Partager via


Comment Defender for Cloud Apps aide à protéger votre environnement Google Cloud Platform (GCP).

Google Cloud Platform est un fournisseur IaaS qui permet à votre organisation d’héberger et de gérer leurs charges de travail entières dans le cloud. Outre les avantages liés au fait de tirer profit de l’infrastructure dans le cloud, les ressources les plus critiques de votre organisation peuvent être exposées aux menaces. Les ressources exposées incluent des instances de stockage avec des informations potentiellement sensibles, des ressources de calcul qui exploitent certaines de vos applications, des ports et des réseaux privés virtuels les plus critiques qui permettent d’accéder à votre organisation.

Connecter GCP à Defender for Cloud Apps vous aide à sécuriser vos ressources et à détecter les menaces potentielles en surveillant les activités administratives et de connexion, en informant les attaques par force brute possibles, l’utilisation malveillante d’un compte d’utilisateur privilégié et les suppressions inhabituelles d’ordinateurs virtuels.

Menaces principales

  • Abus de ressources cloud
  • Comptes compromis et menaces internes
  • Fuite de données
  • Configuration incorrecte des ressources et contrôle d’accès insuffisant

Comment Defender for Cloud Apps contribue à la protection de votre environnement

Contrôler GCP avec des stratégies et des modèles de stratégie prédéfinis

Vous pouvez utiliser les modèles de stratégie prédéfinis suivants pour détecter les menaces potentielles et vous avertir :

Type Nom
Stratégie de détection d’anomalie prédéfinie Activité depuis des adresses IP anonymes
Activité à partir de pays peu fréquents
Activité à partir d’adresses IP suspectes
Voyage impossible
Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité)
Plusieurs tentatives de connexion infructueuses
Activités administratives inhabituelles
Plusieurs activités de suppression de machine virtuelle
Activités inhabituelles de création de machines virtuelles (préversion)
Modèle de stratégie d’activité Modifications apportées aux ressources du moteur de calcul
Modifications apportées à la configuration de StackDriver
Modifications apportées aux ressources de stockage
Modifications du réseau privé virtuel
Connexion à partir d’une adresse IP à risque

Pour plus d’informations sur la création de stratégies, consultez Créer une stratégie.

Automatiser les contrôles de gouvernance

Outre la surveillance des menaces potentielles, vous pouvez appliquer et automatiser les actions de gouvernance GCP suivantes pour corriger les menaces détectées :

Type Action
Gouvernance des utilisateurs - Exiger que l’utilisateur réinitialise le mot de passe pour Google (nécessite une instance de Google Workspace liée connectée)
- Suspendre l’utilisateur (nécessite une instance Google Workspace liée connectée)
- Notifier l’utilisateur en cas d’alerte (via Microsoft Entra ID)
- Exiger que l’utilisateur se reconnecte (via Microsoft Entra ID)
- Suspendre l’utilisateur (via Microsoft Entra ID)

Pour plus d’informations sur la correction des menaces des applications, consultez Gouvernance des applications connectées.

Protéger GCP en temps réel

Passez en revue nos meilleures pratiques pour sécuriser et collaborer avec des utilisateurs externes et bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou à risque.

Connecter Google Cloud Platform à Microsoft Defender for Cloud Apps

Cette section fournit des instructions pour connecter Microsoft Defender pour le cloud Apps à votre compte Google Cloud Platform (GCP) existant à l’aide des API du connecteur. Cette connexion vous permet de bénéficier de plus de visibilité et de contrôle lors de l’utilisation de GCP. Pour plus d’informations sur la façon dont Defender for Cloud Apps protège GCP, consultez Protéger GCP.

Nous vous recommandons d’utiliser un projet dédié pour l’intégration et de restreindre l’accès au projet afin de maintenir l’intégration stable et d’empêcher les suppressions/modifications du processus d’installation.

Remarque

Les instructions de connexion de votre environnement GCP pour l’audit suivent les recommandations de Google pour consommer des journaux agrégés. L’intégration s’appuie sur Google StackDriver et consomme des ressources supplémentaires susceptibles d’avoir un impact sur votre facturation. Les ressources consommées sont les suivantes :

La connexion d’audit Defender for Cloud Apps importe uniquement les journaux d’audit d’activité d’administration ; les journaux d’audit des événements système et d’accès aux données ne sont pas importés. Pour plus d’informations sur les journaux GCP, consultez Journaux d’audit cloud.

Prérequis

L’utilisateur GCP intégré doit disposer des autorisations suivantes :

  • IAM et modification Administration – Niveau de l’organisation
  • Création et modification de projet

Vous pouvez connecter l’audit de sécurité GCP aux connexions Defender for Cloud Apps pour obtenir une visibilité et un contrôle sur l’utilisation de l’application GCP.

Configurer Google Cloud Platform

Créer un projet dédié

Créer un projet dédié dans GCP sous votre organisation pour permettre l’isolation et la stabilité de l’intégration

  1. Connectez-vous à votre portail GCP à l’aide de votre compte d’utilisateur GCP intégré.

  2. Sélectionnez Créer un projet pour créer un projet.

  3. Sur l’écran Nouveau projet, nommez votre projet et sélectionnez Créer.

    Screenshot showing GCP create project dialog.

Activer les API requises

  1. Basculez vers le projet dédié.

  2. Allez à l’onglet Bibliothèque.

  3. Recherchez et sélectionnez API de journalisation cloud puis, dans la page API, sélectionnez ACTIVER.

  4. Recherchez et sélectionnez API Pub/Sub cloud, puis, dans la page API, sélectionnez ACTIVER.

    Remarque

    Veillez à ne pas sélectionner API Pub/Sub Lite.

Créer un compte de service dédié pour l’intégration de l’audit de sécurité

  1. Sous IAM &admin, sélectionnez Comptes de service.

  2. Sélectionnez CRÉER UN COMPTE DE SERVICE pour créer un compte de service dédié.

  3. Saisissez un nom de compte, puis sélectionnez Créer.

  4. Spécifiez le rôle en tant que Administration Pub/Sub, puis sélectionnez Enregistrer.

    Screenshot showing GCP add IAM role.

  5. Copiez la valeur e-mail : vous en aurez besoin ultérieurement.

    Screenshot showing GCP service account dialog.

  6. Sous IAM &admin, sélectionnez IAM.

    1. Basculez vers le niveau de l’organisation.

    2. Sélectionnez AJOUTER.

    3. Dans la zone Nouveaux membres, collez la valeur E-mail que vous avez copiée précédemment.

    4. Spécifiez le rôle en tant que rédacteur de configuration des journaux, puis sélectionnez Enregistrer.

      Screenshot showing add member dialog.

Créer une clé privée pour le compte de service dédié

  1. Passez au niveau du projet.

  2. Sous IAM &admin, sélectionnez Comptes de service.

  3. Ouvrez le compte de service dédié et sélectionnez Modifier.

  4. Sélectionnez CRÉER UNE CLÉ.

  5. Sur l’écran Créer une clé privée, sélectionnez JSON, puis sélectionnez CRÉER.

    Screenshot showing create private key dialog.

    Remarque

    Vous aurez besoin du fichier JSON téléchargé sur votre appareil plus tard.

Récupérer votre ID d’organisation

Notez votre ID d’organisation, vous en aurez besoin plus tard. Pour plus d’informations, voir Obtenir votre ID d’organisation.

Screenshot showing organization ID dialog.

Connecter l’audit Google Cloud Platform pour Defender for Cloud Apps

Cette procédure explique comment ajouter les détails de connexion GCP pour connecter l’audit Google Cloud Platform à Defender pour le cloud Apps.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications.

  2. Dans la page Connecteur d'applications, pour fournir les identifiants du connecteur GCP, effectuez l’une des opérations suivantes :

    Remarque

    Nous vous recommandons de connecter votre instance Google Workspace pour obtenir la gestion et la gouvernance unifiées des utilisateurs. Il s’agit de la recommandation même si vous n’utilisez pas de produits Google Workspace et que les utilisateurs GCP sont gérés via le système de gestion des utilisateurs Google Workspace.

    Pour un nouveau connecteur

    1. Sélectionnez +Connecter une application, suivie de Google Cloud Platform.

      Connect GCP.

    2. Dans la fenêtre suivante, indiquez un nom pour le connecteur, puis sélectionnez Suivant.

      GCP connector name.

    3. Dans la page Saisir les détails, saisissez les informations suivantes, puis sélectionnez Envoyer.

      1. Dans la case ID de l’organisation, saisissez l’organisation que vous avez notée précédemment.
      2. Dans la zone fichier de Clé privée, accédez au fichier JSON que vous avez téléchargé plus tôt.

      Connect GCP app security auditing for new connector.

    Pour un connecteur existant

    1. Dans la liste des connecteurs, sur la ligne dans laquelle le connecteur GCP apparaît, sélectionnez Modifier les paramètres.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Dans la page Saisir les détails, saisissez les informations suivantes, puis sélectionnez Envoyer.

      1. Dans la case ID de l’organisation, saisissez l’organisation que vous avez notée précédemment.
      2. Dans la zone fichier de Clé privée, accédez au fichier JSON que vous avez téléchargé plus tôt.

      Connect GCP app security auditing for existing connector.

  3. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté.

    Remarque

    Defender pour le cloud Apps crée un récepteur d’exportation agrégé (niveau de l’organisation), une rubrique Pub/Sub et un abonnement Pub/Sub à l’aide du compte de service d’intégration dans le projet d’intégration.

    Le récepteur d’exportation agrégé est utilisé pour agréger les journaux au sein de l’organisation GCP et la rubrique Pub/Sub créée est utilisée comme destination. Defender pour le cloud Apps s’abonne à cette rubrique via l’abonnement Pub/Sub créé pour récupérer les journaux d’activité d’administrateur au sein de l’organisation GCP.

Si vous rencontrez des problèmes lors de la connexion de l’application, consultez Résolution des problèmes liés aux connecteurs d’applications.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.