Como o Defender para Aplicativos de Nuvem ajuda a proteger o ambiente do Google Workspace

Como ferramenta de colaboração e armazenamento de arquivos na nuvem, o Google Workspace permite que seus usuários compartilhem documentos entre sua organização e parceiros de forma simplificada e eficiente. Usar o Google Workspace pode expor seus dados confidenciais internamente e para colaboradores externos ou, pior ainda, disponibilizá-los publicamente por meio de um link compartilhado. Incidentes assim podem ser causados por atores maliciosos ou por funcionários desatentos. O Google Workspace também fornece um grande ecossistema de aplicativos de terceiros para ajudar a aumentar a produtividade. Usar esses aplicativos pode expor sua organização ao risco de aplicativos maliciosos ou ao uso de aplicativos com permissões excessivas.

Conectar o Google Workspace ao Defender para Aplicativos de Nuvem fornece insights aprimorados sobre as atividades dos usuários, detecção de ameaças usando detecções de anomalias baseadas em aprendizado de máquina e detecções para proteção de informações (como a detecção de compartilhamento externo de informações), além de permitir controles de correção automatizados e detectar ameaças de aplicativos de terceiros habilitados na sua organização.

Principais ameaças

• Contas comprometidas e ameaças internas
• Vazamento de dados
• Consciência de segurança insuficiente
• Aplicativos maliciosos de terceiros e complementos do Google
• Malware
• Ransomware
• BYOD (traga seu próprio dispositivo) não gerenciado

Como o Defender para Aplicativos de Nuvem ajuda a proteger seu ambiente

• Detectar ameaças na nuvem, contas comprometidas e pessoas mal-intencionadas
• Descobrir, classificar, rotular e proteger dados regulamentados e confidenciais armazenados na nuvem
• Descobrir e gerenciar aplicativos OAuth que têm acesso ao seu ambiente
• Impor políticas de DLP e conformidade para dados armazenados na nuvem
• Limitar a exposição de dados compartilhados e impor políticas de colaboração
• Usar a trilha de auditoria das atividades para investigações forenses

Gerenciamento de postura de segurança SaaS

Conecte o Google Workspace para obter automaticamente recomendações de segurança no Microsoft Secure Score. Em Pontuação segura, selecione Ações recomendadas e filtre por produto = Google Workspace.

O Google Workspace oferece suporte a recomendações de segurança para ativar a imposição de MFA.

Para saber mais, veja:

• Gerenciamento de postura de segurança para aplicativos SaaS
• Microsoft Secure Score

Controlar o Google Workspace com políticas e modelos de políticas internos

Use os seguintes modelos de política internos para detectar e notificar sobre possíveis ameaças:

Tipo	Nome
Política interna de detecção de anomalias	Atividade de endereços IP anônimos Atividade de país pouco frequente Atividade de endereços IP suspeitos Viagem impossível Atividade executada pelo usuário encerrado (requer Microsoft Entra ID como IdP) Detecção de malware Várias tentativas de logon com falha Atividades administrativas incomuns
Modelo de política de atividade	Logon de um endereço IP com risco
Modelo de política de arquivos	Detectar um arquivo compartilhado com um domínio não autorizado Detectar um arquivo compartilhado com endereços de email pessoais Detectar arquivos com PII/PCI/PHI

Para obter mais informações sobre como criar políticas, consulte Criar uma política.

Automatize os controles de governança

Além de monitorar possíveis ameaças, você pode aplicar e automatizar as seguintes ações de governança do Google Workspace para corrigir as ameaças detectadas:

Tipo	Ação
Governança de dados	- Aplicar rótulo de confidencialidade da Proteção de Informações do Microsoft Purview - Conceder permissão de leitura ao domínio - Tornar privado um arquivo ou pasta no Google Drive - Reduzir o acesso público ao arquivo ou pasta - Remover um colaborador de um arquivo - Remover rótulo de confidencialidade da Proteção de Informações do Microsoft Purview - Remover colaboradores externos no arquivo ou pasta - Remover a capacidade de compartilhamento do editor de arquivos - Remover o acesso público ao arquivo ou pasta - Exigir que o usuário redefina a senha para o Google - Enviar resumo de violação de DLP para proprietários de arquivos - Enviar violação de DLP ao último editor de arquivos - Transferir a propriedade do arquivo - Jogar arquivo no lixo
Governança de usuário	- Suspender usuário - Notificar o usuário em alerta (via Microsoft Entra ID) - Exigir que o usuário inicie a sessão novamente (via Microsoft Entra ID) - Suspender usuário (via Microsoft Entra ID)
Governança do aplicativo OAuth	- Revogar permissão de aplicativo OAuth

Para obter mais informações sobre como corrigir ameaças de aplicativos, confira Controlando aplicativos conectados.

Proteja o Google Workspace em tempo real

Revise as nossas melhores práticas para proteger e colaborar com usuários externos e bloquear e proteger o download de dados confidenciais para dispositivos não gerenciados ou arriscados.

Conectar o Google Workspace ao Microsoft Defender para Aplicativos de Nuvem

Esta seção fornece instruções para conectar o Microsoft Defender for Cloud Apps à sua conta existente do Google Workspace usando as APIs do conector. Essa conexão fornece visibilidade e controle sobre o uso do Google Workspace. Para obter informações sobre como o Defender para Aplicativos de Nuvem protege o Google Workspace, consulte Proteger o Google Workspace.

Observação

As atividades de download de arquivos do Google Workspace não são exibidas no Defender para Aplicativos de Nuvem.

Azure Google Workspace

1. Como superadministrador do Google Workspace, inicie a sessão em https://console.cloud.google.com.

2. Selecione a lista suspensa do projeto na faixa de opções superior e clique em New Project para iniciar um novo projeto.

   

3. Na página New project, dê um nome ao seu projeto da seguinte maneira: Defender para Aplicativos de Nuvem e selecione Create.

   

4. Após a criação do projeto, selecione o projeto criado na faixa de opções superior. Copie o Número do projeto, você precisará dele mais tarde.

   

5. No menu de navegação, vá para APIs & Services>Library. Habilite as seguintes APIs (use a barra de pesquisa se a API não estiver listada):

   • API do SDK do administrador
   • API do Google Drive

6. No menu de navegação, vá para APIs & Services>Credentials e execute as seguintes etapas:

   1. Selecione CREATE CREDENTIALS.

      

   2. Selecione Service Account.

   3. Service account details: forneça um nome como Defender para Aplicativos de Nuvem e uma descrição como Conector de API do Defender para Aplicativos de Nuvem para uma conta do Google WorkSpace.

      

   4. Selecione CREATE AND CONTINUE.

   5. Em Grant this service account access to project, em Role, selecione Project > Editor e Done.

      

   6. No menu de navegação, retorne a APIs & Services>Credentials.

   7. Em Contas de Serviço, localize e edite a conta de serviço criada anteriormente selecionando o ícone de lápis.

      

   8. Defina o endereço de email. Você precisará dela mais tarde.

   9. Navegue até KEYS na faixa de opções superior.

      

   10. No menu ADD KEY, selecione Create new key.

   11. Selecione P12 e depois CREATE. Salve o arquivo baixado e a senha necessária para usar o arquivo.

       

7. No menu de navegação, vá para Contas do IAM & Admin>Service. Copie a ID do Cliente atribuída à conta de serviço que você acabou de criar. Você precisará dela mais tarde.

   

8. Acesse admin.google.com e, no menu de navegação, vá para Security>Access and data control>API Controls. Em seguida, faça isso:

9. Em Delegação em todo o domínio, selecione GERENCIAR DELEGAÇÃO EM TODO O DOMÍNIO.

   

10. Selecione Adicionar nova.

    1. Na caixa ID do cliente, insira a ID do cliente copiada anteriormente.

    2. Na caixa Escopos OAuth, insira a seguinte lista de escopos necessários (copie o texto e cole-o na caixa):

       https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user
       

11. Selecione Autorizar.

    

Configurar o Defender para Aplicativos de Nuvem

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos conectados, selecione Conectores de aplicativos.

2. Para fornecer os detalhes de conexão do Google Workspace, em Conectores de aplicativos, siga um dos procedimentos a seguir.

   Para uma organização do Google Workspace que já tenha uma instância do GCP conectada

   • Na lista de conectores, no final da linha em que a instância do GCP aparece, selecione as reticências e clique em Conectar instância do Google Workspace.

   Para uma organização do Google Workspace que ainda não tenha uma instância do GCP conectada

   • Na página Aplicativos conectados, selecione +Conectar um aplicativo e Google Workspace.

3. Na janela Nome da instância, dê um nome ao conector. Em seguida, selecione Avançar.

4. Na guia Adicionar chave do Google, preencha as informações a seguir.

   

   1. Insira a ID da conta de serviço, o Email copiado anteriormente.

   2. Insira o Número do projeto (ID do aplicativo) copiado anteriormente.

   3. Carregue o Certificado P12 salvo anteriormente.

   4. Insira um email de conta do administrador do seu administrador do Google Workspace.

   5. Se você tiver uma conta do Google Workspace Business ou Enterprise, marque a caixa de seleção. Para obter informações sobre quais recursos estão disponíveis no Defender para Aplicativos de Nuvem para o Google Workspace Business ou Enterprise, confira Habilitar ações de visibilidade, proteção e governança instantâneas para os aplicativos.

   6. Selecione Conectar o Google Workspaces.

5. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos conectados, selecione Conectores de aplicativos. Verifique se o status do Conector de Aplicativos conectado está como Conectado.

Depois de conectar o Google Workspace, você receberá eventos por sete dias antes da conexão.

Após conectar o Google Workspace, o Defender para Aplicativos de Nuvem realizará uma verificação completa. Dependendo de quantos arquivos e usuários você tiver, a verificação completa poderá levar algum tempo. Para habilitar a verificação quase em tempo real, os arquivos nos quais a atividade é detectada são movidos para o início da fila de verificação. Por exemplo, um arquivo editado, atualizado ou compartilhado é verificado imediatamente. Isso não é aplicável a arquivos que não são modificados por natureza. Por exemplo, os arquivos que são exibidos, visualizados, impressos ou exportados são verificados durante a verificação regular.

Os dados do gerenciamento da postura de segurança de SaaS (SSPM) (preview) são mostrados no portal do Microsoft Defender, na página Secure Score. Para obter mais informações, confira Gerenciamento de postura de segurança para aplicativos SaaS.

Se tiver problemas para conectar o aplicativo, confira Solução de problemas dos conectores de aplicativos.

Próximas etapas

Controlar aplicativos de nuvem com políticas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.