Slik bidrar Defender for Cloud Apps til å beskytte Google Cloud Platform (GCP)-miljøet

Artikkel
11/28/2024

Google Cloud Platform er en IaaS-leverandør som gjør det mulig for organisasjonen å være vert for og administrere hele arbeidsbelastningen i skyen. I tillegg til fordelene ved å dra nytte av infrastruktur i skyen, kan organisasjonens mest kritiske ressurser bli utsatt for trusler. Eksponerte ressurser inkluderer lagringsforekomster med potensielt sensitiv informasjon, databehandlingsressurser som driver noen av de mest kritiske programmene, portene og virtuelle private nettverkene som gir tilgang til organisasjonen.

Hvis du kobler GCP til Defender for Cloud Apps, kan du sikre ressursene dine og oppdage potensielle trusler ved å overvåke administrative aktiviteter og påloggingsaktiviteter, varsle om mulige angrep med rå kraft, ondsinnet bruk av en privilegert brukerkonto og uvanlige slettinger av virtuelle maskiner.

Hovedtrusler

Misbruk av skyressurser
Kompromitterte kontoer og insider-trusler
Datalekkasje
Feil konfigurasjon av ressurser og utilstrekkelig tilgangskontroll

Slik bidrar Defender for Cloud Apps til å beskytte miljøet ditt

Kontroller GCP med innebygde policyer og policymaler

Du kan bruke følgende innebygde policymaler til å oppdage og varsle deg om potensielle trusler:

Type:	Navn
Innebygd policy for avviksregistrering	Aktivitet fra anonyme IP-adresser Aktivitet fra sjeldent land Aktivitet fra mistenkelige IP-adresser Umulig reise Aktivitet utført av avsluttet bruker (krever Microsoft Entra ID som IdP) Flere mislykkede påloggingsforsøk Uvanlige administrative aktiviteter Flere slettede VM-aktiviteter Uvanlige aktiviteter for oppretting av flere virtuelle maskin (forhåndsversjon)
Mal for aktivitetspolicy	Endringer i databehandlingsmotorressurser Endringer i StackDriver-konfigurasjon Endringer i lagringsressurser Endringer i virtuelt privat nettverk Pålogging fra en risikabel IP-adresse

Hvis du vil ha mer informasjon om hvordan du oppretter policyer, kan du se Opprette en policy.

Automatiser styringskontroller

I tillegg til å overvåke potensielle trusler, kan du bruke og automatisere følgende GCP-styringshandlinger for å utbedre oppdagede trusler:

Type:	Handling
Brukerstyring	– Krev at brukeren tilbakestiller passordet til Google (krever tilkoblet google workspace-forekomst) – Avslutt bruker (krever tilkoblet google workspace-forekomst) – Varsle brukeren i beredskap (via Microsoft Entra ID) – Krev at brukeren logger på igjen (via Microsoft Entra ID) - Avbryte bruker (via Microsoft Entra ID)

Hvis du vil ha mer informasjon om utbedring av trusler fra apper, kan du se Styrende tilkoblede apper.

Beskytt GCP i sanntid

Se gjennom våre anbefalte fremgangsmåter for å sikre og samarbeide med eksterne brukere og blokkere og beskytte nedlasting av sensitive data til uadministrerte eller risikable enheter.

Koble Google Cloud Platform til Microsoft Defender for Cloud Apps

Denne delen inneholder instruksjoner for hvordan du kobler Microsoft Defender for Cloud Apps til den eksisterende Google Cloud Platform (GCP)-kontoen ved hjelp av koblings-API-ene. Denne tilkoblingen gir deg innsyn i og kontroll over GCP-bruk. Hvis du vil ha informasjon om hvordan Defender for Cloud Apps beskytter GCP, kan du se Beskytt GCP.

Vi anbefaler at du bruker et dedikert prosjekt for integreringen og begrenser tilgangen til prosjektet for å opprettholde stabil integrering og forhindre slettinger/endringer av konfigurasjonsprosessen.

Obs!

Instruksjonene for å koble til GCP-miljøet for overvåking følger Googles anbefalinger for bruk av aggregerte logger. Integrasjonen drar nytte av Google StackDriver og bruker flere ressurser som kan påvirke faktureringen. De forbrukte ressursene er:

Overvåkingstilkoblingen Defender for Cloud Apps importerer bare Admin aktivitetsovervåkingslogger. Overvåkingslogger for datatilgang og systemhendelse importeres ikke. Hvis du vil ha mer informasjon om GCP-logger, kan du se skyovervåkingslogger.

Forutsetninger

Den integrerende GCP-brukeren må ha følgende tillatelser:

IAM og Admin redigere – organisasjonsnivå
Oppretting og redigering av prosjekt

Du kan koble GCP Security-overvåking til Defender for Cloud Apps-tilkoblinger for å få innsyn i og kontrollere bruken av GCP-appen.

Konfigurer Google Cloud Platform

Opprette et dedikert prosjekt

Opprett et dedikert prosjekt i GCP under organisasjonen for å muliggjøre isolasjon og stabilitet for integrering

Logg på GCP-portalen ved hjelp av den integrerte GCP-brukerkontoen.
Velg Opprett prosjekt for å starte et nytt prosjekt.
Gi prosjektet et navn i nytt prosjekt-skjermbildet , og velg Opprett.

Aktiver nødvendige API-er

Bytt til det dedikerte prosjektet.
Gå til Bibliotek-fanen .
Søk etter og velg API for skylogging, og velg deretter AKTIVER på API-siden.
Søk etter og velg Cloud Pub/Sub API, og velg deretter ENABLE på API-siden.

Obs!

Kontroller at du ikke velger Pub/Sub Lite-API.

Opprett en dedikert tjenestekonto for integrasjon av sikkerhetsovervåking

Velg Tjenestekontoerunder IAM &-administrator.
Velg OPPRETT TJENESTEKONTO for å opprette en dedikert tjenestekonto.
Skriv inn et kontonavn, og velg deretter Opprett.
Angi rollen som pub/underordnet Admin, og velg deretter Lagre.
Kopier e-postverdien , du trenger dette senere.
Velg IAM under IAM & admin.
1. Bytt til organisasjonsnivå.
2. Velg LEGG TIL.
3. Lim inn e-postverdien du kopierte tidligere, i boksen Nye medlemmer.
4. Angi rollen som loggkonfigurasjonsforfatter, og velg deretter Lagre.

Opprett en privatnøkkel for den dedikerte tjenestekontoen

Bytt til prosjektnivå.
Velg Tjenestekontoerunder IAM &-administrator.
Åpne den dedikerte tjenestekontoen, og velg Rediger.
Velg OPPRETT NØKKEL.
Velg JSON i skjermbildet Opprett privatnøkkel, og velg deretter OPPRETT.

Obs!

Du trenger JSON-filen som lastes ned til enheten senere.

Hent organisasjons-ID-en

Noter organisasjons-ID-en, så trenger du dette senere. Hvis du vil ha mer informasjon, kan du se Få organisasjons-ID-en din.

Skjermbilde som viser dialogboksen organisasjons-ID.

Koble google Cloud Platform-overvåking til Defender for Cloud Apps

Denne fremgangsmåten beskriver hvordan du legger til GCP-tilkoblingsdetaljene for å koble google cloud platform-overvåking til Defender for Cloud Apps.

Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper.
Gjør ett av følgende for å angi GCP-koblingslegitimasjonen på appkoblinger-siden :

Obs!

Vi anbefalte at du kobler til Google Workspace-forekomsten for å få enhetlig brukeradministrasjon og styring. Dette anbefales selv om du ikke bruker Google Workspace-produkter, og GCP-brukerne administreres via brukeradministrasjonssystemet for Google Workspace.

For en ny kobling
1. Velg +Koble til en app, etterfulgt av Google Cloud Platform.
2. Angi et navn for koblingen i neste vindu, og velg deretter Neste.
3. Gjør følgende på Siden Angi detaljer , og velg deretter Send.
  1. Skriv inn organisasjonen du noterte tidligere, i organisasjons-ID-boksen .
  2. Bla til JSON-filen du lastet ned tidligere, i boksen Privatnøkkelfil .
For en eksisterende kobling
1. Velg Rediger innstillinger i listen over koblinger på raden der GCP-koblingen vises.
2. Gjør følgende på Siden Angi detaljer , og velg deretter Send.
  1. Skriv inn organisasjonen du noterte tidligere, i organisasjons-ID-boksen .
  2. Bla til JSON-filen du lastet ned tidligere, i boksen Privatnøkkelfil .
Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper. Kontroller at statusen for den tilkoblede App Connector er tilkoblet.

Obs!

Defender for Cloud Apps oppretter en aggregert eksportvask (organisasjonsnivå), et pub-/underemne og et Pub/Sub-abonnement ved hjelp av integrasjonstjenestekontoen i integreringsprosjektet.

Samlet eksportmottaker brukes til å aggregere logger på tvers av GCP-organisasjonen, og pub-/underemnet som opprettes, brukes som mål. Defender for Cloud Apps abonnerer på dette emnet gjennom Pub/Sub-abonnementet som er opprettet for å hente aktivitetsloggene for administratorer på tvers av GCP-organisasjonen.