Uw GCP-project koppelen met Microsoft Defender voor Cloud

Microsoft Defender voor Cloud biedt beveiligingspostuurbeheer en bedreigingsbeveiliging voor workloads die worden uitgevoerd in Google Cloud Platform (GCP).

In dit artikel leest u hoe u een GCP-project of -organisatie verbindt met Microsoft Defender voor Cloud, zodat Microsoft Defender voor Cloud resources kan detecteren, de beveiligingspostuur kan beoordelen en aanbevelingen en waarschuwingen voor beveiliging aan de orde kunt stellen.

Verificatiearchitectuur

Microsoft Defender voor Cloud maakt gebruik van federatieve verificatie om veilig toegang te krijgen tot GCP-API's zonder referenties met een lange levensduur op te slaan.

Tijdens de onboarding brengt Defender voor Cloud een vertrouwensrelatie met Google Cloud tot stand door gebruik te maken van workloadidentiteitsfederatie en dienstaccount-impersonatie. Toegang is beperkt tot het verbonden project of de organisatie en beperkt tot de machtigingen die zijn vereist voor de ingeschakelde Defender-abonnementen.

Meer informatie over verificatiearchitectuur voor GCP-connectors.

Vereisten

Voordat u verbinding maakt met uw GCP-project, moet u het volgende doen:

• Een Microsoft Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich aanmelden voor een gratis abonnement.

• Microsoft Defender voor Cloud ingeschakeld voor uw Azure-abonnement.

• Toegang tot een GCP-project of -organisatie.

• Machtiging op inzenderniveau voor het relevante Azure-abonnement.

• Als u CIEM inschakelt als onderdeel van Defender voor CSPM, heeft de gebruiker die de connector onboardt ook de rol Beveiligingsbeheerder en Application.ReadWrite.All-machtiging nodig voor de tenant.

Kostenoverwegingen

Voor het verbinden van GCP-projecten met Microsoft Defender voor Cloud en het inschakelen van Defender-abonnementen kunnen extra kosten in rekening worden gebracht.

Meer informatie over prijzen van Defender voor Cloud vindt u op de pagina met prijzen.

U kunt ook kosten schatten met de defender voor cloudkostencalculator.

GCP-project- en abonnementstoewijzing

Houd rekening met het volgende bij het verbinden van GCP-projecten met Azure-abonnementen:

• GCP-projecten zijn verbonden met Microsoft Defender voor Cloud op projectniveau.
• U kunt meerdere GCP-projecten verbinden met één Azure-abonnement.
• U kunt meerdere GCP-projecten verbinden met meerdere Azure-abonnementen.

Meer informatie over de Google Cloud-resourcehiërarchie.

Verbind uw GCP-project

1. Meld u aan bij het Azure-portaal.

2. Zoek en selecteer Microsoft Defender voor Cloud.

3. Ga naar Defender voor Cloud> Omgevingsinstellingen.

4. Selecteer Omgeving toevoegen>Google Cloud Platform.

   

5. Selecteer het abonnement waarin de beveiligingsconnector wordt gemaakt.

6. Selecteer de resourcegroep waarin de beveiligingsconnector wordt gemaakt.

7. Selecteer de locatie waar de beveiligingsconnector wordt gemaakt.

8. Selecteer een interval om de GCP-omgeving elke 4, 6, 12 of 24 uur te scannen. Sommige gegevensverzamelaars worden uitgevoerd met vaste scanintervallen en worden niet beïnvloed door aangepaste intervalconfiguraties.

   Notitie

   De volgende gegevensverzamelaars gebruiken een vast scaninterval:

   Naam van gegevensverzamelaar	Scaninterval
   ComputeInstance Beleidsregels voor Artifact Registry Repository ArtifactRegistryImage Containercluster ComputeInstanceGroup ComputeZonalInstanceGroupInstance ComputeRegionalInstanceGroupManager ComputeZonalInstanceGroupManager ComputeGlobalInstanceTemplate	1 uur

9. Alleen organisatie: Voer de GCP-organisatie-id in.

10. Alleen organisatie: Voer indien nodig projectnummers in die moeten worden uitgesloten.

11. Alleen organisatie: Voer indien nodig map-id's in die u wilt uitsluiten.

12. Alleen één project: Voer het GCP-projectnummer in.

13. Alleen één project: Voer de GCP-project-id in.

14. Selecteer Volgende: Selecteer plannen.

    Notitie

    Omdat de Log Analytics-agent (ook wel bekend als MMA) in augustus 2024 buiten gebruik is gesteld, zijn alle functies en beveiligingsmogelijkheden van Defender for Servers die momenteel afhankelijk zijn, inclusief de functies die op deze pagina worden beschreven, beschikbaar via Microsoft Defender voor Eindpunt-integratie of scannen zonder agent, vóór de buitengebruikstellingsdatum. Zie deze aankondiging voor meer informatie over de roadmap voor elk van de functies die momenteel afhankelijk zijn van de Log Analytics-agent.

15. Kies de Defender-abonnementen die u wilt inschakelen.

    Notitie

    Voor elk abonnement worden mogelijk kosten in rekening gebracht. Meer informatie over prijzen voor Defender voor Cloud.

    

16. Selecteer Volgende: Toegang configureren.

17. Selecteer het machtigingstype:

    • Standaardtoegang: verleent machtigingen die vereist zijn voor huidige en toekomstige mogelijkheden.
    • Toegang tot minimale bevoegdheden: verleent alleen de machtigingen die momenteel zijn vereist. U ontvangt mogelijk meldingen als u later extra toegang nodig hebt.

18. Volg de instructies op het scherm om de toegang tussen Defender voor Cloud en uw GCP-omgeving te configureren.

    

    Het gegenereerde gcloudscript is gebaseerd op het bereik en de Defender-plannen die u hebt geselecteerd. Voer het script uit in de GCP-omgeving die u aan het onboarden bent.

    Het script maakt de vereiste bronnen in uw GCP-omgeving aan, waaronder:

    • Workload-identiteitspool
    • Workload-identiteitsprovider (per plan)
    • Serviceaccounts
    • Beleidsbindingen op projectniveau (serviceaccount heeft alleen toegang tot het specifieke project)

    Notitie

    De volgende API's moeten zijn ingeschakeld in het project waar u het onboardingscript uitvoert:

    • iam.googleapis.com
    • sts.googleapis.com
    • cloudresourcemanager.googleapis.com
    • iamcredentials.googleapis.com
    • compute.googleapis.com

    Wanneer u onboardt op organisatieniveau, schakelt u deze API's in voor het beheerproject.

    Als deze API's niet zijn ingeschakeld, kunt u deze inschakelen tijdens de onboarding door het GCP-Cloud Shell-script uit te voeren.

19. Selecteer Volgende: Controleren en genereren.

20. Bekijk de details van de connector.

    

21. Klik op Creëren.

Defender voor Cloud begint met het scannen van uw GCP-resources. Beveiligingsaanbevelingen verschijnen binnen een paar uur. Als u automatische inrichting hebt ingeschakeld, worden Azure Arc en eventuele ingeschakelde extensies automatisch geïnstalleerd voor elke nieuw gedetecteerde resource.

Configuratie van GCP-connector bijwerken

Werk de configuratie van de GCP-connector bij wanneer de machtigingen of resources die Defender voor Cloud vereist, wijzigen.

Werk de configuratie in de volgende gevallen bij:

• U hebt een nieuw Defender-abonnement ingeschakeld, zoals Defender CSPM, Defender voor databases of Defender voor containers.
• U hebt de planconfiguratie gewijzigd, zoals het inschakelen van automatische inrichting of het wijzigen van het geselecteerde bereik.
• Microsoft heeft een bijgewerkt onboardingscript uitgebracht, bijvoorbeeld een versie die nieuwe functies ondersteunt, bugs oplost of machtigingen bijwerkt.
• U ondervindt problemen met de status van de connector door ontbrekende machtigingen of ontbrekende GCP-resources.

Als u de configuratie wilt bijwerken, gaat u terug naar de GCP-connector in Defender voor Cloud, genereert u het meest recente gcloud-script voor het door u geselecteerde bereik en de geselecteerde plannen en voert u het script opnieuw uit in de GCP-omgeving die u onboardt.

De status van de connector valideren

Ga als volgt te werk om te controleren of uw GCP-connector correct werkt:

1. Meld u aan bij het Azure-portaal.

2. Ga naar Defender voor Cloud> Omgevingsinstellingen.

3. Zoek het GCP-project en controleer de kolom Connectiviteitsstatus om te zien of de verbinding in orde is of problemen heeft.

4. Selecteer de waarde die wordt weergegeven in de kolom Connectiviteitsstatus om meer details weer te geven.

Op de pagina Omgevingsgegevens worden gedetecteerde configuratie- of machtigingsproblemen weergegeven die van invloed zijn op de verbinding met het GCP-project.

Als er een probleem aanwezig is, kunt u dit selecteren om een beschrijving van het probleem en de aanbevolen herstelstappen weer te geven. In sommige gevallen wordt een herstelscript verstrekt om het probleem op te lossen.

Meer informatie over het oplossen van problemen met connectors voor meerdere clouds.

Uw huidige dekking weergeven

Defender voor Cloud biedt toegang tot werkmappen via Azure-werkmappen. Werkmappen zijn aanpasbare rapporten die inzicht bieden in uw beveiligingspostuur.

De dekkingswerkmap helpt u inzicht te krijgen in uw huidige dekking door te laten zien welke plannen zijn toegepast op uw abonnementen en resources.

Opname van GCP-cloudlogboekregistratie inschakelen (preview)

Opname van GCP Cloud Logging verbetert identiteits- en machtigingsinzichten door activiteitscontext toe te voegen voor CIEM-evaluaties (Cloud Infrastructure Entitlement Management), aanbevelingen op basis van risico's en analyse van aanvalspaden.

Meer informatie over het integreren van GCP Cloud Logging met Pub/Sub (preview).

Volgende stappen

• Stel Defender voor Cloud-plannen in voor uw GCP-projecten.
• Meer informatie over de verificatiearchitectuur voor GCP-connectors.
• Opname van GCP-cloudlogboekregistratie met Pub/Sub (preview).
• Beleid voor domeinbeperkt delen oplossen.
• Problemen met connectors voor meerdere clouds oplossen.