Comment Defender for Cloud Apps contribue à protéger votre environnement Google Cloud Platform (GCP)
Article
Google Cloud Platform est un fournisseur IaaS qui permet à vos organization d’héberger et de gérer l’ensemble de leurs charges de travail dans le cloud. Outre les avantages de tirer parti de l’infrastructure dans le cloud, les ressources les plus critiques de votre organization peuvent être exposées à des menaces. Les ressources exposées incluent des instances de stockage avec des informations potentiellement sensibles, des ressources de calcul qui exploitent certaines de vos applications les plus critiques, des ports et des réseaux privés virtuels qui permettent l’accès à votre organization.
La connexion de GCP à Defender for Cloud Apps vous permet de sécuriser vos ressources et de détecter les menaces potentielles en surveillant les activités d’administration et de connexion, en informant les éventuelles attaques par force brute, l’utilisation malveillante d’un compte d’utilisateur privilégié et les suppressions inhabituelles de machines virtuelles.
Principales menaces
Utilisation abusive des ressources cloud
Comptes compromis et menaces internes
Fuite de données
Configuration incorrecte des ressources et contrôle d’accès insuffisant
Comment Defender for Cloud Apps contribue à protéger votre environnement
Modifications apportées aux ressources du moteur de calcul Modifications apportées à la configuration de StackDriver Modifications apportées aux ressources de stockage Modifications apportées au réseau privé virtuel Ouverture de session à partir d’une adresse IP à risque
Pour plus d’informations sur la création de stratégies, consultez Créer une stratégie.
Automatiser les contrôles de gouvernance
Outre la surveillance des menaces potentielles, vous pouvez appliquer et automatiser les actions de gouvernance GCP suivantes pour corriger les menaces détectées :
Type
Action
Gouvernance des utilisateurs
- Exiger de l’utilisateur qu’il réinitialise le mot de passe de Google (nécessite la connexion de l’espace de travail Google lié instance) - Suspendre l’utilisateur (nécessite un instance Google Workspace lié connecté) - Avertir l’utilisateur d’une alerte (via Microsoft Entra ID) - Demander à l’utilisateur de se reconnecter (via Microsoft Entra ID) - Suspendre l’utilisateur (via Microsoft Entra ID)
Connecter Google Cloud Platform à Microsoft Defender for Cloud Apps
Cette section fournit des instructions pour connecter Microsoft Defender for Cloud Apps à votre compte Google Cloud Platform (GCP) existant à l’aide des API de connecteur. Cette connexion vous donne une visibilité et un contrôle sur l’utilisation de GCP. Pour plus d’informations sur la façon dont Defender for Cloud Apps protège GCP, consultez Protéger GCP.
Nous vous recommandons d’utiliser un projet dédié pour l’intégration et de restreindre l’accès au projet afin de maintenir une intégration stable et d’empêcher les suppressions/modifications du processus d’installation.
Notes
Les instructions pour connecter votre environnement GCP à des fins d’audit suivent les recommandations de Google pour la consommation de journaux agrégés. L’intégration tire parti de Google StackDriver et consomme des ressources supplémentaires susceptibles d’avoir un impact sur votre facturation. Les ressources consommées sont les suivantes :
La connexion d’audit Defender for Cloud Apps importe uniquement Administration journaux d’audit d’activité ; Les journaux d’audit d’accès aux données et d’événements système ne sont pas importés. Pour plus d’informations sur les journaux GCP, consultez Journaux d’audit cloud.
Configuration requise
L’utilisateur GCP d’intégration doit disposer des autorisations suivantes :
Iam et modification Administration – Niveau de l’organisation
Création et modification du projet
Vous pouvez connecter l’audit de sécurité GCP à vos connexions Defender for Cloud Apps pour obtenir une visibilité et un contrôle sur l’utilisation des applications GCP.
Configurer Google Cloud Platform
Créer un projet dédié
Créez un projet dédié dans GCP sous votre organization pour activer l’isolation et la stabilité de l’intégration
Connectez-vous à votre portail GCP à l’aide de votre compte d’utilisateur GCP intégré.
Sélectionnez Créer un projet pour démarrer un nouveau projet.
Dans l’écran Nouveau projet , nommez votre projet, puis sélectionnez Créer.
Activer les API requises
Basculez vers le projet dédié.
Accédez à l’onglet Bibliothèque .
Recherchez et sélectionnez API de journalisation cloud, puis dans la page API, sélectionnez ACTIVER.
Recherchez et sélectionnez API Cloud Pub/Sub, puis dans la page API, sélectionnez ACTIVER.
Notes
Veillez à ne pas sélectionner l’API Pub/Sub Lite.
Créer un compte de service dédié pour l’intégration de l’audit de sécurité
Sous IAM & admin, sélectionnez Comptes de service.
Sélectionnez CREATE SERVICE ACCOUNT (CRÉER UN COMPTE DE SERVICE ) pour créer un compte de service dédié.
Entrez un nom de compte, puis sélectionnez Créer.
Spécifiez le Rôle en tant que Pub/Sub Administration, puis sélectionnez Enregistrer.
Copiez la valeur Email, vous en aurez besoin ultérieurement.
Sous IAM & admin, sélectionnez IAM.
Passez au niveau organization.
Sélectionnez AJOUTER.
Dans la zone Nouveaux membres, collez la valeur Email que vous avez copiée précédemment.
Spécifiez le rôle Enregistreurde configuration des journaux , puis sélectionnez Enregistrer.
Créer une clé privée pour le compte de service dédié
Basculez au niveau du projet.
Sous IAM & admin, sélectionnez Comptes de service.
Ouvrez le compte de service dédié et sélectionnez Modifier.
Sélectionnez CREATE KEY.
Dans l’écran Créer une clé privée , sélectionnez JSON, puis CRÉER.
Notes
Vous aurez besoin du fichier JSON qui sera téléchargé sur votre appareil ultérieurement.
Récupérer votre ID d’organisation
Notez votre ID d’organisation, vous en aurez besoin ultérieurement. Pour plus d’informations, consultez Obtention de votre ID organization.
Connecter l’audit Google Cloud Platform à Defender for Cloud Apps
Cette procédure explique comment ajouter les détails de connexion GCP pour connecter l’audit Google Cloud Platform à Defender for Cloud Apps.
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps. Sous Applications connectées, sélectionnez Connecteurs d’application.
Dans la page Connecteurs d’application , pour fournir les informations d’identification du connecteur GCP, effectuez l’une des opérations suivantes :
Notes
Nous vous recommandons de connecter votre instance Google Workspace pour bénéficier d’une gestion et d’une gouvernance unifiées des utilisateurs. Il s’agit de la solution recommandée même si vous n’utilisez aucun produit Google Workspace et que les utilisateurs GCP sont gérés via le système de gestion des utilisateurs Google Workspace.
Pour un nouveau connecteur
Sélectionnez +Connecter une application, puis Google Cloud Platform.
Dans la fenêtre suivante, indiquez un nom pour le connecteur, puis sélectionnez Suivant.
Dans la page Entrer les détails , procédez comme suit, puis sélectionnez Envoyer.
Dans la zone ID d’organisation, entrez le organization que vous avez noté précédemment.
Dans la zone Fichier de clé privée , accédez au fichier JSON que vous avez téléchargé précédemment.
Pour un connecteur existant
Dans la liste des connecteurs, sur la ligne dans laquelle le connecteur GCP apparaît, sélectionnez Modifier les paramètres.
Dans la page Entrer les détails , procédez comme suit, puis sélectionnez Envoyer.
Dans la zone ID d’organisation, entrez le organization que vous avez noté précédemment.
Dans la zone Fichier de clé privée , accédez au fichier JSON que vous avez téléchargé précédemment.
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps. Sous Applications connectées, sélectionnez Connecteurs d’application. Vérifiez que le status du connecteur d’application connecté est Connecté.
Notes
Defender for Cloud Apps créez un récepteur d’exportation agrégé (niveau organization), une rubrique Pub/Sub et un abonnement Pub/Sub à l’aide du compte de service d’intégration dans le projet d’intégration.
Le récepteur d’exportation agrégé est utilisé pour agréger les journaux dans l’organization GCP et la rubrique Pub/Sub créée est utilisée comme destination. Defender for Cloud Apps s’abonne à cette rubrique via l’abonnement Pub/Sub créé pour récupérer les journaux d’activité d’administration dans le organization GCP.
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.