Quickstart: Ligue os seus projetos GCP ao Microsoft Defender for Cloud

Com cargas de trabalho em nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança na nuvem devem fazer o mesmo. O Microsoft Defender for Cloud protege cargas de trabalho em Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Para proteger os seus recursos baseados em GCP, pode ligar um projeto GCP com:

  • Conector de nuvem nativa (recomendado) - Fornece uma ligação sem agente à sua conta GCP que pode estender com o Defender para o Defender da Cloud planeia garantir os seus recursos GCP:

    • Cloud Security Posture Management (CSPM) avalia os seus recursos GCP de acordo com recomendações de segurança específicas do GCP e reflete a sua postura de segurança na sua pontuação segura. Os recursos são mostrados no Defender para o inventário de ativos da Cloud e são avaliados para o cumprimento de padrões incorporados específicos do GCP.
    • O Microsoft Defender for Servers traz a deteção de ameaças e defesas avançadas para casos de Windows e Linux VM suportados. Este plano inclui a licença integrada para Microsoft Defender para Endpoint, bases de segurança e avaliações de nível de SO, digitalização da avaliação de vulnerabilidades, controlos de aplicações adaptativos (AAC), monitorização da integridade dos ficheiros (FIM) e muito mais.
    • O Microsoft Defender for Containers traz deteção de ameaças e defesas avançadas para clusters do Google GKE suportados. Este plano inclui proteção de ameaças Kubernetes, análise comportamental, boas práticas de Kubernetes, recomendações de controlo de admissão, e muito mais.
    • O Microsoft Defender for SQL traz a deteção de ameaças e defesas avançadas para os seus Servidores SQL em execução em instâncias de motores de computação GCP, incluindo a verificação avançada de proteção de ameaças e avaliação de vulnerabilidades.
  • Conector de nuvem clássico - Requer configuração no seu projeto GCP para criar um utilizador que o Defender for Cloud pode usar para se ligar ao seu ambiente GCP. Se tiver conectores de nuvem clássicos, recomendamos que elimine estes conectores e utilize o conector nativo para voltar a ligar-se ao projeto. A utilização dos conectores clássicos e nativos pode produzir recomendações duplicadas.

Screenshot de projetos GCP mostrados no Microsoft Defender para o painel de visão geral da Cloud.

Disponibilidade

Aspeto Detalhes
Estado de libertação: Pré-visualizar
Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.
Preços: O plano do CSPM é gratuito.
O plano Defender for SQL é cobrado ao mesmo preço que os recursos da Azure.
O plano Defender para Servidores é faturado pelo mesmo preço que o plano Microsoft Defender para servidores para máquinas Azure. Se uma instância VM GCP não tiver o agente Azure Arc implantado, não será cobrado por essa máquina.
O plano Defender para Contentores é gratuito durante a pré-visualização. Após o que, será cobrado para gCP ao mesmo preço que para os recursos Azure.
Funções e permissões necessárias: Colaborador na assinatura Azure relevante
Proprietário da organização ou projeto GCP
Nuvens: Nuvens comerciais
Nacional (Azure Government, Azure China 21Vianet, Outro Gov)

Ligue os seus projetos GCP

Ao ligar os seus projetos GCP a subscrições específicas do Azure, considere a hierarquia de recursos do Google Cloud e estas diretrizes:

  • Pode ligar os seus projetos GCP ao Microsoft Defender for Cloud ao nível do projeto.
  • Pode ligar vários projetos a uma subscrição do Azure.
  • Pode ligar vários projetos a várias subscrições do Azure.

Siga os passos abaixo para criar o seu conector de nuvem GCP.

Para ligar o seu projeto GCP ao Defender for Cloud com um conector nativo:

  1. Inicie sessão no portal do Azure.

  2. Navegue para defenderas definições de Ambienteem Nuvem>.

  3. Selecione + Adicionar ambiente.

  4. Selecione a Plataforma Google Cloud.

    Screenshot da localização do botão ambiente em nuvem do Google.

  5. Insira todas as informações relevantes.

    Screenshot da página do conector Create GCP onde precisa de introduzir todas as informações relevantes.

    (Opcional) Se selecionar a Organização, será criado um projeto de gestão e um papel personalizado da organização no seu projeto GCP para o processo de embarque. O provisionamento automático será habilitado para o embarque de novos projetos.

  6. Selecione o Seguinte: Selecione Planos.

  7. Alterne os planos que pretende ligar à On. Por predefinição, serão fornecidos todos os pré-requisitos e componentes necessários. (Opcional) Aprenda a configurar cada plano.

    1. (Apenas contentores) Certifique-se de que preencheu os requisitos de rede para o plano Defender para Contentores.
  8. Selecione o Seguinte: Configurar o acesso.

  9. Selecione Copiar.

    Screenshot mostrando a localização do botão de cópia.

    Nota

    Para descobrir os recursos GCP e para o processo de autenticação, devem ser ativadas as seguintes APIs: iam.googleapis.com, sts.googleapis.com, cloudresourcemanager.googleapis.com. iamcredentials.googleapis.com. . compute.googleapis.com Se estas APIs não estiverem ativadas, vamos habilirá-las durante o processo de embarque executando o script GCloud.

  10. Selecione o GCP Cloud Shell >.

  11. O Cloud Shell do GCP vai abrir.

  12. Cole o guião no terminal Cloud Shell e execute-o.

  13. Assegurar a criação dos seguintes recursos:

    CSPM Defender para Contentores
    Papel de leitor de conta de serviço CSPM
    Microsoft Defender para a Federação de Identidade cloud
    Conjunto de identidades CSPM
    Conta de serviço Microsoft Defender para Servidores (quando o plano de servidores está ativado)
    Azure-Arc para servidores na conta de serviço de bordo (quando o Arco para o fornecimento automático de servidores está ativado)
    Função da conta de serviço do Microsoft Defender Containers
    Papel de conta de colecionador de dados do Microsoft Defender
    Microsoft Defender para piscina de identidade em nuvem

(Apenas servidores/SQL) Quando o fornecimento automático da Arc estiver ativado, copie o ID numérico único apresentado no final do Cloud Shell script.

Screenshot mostrando o ID numérico único a ser copiado.

Para localizar o ID numérico único no portal GCP, navegue para contas IAM & Administração>Service, localize Azure-Arc for servers onboarding na coluna Nome e copie o número único de ID numérico (OAuth 2 Client ID).

  1. Volte para o portal Microsoft Defender for Cloud.

  2. (Opcional) Se alterar algum dos nomes de qualquer um dos recursos, atualize os nomes nos campos apropriados.

  3. (Apenas servidores/SQL) Selecione Azure-Arc para servidores a bordo

    Screenshot mostrando o Azure-Arc para servidores na secção de embarque do ecrã.

    Introduza o ID exclusivo da conta de serviço, que é gerado automaticamente após a execução do Cloud Shell GCP.

  4. Selecione a Seguinte: Rever e gerar >.

  5. Certifique-se de que a informação apresentada está correta.

  6. Selecione o Criar.

Depois de criar um conector, iniciar-se-á uma verificação no seu ambiente GCP. Novas recomendações aparecerão no Defender para Cloud após 6 horas. Se ativar o fornecimento automático, o Azure Arc e quaisquer extensões ativadas serão instaladas automaticamente para cada novo recurso detetado.

(Opcional) Configurar planos selecionados

Por defeito, todos os planos são On. Pode desativar planos que não precisa.

Screenshot mostrando que todos os planos estão a alternar.

Configurar o plano dos servidores

Ligue as suas instâncias GCP VM ao Azure Arc de modo a ter visibilidade total ao Microsoft Defender para conteúdos de segurança dos Servidores.

O Microsoft Defender for Servers traz a deteção de ameaças e defesas avançadas para as suas instâncias de VMS GCP. Para ter visibilidade total para o Microsoft Defender para conteúdos de segurança dos Servidores, certifique-se de que tem os seguintes requisitos configurados:

  • Microsoft Defender para Servidores ativado na sua subscrição. Saiba como ativar os planos no artigo De segurança reforçada .

  • Azure Arc para servidores instalados nas suas instâncias VM.

    • (Recomendado) O fornecimento automático - O fornecimento automático é ativado por padrão no processo de embarque e requer permissões do proprietário na subscrição. O processo de fornecimento automático da Arc está a utilizar o agente configra do SO na extremidade GCP. Saiba mais sobre a disponibilidade do agente SO config em máquinas GCP.

    Nota

    O processo de fornecimento automático do Arc aproveita o gestor VM na sua Plataforma Google Cloud para impor políticas nos seus VMs através do agente conig os OS. Um VM com um agente ative oss incorrerá num custo de acordo com a GCP. Consulte a documentação técnica da GCP para ver como isso pode afetar a sua conta.

    O Microsoft Defender para Servidores não instala o agente conconfig OS a um VM que não o tenha instalado. No entanto, o Microsoft Defender for Servers permitirá a comunicação entre o agente SO config e o serviço OS Config se o agente já estiver instalado, mas não comunicando com o serviço.

    Isto pode alterar o agente de conge OS de inactive e para active e levará a custos adicionais.

    • Instalação manual - Pode ligar manualmente as suas instâncias VM ao Azure Arc para servidores. Os casos em projetos com o plano Defender for Servers habilitados que não estejam ligados ao Arc serão surgidos pela recomendação "As instâncias GCP VM devem ser ligadas ao Arco de Azure". Utilize a opção "Fix" oferecida nesta recomendação para instalar o Arco azul nas máquinas selecionadas.
  • Certifique-se de que preencheu os requisitos de rede para o Arco Azure.

  • As extensões adicionais devem ser ativadas nas máquinas ligadas ao Arco.

    • Microsoft Defender para Ponto Final

    • Solução VA (TVM/ Qualys)

    • Agente Log Analytics (LA) em máquinas Arc. Certifique-se de que o espaço de trabalho selecionado tem solução de segurança instalada.

      O agente de LA encontra-se atualmente configurado no nível de subscrição, de modo a que todas as contas e projetos multicloud (tanto da AWS como do GCP) na mesma subscrição herdarão as definições de subscrição no que diz respeito ao agente de LA.

    Saiba como configurar o fornecimento automático na sua subscrição.

    Nota

    O Defender for Servers atribui etiquetas aos seus recursos GCP para gerir o processo de fornecimento automático. Tem de ter estas etiquetas devidamente atribuídas aos seus recursos para que o Defender for Cloud possa gerir os seus recursos: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId, ProjectNumber

Para configurar o plano dos Servidores:

  1. Siga os passos para ligar o seu projeto GCP.

  2. Na seleção de planos Selecione configuração De visualização.

    Screenshot mostrando onde clicar para configurar o plano do Servidor.

  3. No ecrã de provisionamento Automático, ligue ou desligue os interruptores dependendo da sua necessidade.

    Screenshot mostrando os interruptores de toggle para o plano Servers.

    Nota

    Se o Arco Azul estiver desligado, terá de seguir o processo de instalação manual acima mencionado.

  4. Selecione Guardar.

  5. Continue a partir do passo número 8 das instruções de projetos do GCP .

Configure o plano de bases de dados

Ligue as suas instâncias GCP VM ao Azure Arc de modo a ter visibilidade total ao Microsoft Defender para conteúdos de segurança SQL.

O Microsoft Defender for SQL traz a deteção de ameaças e avaliação de vulnerabilidade às suas instâncias de VM GCP. Para ter visibilidade total ao Microsoft Defender para conteúdos de segurança SQL, certifique-se de que tem os seguintes requisitos configurados:

  • Servidores MICROSOFT SQL no plano de máquinas ativados na sua subscrição. Saiba como ativar o plano no artigo De segurança reforçada .

  • Azure Arc para servidores instalados nas suas instâncias VM.

    • (Recomendado) O fornecimento automático - O fornecimento automático é ativado por padrão no processo de embarque e requer permissões do proprietário na subscrição. O processo de fornecimento automático da Arc está a utilizar o agente configra do SO na extremidade GCP. Saiba mais sobre a disponibilidade do agente SO config em máquinas GCP.

    Nota

    O processo de fornecimento automático do Arc aproveita o gestor VM na sua Plataforma Google Cloud, para impor políticas nos seus VMs através do agente conig OS. Um VM com um agente ative oss incorrerá num custo de acordo com a GCP. Consulte a documentação técnica da GCP para ver como isso pode afetar a sua conta.

    O Microsoft Defender para Servidores não instala o agente conconfig OS a um VM que não o tenha instalado. No entanto, o Microsoft Defender for Servers permitirá a comunicação entre o agente SO config e o serviço OS Config se o agente já estiver instalado, mas não comunicando com o serviço.

    Isto pode alterar o agente de conge OS de inactive e para active e levará a custos adicionais.

  • As extensões adicionais devem ser ativadas nas máquinas ligadas ao Arco.

    • Servidores SQL em máquinas. Certifique-se de que o plano está ativado na sua subscrição.

    • Agente Log Analytics (LA) em máquinas Arc. Certifique-se de que o espaço de trabalho selecionado tem solução de segurança instalada.

      O agente de LA e os servidores SQL no plano de máquinas estão atualmente configurados no nível de subscrição, de modo que todas as contas e projetos multicloud (tanto da AWS como do GCP) sob a mesma subscrição herdarão as definições de subscrição e poderão resultar em custos adicionais.

    Saiba como configurar o fornecimento automático na sua subscrição.

    Nota

    O Defender for SQL atribui etiquetas aos seus recursos GCP para gerir o processo de fornecimento automático. Tem de ter estas etiquetas devidamente atribuídas aos seus recursos para que o Defender for Cloud possa gerir os seus recursos: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId, ProjectNumber

  • Descoberta e registo automático do servidor SQL. Ativar estas definições para permitir a descoberta automática e o registo de servidores SQL, fornecendo inventário e gestão de ativos SQL centralizados.

Para configurar o plano de bases de dados:

  1. Siga os passos para ligar o seu projeto GCP.

  2. No ecrã de planos Select selecione Configurar.

    Screenshot mostrando onde clicar para configurar o plano Base de Dados.

  3. No ecrã de provisionamento Automático, ligue ou desligue os interruptores dependendo da sua necessidade.

    Screenshot mostrando os interruptores de alternância para o plano Base de Dados.

    Nota

    Se o Arco Azul estiver desligado, terá de seguir o processo de instalação manual acima mencionado.

  4. Selecione Guardar.

  5. Continue a partir do passo número 8 das instruções de projetos do GCP .

Configure o plano de contentores

O Microsoft Defender for Containers traz deteção de ameaças e defesas avançadas para os seus clusters GCP GKE Standard. Para obter o valor de segurança total do Defender para contentores e para proteger totalmente os clusters GCP, certifique-se de que tem os seguintes requisitos configurados:

  • Registos de auditoria da Kubernetes para Defender para Cloud - Ativado por padrão. Esta configuração está disponível apenas a nível de projeto GCP. Isto fornece a recolha sem agente dos dados de registo de auditoria através do GCP Cloud Logging para o Microsoft Defender for Cloud backend para uma análise mais aprofundada.
  • Kubernetes ativado por Azure Arc, a extensão do Defender e a extensão Azure Policy - Ativada por padrão. Pode instalar Kubernetes ativados pelo Arco Azure e as suas extensões nos seus clusters GKE de 3 maneiras diferentes:
    • (Recomendado) Ativar o Defensor de Auto-provisionamento de contentores ao nível do projeto, conforme explicado nas instruções abaixo.
    • Recomendações do Defender para cloud, para por instalação de cluster, que aparecerão na página microsoft Defender for Cloud's Recommendations. Saiba como implementar a solução em clusters específicos.
    • Instalação manual para Kubernetes e extensõesativadas pelo Arco.

Nota

Se optar por desativar as opções de configuração disponíveis, nenhum agente ou componente será implantado nos seus clusters. Saiba mais sobre a disponibilidade de recursos.

Para configurar o plano de Contentores:

  1. Siga os passos para ligar o seu projeto GCP.

  2. No ecrã de planos Select selecione Configurar.

    Screenshot mostrando onde clicar para configurar o plano de Recipientes.

  3. No ecrã de provisionamento Automático, alternar os interruptores ligados.

    Screenshot mostrando os interruptores de alternância para o plano de Recipientes.

  4. Selecione Guardar.

  5. Continue a partir do passo número 8 das instruções de projetos do GCP .

Remover conectores 'clássicos'

Se tiver conectores existentes criados com a experiência clássica dos conectores de nuvem, remova-os primeiro:

  1. Inicie sessão no portal do Azure.

  2. Navegue para defenderas definições de Ambienteem Nuvem>.

  3. Selecione a opção de voltar à experiência clássica dos conectores.

    Voltando à experiência clássica de conectores de nuvem no Defender for Cloud.

  4. Para cada conector, selecione o botão de três pontos no final da linha e selecione Delete.

Disponibilidade

Aspeto Detalhes
Estado de libertação: Disponibilidade geral (GA)
Preços: Requer Microsoft Defender para o Plano de Servidores 2
Funções e permissões necessárias: Proprietário ou Colaborador na assinatura Azure relevante
Nuvens: Nuvens comerciais
Nacional (Azure Government, Azure China 21Vianet)

Ligue o seu projeto GCP

Crie um conector para todas as organizações que pretende monitorizar do Defender for Cloud.

Ao ligar os seus projetos GCP a subscrições específicas do Azure, considere a hierarquia de recursos do Google Cloud e estas diretrizes:

  • Pode ligar os seus projetos GCP ao Defender for Cloud a nível de organização
  • Pode ligar várias organizações a uma subscrição do Azure
  • Pode ligar várias organizações a várias subscrições do Azure
  • Quando você conecta uma organização, todos os projetos dentro dessa organização são adicionados ao Defender para Cloud

Siga os passos abaixo para criar o seu conector de nuvem GCP.

Passo 1. Criar o Centro de Comando de Segurança GCP com Análise de Saúde de Segurança

Para todos os projetos da GCP na sua organização, deve também:

  1. Configurar o Centro de Comando de Segurança GCP utilizando estas instruções a partir da documentação do GCP.
  2. Ativar a Security Health Analytics utilizando estas instruções a partir da documentação do GCP.
  3. Verifique se há dados a fluir para o Centro de Comando de Segurança.

As instruções para ligar o ambiente GCP para configuração de segurança seguem as recomendações da Google para consumir recomendações de configuração de segurança. A integração alavanca o Google Security Command Center e irá consumir recursos adicionais que podem afetar a sua faturação.

Quando ativar pela primeira vez o Security Health Analytics, pode demorar várias horas para os dados estarem disponíveis.

Passo 2. Ativar o Centro de Comando de Segurança GCP API

  1. A partir da Biblioteca API da Consola cloud da Google, selecione cada projeto na organização que pretende ligar ao Microsoft Defender for Cloud.
  2. Na Biblioteca API, encontre e selecione o Centro de Comando de Segurança API.
  3. Na página da API, selecione ENABLE.

Saiba mais sobre o Centro de Comando de Segurança API.

Passo 3. Criar uma conta de serviço dedicada para a integração da configuração de segurança

  1. Na Consola GCP, selecione um projeto da organização em que está a criar a conta de serviço necessária.

    Nota

    Quando esta conta de serviço for adicionada ao nível da organização, será usada para aceder aos dados recolhidos pelo Security Command Center de todos os outros projetos habilitados na organização.

  2. Na secção de administração do IAM & do menu de navegação, selecione contas de Serviço.

  3. Selecione CREATE SERVICE ACCOUNT.

  4. Introduza um nome de conta e selecione Criar.

  5. Especifique o Papel como Defender para Cloud Administração Viewer e selecione Continue.

  6. O acesso dos utilizadores grant a esta secção de conta de serviço é opcional. Selecione Concluído.

  7. Copie o valor Email da conta de serviço criada e guarde-a para posterior utilização.

  8. Na secção de administração IAM & do menu de navegação, selecione IAM.

    1. Mude para o nível de organização.
    2. Selecione ADD.
    3. No campo Novos membros, cole o valor Email que copiou anteriormente.
    4. Especifique o papel de Defender para Cloud Administração Viewer e, em seguida, selecione Save. Definição das permissões GCP relevantes.

Passo 4: Criar uma chave privada para a conta de serviço dedicada

  1. Mude para o nível de projeto.
  2. Na secção de administração do IAM & do menu de navegação, selecione contas de Serviço.
  3. Abra a conta de serviço dedicada e selecione Editar.
  4. Na secção Chaves , selecione ADD KEY e, em seguida, Crie uma nova tecla.
  5. No ecrã de teclas privada Create, selecione JSON e, em seguida, selecione CREATE.
  6. Guarde este ficheiro JSON para utilização posterior.

Passo 5. Ligue o GCP ao Defender para a Nuvem

  1. A partir do menu Defender for Cloud, abra as definições de Ambiente e selecione a opção de voltar à experiência clássica dos conectores.

    Voltando à experiência clássica de conectores de nuvem no Defender for Cloud.

  2. Selecione adicionar projeto GCP.

  3. Na página de embarque:

    1. Validar a subscrição escolhida.
    2. No campo nome do Visor , introduza um nome de visualização para o conector.
    3. No campo de identificação da Organização , insira a identificação da sua organização. Se não sabe, consulte criar e gerir organizações.
    4. Na caixa de ficheiros Private , navegue no ficheiro JSON que descarregou no Passo 4. Crie uma chave privada para a conta de serviço dedicada.
  4. Selecione Seguinte

Passo 6. Confirmação

Quando o conector é criado com sucesso e o Centro de Comando de Segurança GCP foi configurado corretamente:

  • A norma CEI GCP será apresentada no Painel de Conformidade Regulamentar do Defender para a Cloud.
  • As recomendações de segurança para os seus recursos GCP aparecerão no portal Defender for Cloud e no painel de conformidade regulamentar 5-10 minutos após a conclusão do embarque: Recursos gCP e recomendações na página de recomendações do Defender para cloud

Monitorize os seus recursos GCP

Como mostrado acima, a página de recomendações de segurança do Microsoft Defender para a Cloud exibe os seus recursos GCP juntamente com os recursos do Azure e AWS para uma verdadeira visão multicloud.

Para ver todas as recomendações ativas para os seus recursos por tipo de recurso, utilize o Defender para a página de inventário de ativos da Cloud e filtre para o tipo de recurso GCP em que está interessado:

Filtro de tipo de recurso da página de inventário de ativos mostrando as opções de GCP

FAQ - Ligação de projetos GCP ao Microsoft Defender for Cloud

Existe alguma API para ligar os meus recursos GCP ao Defender for Cloud?

Sim. Para criar, editar ou eliminar o Defender para conectores cloud cloud com uma API REST, consulte os detalhes da API dos Conectores.

Passos seguintes

Ligar o seu projeto GCP faz parte da experiência multicloud disponível no Microsoft Defender for Cloud. Para obter informações relacionadas, consulte as seguintes páginas: