Cara aplikasi Defender untuk Cloud membantu melindungi lingkungan Google Cloud Platform (GCP) Anda

  • Artikel

Google Cloud Platform adalah penyedia IaaS yang memungkinkan organisasi Anda untuk menghosting dan mengelola seluruh beban kerja mereka di cloud. Seiring dengan manfaat memanfaatkan infrastruktur di cloud, aset organisasi Anda yang paling penting mungkin terpapar ancaman. Aset yang diekspos termasuk instans penyimpanan dengan informasi yang berpotensi sensitif, sumber daya komputasi yang mengoperasikan beberapa aplikasi, port, dan jaringan privat virtual anda yang paling penting yang memungkinkan akses ke organisasi Anda.

Koneksi GCP ke Defender untuk Cloud Apps membantu Anda mengamankan aset dan mendeteksi potensi ancaman dengan memantau aktivitas administratif dan masuk, memberi tahu tentang kemungkinan serangan brute force, penggunaan berbahaya akun pengguna istimewa, dan penghapusan VM yang tidak biasa.

Ancaman utama

  • Penyalahgunaan sumber daya cloud
  • Akun yang disusupi dan ancaman orang dalam
  • Kebocoran data
  • Kesalahan konfigurasi sumber daya dan kontrol akses yang tidak mencukup

Bagaimana aplikasi Defender untuk Cloud membantu melindungi lingkungan Anda

Mengontrol GCP dengan kebijakan bawaan dan templat kebijakan

Anda dapat menggunakan templat kebijakan bawaan berikut untuk mendeteksi dan memberi tahu Anda tentang potensi ancaman:

Jenis Nama
Kebijakan deteksi anomali bawaan Aktivitas dari alamat IP anonim
Aktivitas dari negara yang jarang
Aktivitas dari alamat IP yang mencurigakan
Perjalanan yang tidak memungkinkan
Aktivitas yang dilakukan oleh pengguna yang dihentikan (memerlukan ID Microsoft Entra sebagai IdP)
Beberapa upaya masuk yang gagal
Aktivitas administratif yang tidak biasa
Beberapa aktivitas hapus VM
Beberapa aktivitas pembuatan VM yang tidak biasa (pratinjau)
Templat kebijakan aktivitas Perubahan pada sumber daya mesin komputasi
Perubahan pada konfigurasi StackDriver
Perubahan pada sumber daya penyimpanan
Perubahan pada Virtual Private Network
Masuk dari alamat IP berisiko

Untuk informasi selengkapnya tentang membuat kebijakan, lihat Membuat kebijakan.

Mengotomatiskan kontrol tata kelola

Selain memantau potensi ancaman, Anda dapat menerapkan dan mengotomatiskan tindakan tata kelola GCP berikut untuk memulihkan ancaman yang terdeteksi:

Jenis Perbuatan
Tata kelola pengguna - Mengharuskan pengguna untuk mengatur ulang kata sandi ke Google (memerlukan instans Google Workspace tertaut yang terhubung)
- Menangguhkan pengguna (memerlukan instans Google Workspace tertaut yang terhubung)
- Beri tahu pengguna tentang pemberitahuan (melalui ID Microsoft Entra)
- Mengharuskan pengguna untuk masuk lagi (melalui ID Microsoft Entra)
- Menangguhkan pengguna (melalui MICROSOFT Entra ID)

Untuk informasi selengkapnya tentang memulihkan ancaman dari aplikasi, lihat Mengatur aplikasi yang terhubung.

Lindungi GCP secara real time

Tinjau praktik terbaik kami untuk mengamankan dan berkolaborasi dengan pengguna eksternal dan memblokir dan melindungi pengunduhan data sensitif ke perangkat yang tidak dikelola atau berisiko.

Koneksi Google Cloud Platform ke aplikasi Microsoft Defender untuk Cloud

Bagian ini memberikan petunjuk untuk menghubungkan Microsoft Defender untuk Cloud Apps ke akun Google Cloud Platform (GCP) yang ada menggunakan API konektor. Koneksi ini memberi Anda visibilitas ke dalam dan kontrol atas penggunaan GCP. Untuk informasi tentang cara aplikasi Defender untuk Cloud melindungi GCP, lihat Melindungi GCP.

Kami menyarankan agar Anda menggunakan proyek khusus untuk integrasi dan membatasi akses ke proyek untuk mempertahankan integrasi yang stabil dan mencegah penghapusan/modifikasi proses penyiapan.

Catatan

Petunjuk untuk menghubungkan lingkungan GCP Anda untuk audit mengikuti rekomendasi Google untuk menggunakan log agregat. Integrasi ini memanfaatkan Google StackDriver dan akan menggunakan sumber daya tambahan yang mungkin memengaruhi penagihan Anda. Sumber daya yang dikonsumsi adalah:

Koneksi audit aplikasi Defender untuk Cloud hanya mengimpor log audit Aktivitas Admin; Log audit Akses Data dan Peristiwa Sistem tidak diimpor. Untuk informasi selengkapnya tentang log GCP, lihat Log Audit Cloud.

Prasyarat

Pengguna GCP yang mengintegrasikan harus memiliki izin berikut:

  • Edit IAM dan Admin – Tingkat organisasi
  • Pembuatan dan pengeditan proyek

Anda dapat menyambungkan audit Keamanan GCP ke koneksi aplikasi Defender untuk Cloud Anda untuk mendapatkan visibilitas ke dalam dan kontrol atas penggunaan aplikasi GCP.

Mengonfigurasi Google Cloud Platform

Membuat proyek khusus

Membuat proyek khusus di GCP di bawah organisasi Anda untuk mengaktifkan isolasi dan stabilitas integrasi

  1. Masuk ke portal GCP Anda menggunakan akun pengguna GCP yang mengintegrasikan Anda.

  2. Pilih Buat Proyek untuk memulai proyek baru.

  3. Di layar Proyek baru, beri nama proyek Anda dan pilih Buat.

    Screenshot showing GCP create project dialog.

Aktifkan API yang diperlukan

  1. Beralih ke proyek khusus.

  2. Buka tab Pustaka .

  3. Cari dan pilih Cloud Logging API, lalu pada halaman API, pilih AKTIFKAN.

  4. Cari dan pilih Cloud Pub/Sub API, lalu pada halaman API, pilih AKTIFKAN.

    Catatan

    Pastikan Anda tidak memilih PUB/Sub Lite API.

Membuat akun layanan khusus untuk integrasi audit keamanan

  1. Di bawah IAM &admin, pilih Akun layanan.

  2. Pilih BUAT AKUN LAYANAN untuk membuat akun layanan khusus.

  3. Masukkan nama akun, lalu pilih Buat.

  4. Tentukan Peran sebagai Pub/Sub Admin lalu pilih Simpan.

    Screenshot showing GCP add IAM role.

  5. Salin nilai Email, Anda akan memerlukannya nanti.

    Screenshot showing GCP service account dialog.

  6. Di bawah IAM & admin, pilih IAM.

    1. Ubah tingkat organisasi.

    2. Pilih TAMBAHKAN.

    3. Dalam kotak Anggota baru, tempelkan nilai Email yang Anda salin sebelumnya.

    4. Tentukan Peran sebagai Penulis Konfigurasi Log lalu pilih Simpan.

      Screenshot showing add member dialog.

Membuat kunci privat untuk akun layanan khusus

  1. Beralih ke tingkat proyek.

  2. Di bawah IAM &admin, pilih Akun layanan.

  3. Buka akun layanan khusus dan pilih Edit.

  4. Pilih BUAT KUNCI.

  5. Di layar Buat kunci privat, pilih JSON, lalu pilih BUAT.

    Screenshot showing create private key dialog.

    Catatan

    Anda akan memerlukan file JSON yang diunduh ke perangkat Anda nanti.

Mengambil ID Organisasi Anda

Catat ID Organisasi Anda, Anda akan memerlukannya nanti. Untuk informasi selengkapnya, lihat Mendapatkan ID organisasi Anda.

Screenshot showing organization ID dialog.

Koneksi audit Google Cloud Platform ke Aplikasi Defender untuk Cloud

Prosedur ini menjelaskan cara menambahkan detail koneksi GCP untuk menghubungkan audit Google Cloud Platform ke aplikasi Defender untuk Cloud.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps. Di bawah aplikasi yang Koneksi, pilih App Koneksi ors.

  2. Di halaman Konektor aplikasi, untuk memberikan kredensial konektor GCP, lakukan salah satu hal berikut ini:

    Catatan

    Sebaiknya sambungkan instans Google Workspace Anda untuk mendapatkan manajemen dan tata kelola pengguna terpadu. Ini adalah yang direkomendasikan bahkan jika Anda tidak menggunakan produk Google Workspace apa pun dan pengguna GCP dikelola melalui sistem manajemen pengguna Google Workspace.

    Untuk konektor baru

    1. Pilih +Koneksi aplikasi, diikuti oleh Google Cloud Platform.

      Connect GCP.

    2. Di jendela berikutnya, berikan nama untuk konektor, lalu pilih Berikutnya.

      GCP connector name.

    3. Di halaman Masukkan detail , lakukan hal berikut ini, lalu pilih Kirim.

      1. Dalam kotak ID Organisasi, masukkan organisasi yang Anda catat sebelumnya.
      2. Dalam kotak File kunci privat, telusuri ke file JSON yang Anda unduh sebelumnya.

      Connect GCP app security auditing for new connector.

    Untuk konektor yang sudah ada

    1. Dalam daftar konektor, pada baris tempat konektor GCP muncul, pilih Edit pengaturan.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Di halaman Masukkan detail , lakukan hal berikut ini, lalu pilih Kirim.

      1. Dalam kotak ID Organisasi, masukkan organisasi yang Anda catat sebelumnya.
      2. Dalam kotak File kunci privat, telusuri ke file JSON yang Anda unduh sebelumnya.

      Connect GCP app security auditing for existing connector.

  3. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps. Di bawah aplikasi yang Koneksi, pilih App Koneksi ors. Pastikan status App Koneksi or yang tersambung Koneksi.

    Catatan

    Defender untuk Cloud Apps akan membuat sink ekspor agregat (tingkat organisasi), topik Pub/Sub, dan langganan Pub/Sub menggunakan akun layanan integrasi dalam proyek integrasi.

    Sink ekspor agregat digunakan untuk mengagregasi log di seluruh organisasi GCP dan topik Pub/Sub yang dibuat digunakan sebagai tujuan. Defender untuk Cloud Apps berlangganan topik ini melalui langganan Pub/Sub yang dibuat untuk mengambil log aktivitas admin di seluruh organisasi GCP.

Jika Anda mengalami masalah saat menyambungkan aplikasi, lihat Pemecahan Masalah Koneksi or Aplikasi.

Langkah berikutnya

Mengontrol aplikasi cloud dengan kebijakan

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.