécifiez le rôle en tant que rédacteur de configuration des journaux, puis sélectionnez Enregistrer.
Créer une clé privée pour le compte de service dédié
Passez au niveau du projet.
Sous IAM &admin, sélectionnez Comptes de service.
Ouvrez le compte de service dédié et sélectionnez Modifier.
Sélectionnez CRÉER UNE CLÉ.
Sur l’écran Créer une clé privée, sélectionnez JSON, puis sélectionnez CRÉER.
Remarque
Vous aurez besoin du fichier JSON téléchargé sur votre appareil plus tard.
Récupérer votre ID d’organisation
Notez votre ID d’organisation, vous en aurez besoin plus tard. Pour plus d’informations, voir Obtenir votre ID d’organisation.
Connecter l’audit Google Cloud Platform pour Defender for Cloud Apps
Cette procédure explique comment ajouter les détails de connexion GCP pour connecter l’audit Google Cloud Platform à Defender pour le cloud Apps.
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications.
Dans la page Connecteur d'applications, pour fournir les identifiants du connecteur GCP, effectuez l’une des opérations suivantes :
Remarque
Nous vous recommandons de connecter votre instance Google Workspace pour obtenir la gestion et la gouvernance unifiées des utilisateurs. Il s’agit de la recommandation même si vous n’utilisez pas de produits Google Workspace et que les utilisateurs GCP sont gérés via le système de gestion des utilisateurs Google Workspace.
Pour un nouveau connecteur
Sélectionnez +Connecter une application, suivie de Google Cloud Platform.
Dans la fenêtre suivante, indiquez un nom pour le connecteur, puis sélectionnez Suivant.
Dans la page Saisir les détails, saisissez les informations suivantes, puis sélectionnez Envoyer.
- Dans la case ID de l’organisation, saisissez l’organisation que vous avez notée précédemment.
- Dans la zone fichier de Clé privée, accédez au fichier JSON que vous avez téléchargé plus tôt.
Pour un connecteur existant
Dans la liste des connecteurs, sur la ligne dans laquelle le connecteur GCP apparaît, sélectionnez Modifier les paramètres.
Dans la page Saisir les détails, saisissez les informations suivantes, puis sélectionnez Envoyer.
- Dans la case ID de l’organisation, saisissez l’organisation que vous avez notée précédemment.
- Dans la zone fichier de Clé privée, accédez au fichier JSON que vous avez téléchargé plus tôt.
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté.
Remarque
Defender pour le cloud Apps crée un récepteur d’exportation agrégé (niveau de l’organisation), une rubrique Pub/Sub et un abonnement Pub/Sub à l’aide du compte de service d’intégration dans le projet d’intégration.
Le récepteur d’exportation agrégé est utilisé pour agréger les journaux au sein de l’organisation GCP et la rubrique Pub/Sub créée est utilisée comme destination. Defender pour le cloud Apps s’abonne à cette rubrique via l’abonnement Pub/Sub créé pour récupérer les journaux d’activité d’administrateur au sein de l’organisation GCP.
Si vous rencontrez des problèmes lors de la connexion de l’application, consultez Résolution des problèmes liés aux connecteurs d’applications.
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.