Leggere in inglese

Condividi tramite


Come Defender for Cloud Apps aiuta a proteggere l'ambiente Google Cloud Platform (GCP)

Google Cloud Platform è un provider IaaS che consente all'organizzazione di ospitare e gestire l'intero carico di lavoro nel cloud. Oltre ai vantaggi offerti dall'uso dell'infrastruttura nel cloud, gli asset più critici dell'organizzazione possono essere esposti alle minacce. Gli asset esposti includono istanze di archiviazione con informazioni potenzialmente sensibili, risorse di calcolo che gestiscono alcune delle applicazioni, porte e reti private virtuali più critiche che consentono l'accesso all'organizzazione.

La connessione di GCP a Defender for Cloud Apps consente di proteggere gli asset e rilevare potenziali minacce monitorando le attività amministrative e di accesso, notificando possibili attacchi di forza bruta, uso dannoso di un account utente con privilegi ed eliminazioni insolite di macchine virtuali.

Minacce principali

  • Uso improprio delle risorse cloud
  • Account compromessi e minacce Insider
  • Perdita di dati
  • Configurazione errata delle risorse e controllo di accesso insufficiente

Come Defender for Cloud Apps aiuta a proteggere l'ambiente

Controllare GCP con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e inviare notifiche sulle potenziali minacce:

Tipo Nome
Criteri di rilevamento anomalie predefiniti Attività da indirizzi IP anonimi
Attività da Paesi poco frequenti
Attività da indirizzi IP sospetti
Viaggio impossibile
Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
Molteplici tentativi di accesso non riusciti
Attività amministrative insolite
Molteplici attività di eliminazione di macchine virtuali
Attività insolite di creazione di più macchine virtuali (anteprima)
Modello di criteri attività Modifiche alle risorse del motore di calcolo
Modifiche alla configurazione di StackDriver
Modifiche alle risorse di archiviazione
Modifiche alla rete privata virtuale
Accesso da un indirizzo IP rischioso

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance GCP seguenti per correggere le minacce rilevate:

Tipo Azione
Governance degli utenti - Richiedi all'utente di reimpostare la password su Google (richiede l'istanza di Google Workspace collegata connessa)
- Sospendere l'utente (richiede l'istanza di Google Workspace collegata connessa)
- Notifica all'utente in caso di avviso (tramite Microsoft Entra ID)
- Richiedere all'utente di eseguire di nuovo l'accesso (tramite Microsoft Entra ID)
- Sospendere l'utente (tramite Microsoft Entra ID)

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere GCP in tempo reale

Esaminare le procedure consigliate per la protezione e la collaborazione con utenti esterni e il blocco e la protezione del download di dati sensibili in dispositivi non gestiti o rischiosi.

Connettere Google Cloud Platform a Microsoft Defender for Cloud Apps

Questa sezione fornisce istruzioni per la connessione di Microsoft Defender for Cloud Apps all'account Google Cloud Platform (GCP) esistente usando le API del connettore. Questa connessione offre visibilità e controllo sull'uso di GCP. Per informazioni su come Defender for Cloud Apps protegge GCP, vedere Proteggere GCP.

È consigliabile usare un progetto dedicato per l'integrazione e limitare l'accesso al progetto per mantenere l'integrazione stabile e impedire eliminazioni/modifiche del processo di installazione.

Nota

Le istruzioni per la connessione dell'ambiente GCP per il controllo seguono le raccomandazioni di Google per l'utilizzo dei log aggregati. L'integrazione sfrutta Google StackDriver e userà risorse aggiuntive che potrebbero influire sulla fatturazione. Le risorse utilizzate sono:

La connessione di controllo Defender for Cloud Apps importa solo i log di controllo delle attività Amministrazione; I log di controllo dell'accesso ai dati e degli eventi di sistema non vengono importati. Per altre informazioni sui log GCP, vedere Log di controllo cloud.

Prerequisiti

L'utente GCP che esegue l'integrazione deve avere le autorizzazioni seguenti:

  • Modifica di IAM e Amministrazione - Livello organizzazione
  • Creazione e modifica del progetto

È possibile connettere il controllo di sicurezza GCP alle connessioni Defender for Cloud Apps per ottenere visibilità e controllare l'uso delle app GCP.

Configurare Google Cloud Platform

Creare un progetto dedicato

Creare un progetto dedicato in GCP nell'organizzazione per abilitare l'isolamento e la stabilità dell'integrazione

  1. Accedere al portale GCP usando l'account utente GCP di integrazione.

  2. Selezionare Crea progetto per avviare un nuovo progetto.

  3. Nella schermata Nuovo progetto assegnare al progetto il nome e selezionare Crea.

    Screenshot che mostra la finestra di dialogo di creazione del progetto GCP.

Abilitare le API necessarie

  1. Passare al progetto dedicato.

  2. Passare alla scheda Libreria .

  3. Cercare e selezionare API di registrazione cloud e quindi nella pagina API selezionare ABILITA.

  4. Cercare e selezionare Cloud Pub/Sub API e quindi nella pagina API selezionare ABILITA.

    Nota

    Assicurarsi di non selezionare Api Pub/Sub Lite.

Creare un account del servizio dedicato per l'integrazione del controllo di sicurezza

  1. In IAM & amministratore selezionare Account del servizio.

  2. Selezionare CREATE SERVICE ACCOUNT (CREA ACCOUNT SERVIZIO ) per creare un account del servizio dedicato.

  3. Immettere un nome di account e quindi selezionare Crea.

  4. Specificare il ruolo come Amministrazione Pub/Sub e quindi selezionare Salva.

    Screenshot che mostra l'aggiunta del ruolo IAM da parte di GCP.

  5. Copiare il valore Email, necessario in un secondo momento.

    Screenshot che mostra la finestra di dialogo dell'account del servizio GCP.

  6. In IAM & amministratore selezionare IAM.

    1. Passare al livello dell'organizzazione.

    2. Selezionare AGGIUNGI.

    3. Nella casella Nuovi membri incollare il valore Email copiato in precedenza.

    4. Specificare Il ruolo come Writer configurazione log e quindi selezionare Salva.

      Screenshot che mostra la finestra di dialogo Aggiungi membro.

Creare una chiave privata per l'account del servizio dedicato

  1. Passare al livello di progetto.

  2. In IAM & amministratore selezionare Account del servizio.

  3. Aprire l'account del servizio dedicato e selezionare Modifica.

  4. Selezionare CREATE KEY (CREA CHIAVE).

  5. Nella schermata Crea chiave privata selezionare JSON e quindi selezionare CREA.

    Screenshot che mostra la finestra di dialogo crea chiave privata.

    Nota

    Sarà necessario il file JSON scaricato nel dispositivo in un secondo momento.

Recuperare l'ID organizzazione

Prendere nota dell'ID organizzazione, che sarà necessario in un secondo momento. Per altre informazioni, vedere Recupero dell'ID organizzazione.

Screenshot che mostra la finestra di dialogo ID organizzazione.

Connettere il controllo di Google Cloud Platform a Defender for Cloud Apps

Questa procedura descrive come aggiungere i dettagli della connessione GCP per connettere il controllo di Google Cloud Platform a Defender for Cloud Apps.

  1. Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app.

  2. Nella pagina Connettori app, per fornire le credenziali del connettore GCP, eseguire una delle operazioni seguenti:

    Nota

    È consigliabile connettere l'istanza di Google Workspace per ottenere la gestione e la governance unificata degli utenti. Questa è la soluzione consigliata anche se non si usano prodotti Google Workspace e gli utenti GCP vengono gestiti tramite il sistema di gestione degli utenti di Google Workspace.

    Per un nuovo connettore

    1. Selezionare +Connetti un'app, seguita da Google Cloud Platform.

      Connettere GCP.

    2. Nella finestra successiva specificare un nome per il connettore e quindi selezionare Avanti.

      Nome del connettore GCP.

    3. Nella pagina Immettere i dettagli eseguire le operazioni seguenti e quindi selezionare Invia.

      1. Nella casella ID organizzazione immettere l'organizzazione di cui si è preso nota in precedenza.
      2. Nella casella File di chiave privata passare al file JSON scaricato in precedenza.

      Connettere il controllo di sicurezza delle app GCP per il nuovo connettore.

    Per un connettore esistente

    1. Nell'elenco dei connettori selezionare Modifica impostazioni nella riga in cui viene visualizzato il connettore GCP.

      Screenshot della pagina App connesse che mostra il collegamento Modifica controllo sicurezza.

    2. Nella pagina Immettere i dettagli eseguire le operazioni seguenti e quindi selezionare Invia.

      1. Nella casella ID organizzazione immettere l'organizzazione di cui si è preso nota in precedenza.
      2. Nella casella File di chiave privata passare al file JSON scaricato in precedenza.

      Connettere il controllo di sicurezza delle app GCP per il connettore esistente.

  3. Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app. Assicurarsi che lo stato del connettore app connesso sia Connesso.

    Nota

    Defender for Cloud Apps creerà un sink di esportazione aggregato (a livello di organizzazione), un argomento Pub/Sub e una sottoscrizione Pub/Sub usando l'account del servizio di integrazione nel progetto di integrazione.

    Il sink di esportazione aggregato viene usato per aggregare i log nell'organizzazione GCP e l'argomento Pub/Sub creato viene usato come destinazione. Defender for Cloud Apps sottoscrive questo argomento tramite la sottoscrizione Pub/Sub creata per recuperare i log attività di amministrazione nell'organizzazione GCP.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai connettori di app.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.