Come Defender per il cloud Apps consente di proteggere l'ambiente Google Cloud Platform (GCP)

  • Articolo

Google Cloud Platform è un provider IaaS che consente all'organizzazione di ospitare e gestire l'intero carico di lavoro nel cloud. Oltre ai vantaggi derivanti dall'uso dell'infrastruttura nel cloud, gli asset più critici dell'organizzazione possono essere esposti alle minacce. Gli asset esposti includono istanze di archiviazione con informazioni potenzialmente riservate, risorse di calcolo che gestiscono alcune delle applicazioni, porte e reti private virtuali più critiche che consentono l'accesso all'organizzazione.

Connessione GCP per Defender per il cloud App consente di proteggere gli asset e rilevare potenziali minacce monitorando le attività amministrative e di accesso, notificando possibili attacchi di forza bruta, uso dannoso di un account utente con privilegi e eliminazioni insolite delle macchine virtuali.

Principali minacce

  • Uso improprio delle risorse cloud
  • Account compromessi e minacce interne
  • Perdita di dati
  • Configurazione errata delle risorse e controllo di accesso insufficiente

Come le app Defender per il cloud aiutano a proteggere l'ambiente

Controllare GCP con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:

Type Nome
Criteri di rilevamento anomalie predefiniti Attività da indirizzi IP anonimi
Attività da un paese non frequente
Attività da indirizzi IP sospetti
Comunicazione impossibile
Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
Più tentativi di accesso non riusciti
Attività amministrative insolite
Più attività di eliminazione di VM
Attività insolite di creazione di più macchine virtuali (anteprima)
Modello di criteri attività Modifiche alle risorse del motore di calcolo
Modifiche alla configurazione di StackDriver
Modifiche alle risorse di archiviazione
Modifiche alla rete privata virtuale
Logon from a risky IP address (Accesso da indirizzo IP rischioso)

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance GCP seguenti per correggere le minacce rilevate:

Type Azione
Governance dell'utente - Richiedere all'utente di reimpostare la password in Google (richiede l'istanza di Google Workspace collegata connessa)
- Sospendere l'utente (richiede l'istanza di Google Workspace collegata connessa)
- Notifica all'utente all'avviso (tramite Microsoft Entra ID)
- Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID)
- Sospendere l'utente (tramite Microsoft Entra ID)

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere GCP in tempo reale

Esaminare le procedure consigliate per proteggere e collaborare con utenti esterni e bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.

Connessione Google Cloud Platform per Microsoft Defender per il cloud Apps

Questa sezione fornisce istruzioni per la connessione di Microsoft Defender per il cloud Apps all'account GCP (Google Cloud Platform) esistente usando le API del connettore. Questa connessione offre visibilità e controllo sull'uso di GCP. Per informazioni su come le app Defender per il cloud proteggono GCP, vedere Proteggere GCP.

È consigliabile usare un progetto dedicato per l'integrazione e limitare l'accesso al progetto per mantenere l'integrazione stabile e impedire eliminazioni/modifiche del processo di installazione.

Nota

Le istruzioni per connettere l'ambiente GCP per il controllo seguono le raccomandazioni di Google per l'utilizzo di log aggregati. L'integrazione sfrutta Google StackDriver e utilizzerà risorse aggiuntive che potrebbero influire sulla fatturazione. Le risorse utilizzate sono:

La connessione di controllo delle app Defender per il cloud importa solo i log di controllo Amministrazione attività; I log di controllo degli eventi di sistema e accesso ai dati non vengono importati. Per altre informazioni sui log GCP, vedere Log di controllo cloud.

Prerequisiti

L'utente GCP per l'integrazione deve disporre delle autorizzazioni seguenti:

  • Modifica di IAM e Amministrazione - Livello organizzazione
  • Creazione e modifica del progetto

È possibile connettere il controllo di GCP Security alle connessioni alle app Defender per il cloud per ottenere visibilità e controllo sull'uso dell'app GCP.

Configurare Google Cloud Platform

Creare un progetto dedicato

Creare un progetto dedicato in GCP nell'organizzazione per abilitare l'isolamento e la stabilità dell'integrazione

  1. Accedere al portale GCP usando l'account utente GCP integrato.

  2. Selezionare Crea progetto per avviare un nuovo progetto.

  3. Nella schermata Nuovo progetto assegnare un nome al progetto e selezionare Crea.

    Screenshot showing GCP create project dialog.

Abilitare le API necessarie

  1. Passare al progetto dedicato.

  2. Passare alla scheda Libreria .

  3. Cercare e selezionare API di registrazione cloud e quindi nella pagina API selezionare ABILITA.

  4. Cercare e selezionare Cloud Pub/Sub API e quindi nella pagina API selezionare ABILITA.

    Nota

    Assicurarsi di non selezionare l'API Pub/Sub Lite.

Creare un account del servizio dedicato per l'integrazione del controllo della sicurezza

  1. In IAM e amministratore selezionare Account di servizio.

  2. Selezionare CREATE edizione Standard RVICE ACCOUNT per creare un account del servizio dedicato.

  3. Immettere un nome account e quindi selezionare Crea.

  4. Specificare il ruolo come Amministrazione pub/sub e quindi selezionare Salva.

    Screenshot showing GCP add IAM role.

  5. Copiare il valore email , che sarà necessario in un secondo momento.

    Screenshot showing GCP service account dialog.

  6. In IAM & admin selezionare IAM.

    1. Passare al livello di organizzazione.

    2. Selezionare AGGIUNGI.

    3. Nella casella Nuovi membri incollare il valore Email copiato in precedenza.

    4. Specificare il ruolo come writer di configurazione log e quindi selezionare Salva.

      Screenshot showing add member dialog.

Creare una chiave privata per l'account del servizio dedicato

  1. Passare al livello di progetto.

  2. In IAM e amministratore selezionare Account di servizio.

  3. Aprire l'account del servizio dedicato e selezionare Modifica.

  4. Selezionare CREATE KEY.Select CREATE KEY.

  5. Nella schermata Crea chiave privata selezionare JSON e quindi crea.

    Screenshot showing create private key dialog.

    Nota

    Sarà necessario il file JSON scaricato nel dispositivo in un secondo momento.

Recuperare l'ID organizzazione

Prendere nota dell'ID organizzazione, che sarà necessario in un secondo momento. Per altre informazioni, vedere Recupero dell'ID organizzazione.

Screenshot showing organization ID dialog.

Connessione il controllo di Google Cloud Platform alle app di Defender per il cloud

Questa procedura descrive come aggiungere i dettagli della connessione GCP per connettere il controllo di Google Cloud Platform a Defender per il cloud Apps.

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors.

  2. Nella pagina Connettore app s eseguire una delle operazioni seguenti per fornire le credenziali del connettore GCP:

    Nota

    È consigliabile connettere l'istanza di Google Workspace per ottenere una gestione e una governance unificata degli utenti. Questa opzione è consigliata anche se non si usano prodotti Google Workspace e gli utenti GCP vengono gestiti tramite il sistema di gestione utenti di Google Workspace.

    Per un nuovo connettore

    1. Selezionare +Connessione un'app, seguita da Google Cloud Platform.

      Connect GCP.

    2. Nella finestra successiva specificare un nome per il connettore e quindi selezionare Avanti.

      GCP connector name.

    3. Nella pagina Immettere i dettagli eseguire le operazioni seguenti e quindi selezionare Invia.

      1. Nella casella ID organizzazione immettere l'organizzazione annotato in precedenza.
      2. Nella casella File di chiave privata passare al file JSON scaricato in precedenza.

      Connect GCP app security auditing for new connector.

    Per un connettore esistente

    1. Nell'elenco dei connettori, nella riga in cui viene visualizzato il connettore GCP selezionare Modifica impostazioni.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Nella pagina Immettere i dettagli eseguire le operazioni seguenti e quindi selezionare Invia.

      1. Nella casella ID organizzazione immettere l'organizzazione annotato in precedenza.
      2. Nella casella File di chiave privata passare al file JSON scaricato in precedenza.

      Connect GCP app security auditing for existing connector.

  3. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors. Verificare che lo stato dell'Connessione or dell'app connessa sia Connessione.

    Nota

    Defender per il cloud App creerà un sink di esportazione aggregato (livello organizzazione), un argomento Pub/Sub e una sottoscrizione Pub/Sub usando l'account del servizio di integrazione nel progetto di integrazione.

    Il sink di esportazione aggregato viene usato per aggregare i log nell'organizzazione GCP e l'argomento Pub/Sub creato viene usato come destinazione. Defender per il cloud App sottoscrive questo argomento tramite la sottoscrizione Pub/Sub creata per recuperare i log attività di amministratore nell'organizzazione GCP.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai Connessione ors dell'app.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.