Jak Defender for Cloud Apps pomaga chronić środowisko platformy Google Cloud Platform (GCP)

Google Cloud Platform to dostawca usług IaaS, który umożliwia organizacji hostowanie całych obciążeń w chmurze i zarządzanie nimi. Wraz z korzyściami wynikającymi z używania infrastruktury w chmurze najbardziej krytyczne zasoby organizacji mogą być narażone na zagrożenia. Uwidocznione zasoby obejmują wystąpienia magazynu z potencjalnie poufnymi informacjami, zasoby obliczeniowe, które obsługują niektóre z najważniejszych aplikacji, portów i wirtualnych sieci prywatnych, które umożliwiają dostęp do organizacji.

Połączenie GCP z Defender for Cloud Apps pomaga zabezpieczyć zasoby i wykrywać potencjalne zagrożenia, monitorując działania administracyjne i logowania, powiadamiając o możliwych atakach siłowych, złośliwym użyciu uprzywilejowanego konta użytkownika i nietypowych usunięciach maszyn wirtualnych.

Główne zagrożenia

  • Nadużywanie zasobów w chmurze
  • Konta z naruszeniem zabezpieczeń i zagrożenia wewnętrzne
  • Wyciek danych
  • Błędna konfiguracja zasobu i niewystarczająca kontrola dostępu

Jak Defender for Cloud Apps pomaga chronić środowisko

Kontrolowanie protokołu GCP za pomocą wbudowanych zasad i szablonów zasad

Do wykrywania i powiadamiania o potencjalnych zagrożeniach można użyć następujących wbudowanych szablonów zasad:

Wpisać Name (Nazwa)
Wbudowane zasady wykrywania anomalii Działanie z anonimowych adresów IP
Aktywność z rzadkiego kraju
Działanie z podejrzanych adresów IP
Niemożliwa podróż
Działanie wykonywane przez użytkownika zakończone (wymaga Tożsamość Microsoft Entra jako dostawcy tożsamości)
Wiele nieudanych prób logowania
Nietypowe działania administracyjne
Wiele działań usuwania maszyny wirtualnej
Nietypowe działania tworzenia wielu maszyn wirtualnych (wersja zapoznawcza)
Szablon zasad działania Zmiany zasobów aparatu obliczeniowego
Zmiany konfiguracji usługi StackDriver
Zmiany w zasobach magazynu
Zmiany w wirtualnej sieci prywatnej
Logowanie z ryzykownej adresu IP

Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie zasad.

Automatyzowanie kontrolek ładu

Oprócz monitorowania potencjalnych zagrożeń można zastosować i zautomatyzować następujące akcje ładu GCP w celu skorygowania wykrytych zagrożeń:

Wpisać Akcja
Ład użytkowników — Wymagaj od użytkownika zresetowania hasła do firmy Google (wymaga połączonego połączonego wystąpienia obszaru roboczego Google)
— Wstrzymywanie użytkownika (wymaga połączonego połączonego wystąpienia obszaru roboczego Google)
— Powiadamianie użytkownika o alertach (za pośrednictwem Tożsamość Microsoft Entra)
— Wymagaj od użytkownika ponownego zalogowania się (za pośrednictwem Tożsamość Microsoft Entra)
— Wstrzymywanie użytkownika (za pośrednictwem Tożsamość Microsoft Entra)

Aby uzyskać więcej informacji na temat korygowania zagrożeń z aplikacji, zobacz Zarządzanie połączonymi aplikacjami.

Ochrona protokołu GCP w czasie rzeczywistym

Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi zabezpieczania i współpracy z użytkownikami zewnętrznymi oraz blokowania i ochrony pobierania poufnych danych na urządzenia niezarządzane lub ryzykowne.

Łączenie platformy Google Cloud Platform z Microsoft Defender for Cloud Apps

Ta sekcja zawiera instrukcje dotyczące łączenia Microsoft Defender for Cloud Apps z istniejącym kontem platformy Google Cloud Platform (GCP) przy użyciu interfejsów API łącznika. To połączenie zapewnia wgląd i kontrolę nad użyciem protokołu GCP. Aby uzyskać informacje o tym, jak Defender for Cloud Apps chroni protokół GCP, zobacz Ochrona protokołu GCP.

Zalecamy użycie dedykowanego projektu na potrzeby integracji i ograniczenie dostępu do projektu w celu utrzymania stabilnej integracji i zapobiegania usuwaniu/modyfikacjom procesu konfiguracji.

Uwaga

Instrukcje dotyczące łączenia środowiska GCP na potrzeby inspekcji są zgodne z zaleceniami firmy Google dotyczącymi używania zagregowanych dzienników. Integracja korzysta z usługi Google StackDriver i zużywa dodatkowe zasoby, które mogą mieć wpływ na rozliczenia. Zużyte zasoby to:

Połączenie inspekcji Defender for Cloud Apps importuje tylko dzienniki inspekcji aktywności Administracja; Dzienniki inspekcji dostępu do danych i zdarzeń systemowych nie są importowane. Aby uzyskać więcej informacji na temat dzienników GCP, zobacz Dzienniki inspekcji w chmurze.

Wymagania wstępne

Integrujący się użytkownik GCP musi mieć następujące uprawnienia:

  • IAM i edytowanie Administracja — poziom organizacji
  • Tworzenie i edytowanie projektu

Inspekcję zabezpieczeń GCP można połączyć z połączeniami Defender for Cloud Apps, aby uzyskać wgląd w korzystanie z aplikacji GCP i kontrolować je.

Konfigurowanie platformy Google Cloud Platform

Tworzenie dedykowanego projektu

Tworzenie dedykowanego projektu w usłudze GCP w organizacji w celu umożliwienia izolacji i stabilności integracji

  1. Zaloguj się do portalu GCP przy użyciu zintegrowanego konta użytkownika GCP.

  2. Wybierz pozycję Utwórz projekt , aby rozpocząć nowy projekt.

  3. Na ekranie Nowy projekt nadaj projektowi nazwę i wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający okno dialogowe tworzenia projektu GCP.

Włączanie wymaganych interfejsów API

  1. Przejdź do dedykowanego projektu.

  2. Przejdź do karty Biblioteka .

  3. Wyszukaj i wybierz pozycję Interfejs API rejestrowania w chmurze, a następnie na stronie interfejsu API wybierz pozycję WŁĄCZ.

  4. Wyszukaj i wybierz pozycję Cloud Pub/Sub API, a następnie na stronie interfejsu API wybierz pozycję WŁĄCZ.

    Uwaga

    Upewnij się, że nie wybrano interfejsu API Pub/Sub Lite.

Tworzenie dedykowanego konta usługi na potrzeby integracji inspekcji zabezpieczeń

  1. W obszarze Zarządzanie dostępem i tożsamościami & administratora wybierz pozycję Konta usług.

  2. Wybierz pozycję UTWÓRZ KONTO USŁUGI, aby utworzyć dedykowane konto usługi.

  3. Wprowadź nazwę konta, a następnie wybierz pozycję Utwórz.

  4. Określ rolęPub/Sub Administracja, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający rolę dodawania usługi IAM przez protokół GCP.

  5. Skopiuj wartość Email. Będzie ona potrzebna później.

    Zrzut ekranu przedstawiający okno dialogowe konta usługi GCP.

  6. W obszarze Zarządzanie dostępem i tożsamościami & administratora wybierz pozycję Zarządzanie dostępem i tożsamościami.

    1. Przełącz się na poziom organizacji.

    2. Wybierz pozycję DODAJ.

    3. W polu Nowe elementy członkowskie wklej skopiowane wcześniej wartości Email.

    4. Określ rolęZapisywanie konfiguracji dzienników , a następnie wybierz pozycję Zapisz.

      Zrzut ekranu przedstawiający okno dialogowe dodawania elementu członkowskiego.

Tworzenie klucza prywatnego dla dedykowanego konta usługi

  1. Przełącz się na poziom projektu.

  2. W obszarze Zarządzanie dostępem i tożsamościami & administratora wybierz pozycję Konta usług.

  3. Otwórz dedykowane konto usługi i wybierz pozycję Edytuj.

  4. Wybierz pozycję UTWÓRZ KLUCZ.

  5. Na ekranie Tworzenie klucza prywatnego wybierz pozycję JSON, a następnie wybierz pozycję UTWÓRZ.

    Zrzut ekranu przedstawiający okno dialogowe tworzenia klucza prywatnego.

    Uwaga

    Plik JSON, który zostanie pobrany na urządzenie później, będzie potrzebny.

Pobieranie identyfikatora organizacji

Zanotuj swój identyfikator organizacji. Będzie on potrzebny później. Aby uzyskać więcej informacji, zobacz Uzyskiwanie identyfikatora organizacji.

Zrzut ekranu przedstawiający okno dialogowe identyfikatora organizacji.

Łączenie inspekcji platformy Google Cloud Platform z usługą Defender for Cloud Apps

W tej procedurze opisano sposób dodawania szczegółów połączenia GCP w celu połączenia inspekcji platformy Google Cloud Platform z Defender for Cloud Apps.

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji.

  2. Aby podać poświadczenia łącznika GCP na stronie Łączniki aplikacji , wykonaj jedną z następujących czynności:

    Uwaga

    Zalecamy połączenie wystąpienia obszaru roboczego Google w celu uzyskania ujednoliconego zarządzania użytkownikami i zarządzania nimi. Jest to zalecane, nawet jeśli nie używasz żadnych produktów z obszaru roboczego Google, a użytkownicy GCP są zarządzane za pośrednictwem systemu zarządzania użytkownikami obszaru roboczego Google.

    Dla nowego łącznika

    1. Wybierz pozycję +Połącz aplikację, a następnie pozycję Google Cloud Platform.

      Łączenie z usługą GCP.

    2. W następnym oknie podaj nazwę łącznika, a następnie wybierz pozycję Dalej.

      Nazwa łącznika GCP.

    3. Na stronie Wprowadź szczegóły wykonaj następujące czynności, a następnie wybierz pozycję Prześlij.

      1. W polu Identyfikator organizacji wprowadź organizację, o którą zanotujesz wcześniej.
      2. W polu Plik klucza prywatnego przejdź do pobranego wcześniej pliku JSON.

      Połącz inspekcję zabezpieczeń aplikacji GCP dla nowego łącznika.

    Dla istniejącego łącznika

    1. Na liście łączników w wierszu, w którym zostanie wyświetlony łącznik GCP, wybierz pozycję Edytuj ustawienia.

      Zrzut ekranu przedstawiający stronę Połączone aplikacje z linkiem edytowanie inspekcji zabezpieczeń.

    2. Na stronie Wprowadź szczegóły wykonaj następujące czynności, a następnie wybierz pozycję Prześlij.

      1. W polu Identyfikator organizacji wprowadź organizację, o którą zanotujesz wcześniej.
      2. W polu Plik klucza prywatnego przejdź do pobranego wcześniej pliku JSON.

      Łączenie inspekcji zabezpieczeń aplikacji GCP dla istniejącego łącznika.

  3. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji. Upewnij się, że stan połączonego łącznika aplikacji to Połączony.

    Uwaga

    Defender for Cloud Apps utworzy zagregowany ujście eksportu (na poziomie organizacji), temat Pub/Sub i subskrypcję Pub/Sub przy użyciu konta usługi integracji w projekcie integracji.

    Zagregowane ujście eksportu służy do agregowania dzienników w całej organizacji GCP, a utworzony temat Pub/Sub jest używany jako miejsce docelowe. Defender for Cloud Apps subskrybuje ten temat za pośrednictwem subskrypcji Pub/Sub utworzonej w celu pobrania dzienników aktywności administratora w organizacji GCP.

Jeśli masz jakiekolwiek problemy z połączeniem aplikacji, zobacz Rozwiązywanie problemów z łącznikami aplikacji.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.