Menyambungkan proyek GCP Anda ke Microsoft Defender untuk Cloud

Microsoft Defender for Cloud menyediakan manajemen postur keamanan dan perlindungan ancaman untuk beban kerja yang berjalan di Google Cloud Platform (GCP).

Artikel ini memperlihatkan kepada Anda cara menyambungkan proyek atau organisasi GCP ke Pertahanan Microsoft untuk Cloud sehingga Pertahanan Microsoft untuk Cloud dapat menemukan sumber daya, menilai postur keamanan, dan memunculkan rekomendasi dan pemberitahuan keamanan.

Arsitektur autentikasi

Microsoft Defender for Cloud menggunakan autentikasi federasi untuk mengakses API GCP dengan aman tanpa menyimpan kredensial berumur panjang.

Selama pengenalan, Defender for Cloud membangun hubungan kepercayaan dengan Google Cloud menggunakan federasi identitas untuk beban kerja dan peniruan akun layanan. Akses dicakup ke proyek atau organisasi yang terhubung dan terbatas pada izin yang diperlukan oleh paket Defender yang diaktifkan.

Pelajari selengkapnya tentang arsitektur autentikasi untuk konektor GCP.

Prasyarat

Sebelum menyambungkan proyek GCP, pastikan Anda memiliki:

• Langganan Microsoft Azure. Jika Anda tidak memiliki langganan Azure, Anda dapat mendaftar untuk langganan gratis.

• Microsoft Defender untuk Cloud diaktifkan pada langganan Azure Anda.

• Akses ke proyek atau organisasi GCP.

• Izin tingkat kontributor untuk langganan Azure yang relevan.

• Jika Anda mengaktifkan CIEM sebagai bagian dari Defender untuk CSPM, pengguna yang menghubungkan konektor juga memerlukan peran Admin Keamanan dan izin Application.ReadWrite.All untuk penyewa.

Pertimbangan biaya

Menyambungkan proyek GCP ke Microsoft Defender for Cloud dan mengaktifkan paket Defender dapat dikenakan biaya tambahan.

Anda dapat mempelajari selengkapnya tentang harga Defender for Cloud di halaman harga.

Anda juga dapat memperkirakan biaya dengan kalkulator biaya Defender for Cloud.

Pemetaan proyek dan langganan GCP

Saat menyambungkan proyek GCP ke langganan Azure, pertimbangkan hal berikut:

• Proyek GCP terhubung ke Microsoft Defender for Cloud di tingkat proyek.
• Anda dapat menyambungkan beberapa proyek GCP ke satu langganan Azure.
• Anda dapat menyambungkan beberapa proyek GCP di beberapa langganan Azure.

Pelajari selengkapnya tentang hierarki sumber daya Google Cloud.

Menyambungkan proyek GCP Anda

1. Masuk ke portal Azure.

2. Cari dan pilih Microsoft Defender for Cloud.

3. Buka Pengaturan Lingkungan>Tambahkan Lingkungan>Google Cloud Platform.

   

4. Masukkan informasi berikut:

   • Nama konektor.
   • Pilih Organisasi atau Proyek tunggal.
   • Langganan.
   • Grup sumber daya.
   • Location.
   • Interval pemindaian: 4, 6, 12, atau 24.
   • (Hanya organisasi) ID ORGANISASI.
   • (Opsional - Hanya organisasi) Jangan sertakan nomor proyek.
   • (Optional - Hanya organisasi) Tidak menyertakan ID folder.
   • (Proyek tunggal saja) Nomor proyek GCP.
   • (Proyek tunggal saja) ID proyek GCP.

   Catatan

   Beberapa pengumpul data berjalan dengan interval pemindaian tetap dan tidak terpengaruh oleh konfigurasi interval kustom. Tabel berikut ini memperlihatkan interval pemindaian tetap untuk setiap pengumpul data yang dikecualikan:

   Nama pengumpul data	Interval pemindaian
   ComputeInstance KebijakanRepositoriArtifactRegistry Gambar Registri Artefak ContainerCluster ComputeInstanceGroup ComputeZonalInstanceGroupInstance ComputeRegionalInstanceGroupManager ComputeZonalInstanceGroupManager ComputeGlobalInstanceTemplate	1 jam

5. Pilih Berikutnya: Pilih rencana.

   Catatan

   Karena agen Analitik Log (juga dikenal sebagai MMA) dihentikan pada Agustus 2024, semua fitur Defender untuk Servers dan fungsi keamanan yang saat ini bergantung padanya, termasuk yang dijelaskan di halaman ini, akan tersedia melalui integrasi Microsoft Defender untuk Titik Akhir atau pemindaian tanpa agen, sebelum tanggal penghentian. Untuk informasi selengkapnya tentang peta strategi untuk setiap fitur yang saat ini mengandalkan Agen Analitik Log, lihat pengumuman ini.

6. Ganti rencana ke Aktif atau Nonaktif sesuai kebutuhan Anda.

   

7. Pilih Berikutnya: Konfigurasikan akses.

8. Pilih jenis izin, Akses default , atau Akses hak istimewa terkecil.

9. Ikuti petunjuk di layar untuk mengonfigurasi akses antara Defender for Cloud dan proyek GCP Anda.

   

Dalam langkah ini, Anda dapat menemukan skrip GCloud yang perlu dijalankan pada proyek GCP yang akan di-onboarding. Skrip GCloud dihasilkan berdasarkan paket onboarding yang Anda pilih.

Skrip GCloud membuat semua sumber daya yang diperlukan di lingkungan GCP Anda sehingga Defender untuk Cloud dapat beroperasi dan memberikan nilai keamanan berikut:

• Kumpulan identitas beban kerja
• Penyedia identitas beban kerja (per paket)
• Akun layanan
• Pengikatan kebijakan tingkat proyek (akun layanan hanya memiliki akses ke proyek tertentu)

1. Pilih Berikutnya: Tinjau dan buat.

2. Tinjau informasi untuk akurasi.

   

   Catatan

   API berikut harus diaktifkan pada proyek tempat Anda menjalankan skrip onboarding untuk menemukan sumber daya GCP Anda dan memungkinkan proses autentikasi terjadi:

   • iam.googleapis.com
   • sts.googleapis.com
   • cloudresourcemanager.googleapis.com
   • iamcredentials.googleapis.com
   • compute.googleapis.com

   Saat Anda melakukan onboarding di tingkat organisasi, aktifkan API ini pada proyek manajemen, meskipun Anda menggunakannya untuk mengakses sumber daya di semua proyek dalam organisasi Anda.

   Jika Anda tidak mengaktifkan API ini, Anda dapat mengaktifkannya selama proses onboarding dengan menjalankan skrip GCP Cloud Shell.

3. Pilih Buat.

Setelah Anda membuat konektor, pemindaian dimulai di lingkungan GCP Anda. Rekomendasi baru muncul di Defender for Cloud setelah hingga enam jam. Jika Anda mengaktifkan provisi otomatis, Azure Arc dan ekstensi yang diaktifkan diinstal secara otomatis untuk setiap sumber daya yang baru terdeteksi.

Memvalidasi kesehatan konektor

Untuk mengonfirmasi bahwa konektor GCP Anda beroperasi dengan benar:

1. Masuk ke portal Azure.

2. Buka Defender untuk Cloud>Pengaturan lingkungan.

3. Temukan proyek GCP dan tinjau kolom Status konektivitas untuk melihat apakah koneksi sehat atau mengalami masalah.

4. Pilih nilai yang diperlihatkan di kolom Status konektivitas untuk menampilkan detail selengkapnya.

Halaman Detail lingkungan mencantumkan konfigurasi atau masalah izin yang terdeteksi yang memengaruhi koneksi ke proyek GCP.

Jika ada masalah, Anda dapat memilihnya untuk melihat deskripsi masalah dan langkah-langkah remediasi yang direkomendasikan. Dalam beberapa kasus, skrip remediasi disediakan untuk membantu menyelesaikan masalah.

Pelajari selengkapnya tentang pemecahan masalah konektor multicloud.

Lihat cakupan Anda saat ini

Defender for Cloud menyediakan akses ke buku kerja melalui buku kerja Azure. Buku kerja adalah laporan yang dapat disesuaikan yang memberikan wawasan tentang postur keamanan Anda.

Buku kerja cakupan membantu Anda memahami cakupan Anda saat ini dengan memperlihatkan paket mana yang diaktifkan pada langganan dan sumber daya Anda.

Mengaktifkan penyerapan GCP Cloud Logging (Pratinjau)

Penyerapan GCP Cloud Logging meningkatkan wawasan identitas dan izin dengan menambahkan konteks aktivitas untuk penilaian Cloud Infrastructure Entitlement Management (CIEM), rekomendasi berbasis risiko, dan analisis jalur serangan.

Pelajari selengkapnya tentang menyerap GCP Cloud Logging dengan Pub/Sub (Pratinjau).

Langkah berikutnya

• Konfigurasikan paket Defender for Cloud untuk proyek GCP Anda.
• Pelajari tentang arsitektur autentikasi untuk konektor GCP.
• Menyerap Pengelogan Cloud GCP dengan Pub/Sub (Pratinjau).
• Mengatasi kebijakan Berbagi Terbatas Domain.
• Memecahkan masalah konektor multicloud.