Snabbstart: Ansluta dina GCP-projekt till Microsoft Defender för molnet

Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma. Microsoft Defender för molnet skyddar arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP).

För att skydda dina GCP-baserade resurser kan du ansluta ett GCP-projekt med antingen:

  • Intern molnanslutning (rekommenderas) – Tillhandahåller en agentlös anslutning till ditt GCP-konto som du kan utöka med Defender för molnets Defender-planer för att skydda dina GCP-resurser:

    • CsPM (Cloud Security Posture Management) utvärderar dina GCP-resurser enligt GCP-specifika säkerhetsrekommendationer och återspeglar din säkerhetsstatus i din säkerhetspoäng. Resurserna visas i Defender för molnets tillgångslager och utvärderas för kompatibilitet med inbyggda standarder som är specifika för GCP.
    • Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för virtuella Windows- och Linux-instanser som stöds. Den här planen innehåller den integrerade licensen för Microsoft Defender för Endpoint, säkerhetsbaslinjer och utvärderingar på operativsystemnivå, genomsökning av sårbarhetsbedömningar, anpassningsbara programkontroller (AAC), filintegritetsövervakning (FIM) med mera.
    • Microsoft Defender för containrar ger hotidentifiering och avancerat skydd till Google GKE-kluster som stöds. Den här planen omfattar Kubernetes-skydd mot hot, beteendeanalys, Kubernetes-metodtips, rekommendationer för antagningskontroll med mera.
    • Microsoft Defender för SQL ger hotidentifiering och avancerat skydd till dina SQL-servrar som körs på GCP-beräkningsmotorinstanser, inklusive avancerat skydd mot hot och genomsökning av sårbarhetsbedömning.
  • Klassisk molnanslutning – Kräver konfiguration i ditt GCP-projekt för att skapa en användare som Defender för molnet kan använda för att ansluta till din GCP-miljö. Om du har klassiska molnanslutningsprogram rekommenderar vi att du tar bort dessa anslutningsappar och använder den inbyggda anslutningsappen för att återansluta till projektet. Med både klassiska och interna anslutningsappar kan du skapa duplicerade rekommendationer.

Skärmbild av GCP-projekt som visas i Översiktsinstrumentpanelen för Microsoft Defender för molnet.

Tillgänglighet

Aspekt Information
Versionstillstånd: Förhandsgranskning
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för De Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Prissättning: CSPM-planen är kostnadsfri.
Defender för SQL-planen faktureras till samma pris som Azure-resurser.
Defender för servrar-planen faktureras till samma pris som Microsoft Defender for Servers-planen för Azure-datorer. Om en GCP VM-instans inte har distribuerat Azure Arc-agenten debiteras du inte för den datorn.
Defender for Containers-planen är kostnadsfri under förhandsversionen. Därefter debiteras den för GCP till samma pris som för Azure-resurser.
Nödvändiga roller och behörigheter: Deltagare i relevant Azure-prenumeration
Ägare i GCP-organisationen eller projektet
Moln: Kommersiella moln
National (Azure Government, Azure China 21Vianet, Other Gov)

Ansluta dina GCP-projekt

När du ansluter dina GCP-projekt till specifika Azure-prenumerationer bör du överväga Resurshierarkin för Google Cloud och dessa riktlinjer:

  • Du kan ansluta dina GCP-projekt till Microsoft Defender för molnet på projektnivå.
  • Du kan ansluta flera projekt till en Azure-prenumeration.
  • Du kan ansluta flera projekt till flera Azure-prenumerationer.

Följ stegen nedan för att skapa din GCP-molnanslutning.

Så här ansluter du ditt GCP-projekt till Defender för molnet med en intern anslutningsapp:

  1. Logga in på Azure-portalen.

  2. Gå till Inställningar för Defender för molnmiljö>.

  3. Välj + Lägg till miljö.

  4. Välj Google Cloud Platform.

    Skärmbild av platsen för knappen Googles molnmiljö.

  5. Ange all relevant information.

    Skärmbild av sidan Skapa GCP-anslutningsapp där du behöver ange all relevant information.

    (Valfritt) Om du väljer Organisation skapas ett hanteringsprojekt och en anpassad roll för organisationen i ditt GCP-projekt för registreringsprocessen. Automatisk etablering aktiveras för registrering av nya projekt.

  6. Välj Nästa: Välj Planer.

  7. Växla de planer som du vill ansluta till . Som standard etableras alla nödvändiga krav och komponenter. (Valfritt) Lär dig hur du konfigurerar varje plan.

    1. (Endast containrar) Kontrollera att du har uppfyllt nätverkskraven för Defender for Containers-planen.
  8. Välj Nästa: Konfigurera åtkomst.

  9. Välj Kopiera.

    Skärmbild som visar platsen för kopieringsknappen.

    Anteckning

    För att identifiera GCP-resurser och för autentiseringsprocessen måste följande API:er vara aktiverade: iam.googleapis.com, sts.googleapis.com, cloudresourcemanager.googleapis.com, iamcredentials.googleapis.com, compute.googleapis.com. Om dessa API:er inte är aktiverade aktiverar vi dem under registreringsprocessen genom att köra GCloud-skriptet.

  10. Välj GCP-Cloud Shell >.

  11. GCP-Cloud Shell öppnas.

  12. Klistra in skriptet i Cloud Shell-terminalen och kör det.

  13. Kontrollera att följande resurser har skapats:

    CSPM Defender for Containers
    CSPM-tjänstkontots läsarroll
    Identitetsfederation för Microsoft Defender för molnet
    CSPM-identitetspool
    Tjänstkonto för Microsoft Defender för servrar (när serverplanen är aktiverad)
    Azure-Arc för servrar som registrerar tjänstkonto (när automatisk etablering av Arc för servrar är aktiverat)
    Tjänstkontorollen för Microsoft Defender Containers
    Microsoft Defender Data Collector-tjänstkontoroll
    Microsoft Defender för molnidentitetspool

(Endast servrar/SQL) När automatisk Arc-etablering är aktiverat kopierar du det unika numeriska ID:t som visas i slutet av Cloud Shell skriptet.

Skärmbild som visar det unika numeriska ID som ska kopieras.

Om du vill hitta det unika numeriska ID:t i GCP-portalen går du till IAM & Admin>Service-konton, letar upp Azure-Arc for servers onboarding i kolumnen Namn och kopierar det unika numeriska ID-numret (OAuth 2-klient-ID).

  1. Gå tillbaka till Microsoft Defender för molnet-portalen.

  2. (Valfritt) Om du har ändrat något av namnen på någon av resurserna uppdaterar du namnen i lämpliga fält.

  3. (Endast servrar/SQL) Välj Azure-Arc för serverregistrering

    Skärmbild som visar avsnittet Azure-Arc för serverregistrering på skärmen.

    Ange det unika ID:t för tjänstkontot, som genereras automatiskt när GCP-Cloud Shell har körts.

  4. Välj Nästa: Granska och generera >.

  5. Kontrollera att informationen som presenteras är korrekt.

  6. Välj Skapa.

När du har skapat en anslutningsapp startar en genomsökning i GCP-miljön. Nya rekommendationer visas i Defender för molnet efter upp till 6 timmar. Om du har aktiverat automatisk etablering installeras Azure Arc och eventuella aktiverade tillägg automatiskt för varje ny resurs som identifieras.

(Valfritt) Konfigurera valda planer

Som standard är Onalla planer . Du kan inaktivera planer som du inte behöver.

Skärmbild som visar att alla planer är aktiverade.

Konfigurera serverplanen

Anslut dina GCP VM-instanser till Azure Arc för att få fullständig insyn i säkerhetsinnehållet i Microsoft Defender för servrar.

Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina GCP VMs-instanser. Om du vill ha fullständig insyn i säkerhetsinnehållet i Microsoft Defender för servrar kontrollerar du att du har följande krav konfigurerade:

  • Microsoft Defender för servrar aktiverat i din prenumeration. Lär dig hur du aktiverar planer i artikeln Aktivera utökade säkerhetsfunktioner .

  • Azure Arc för servrar som är installerade på dina VM-instanser.

    • (Rekommenderas) Automatisk etablering – Automatisk etablering är aktiverat som standard i registreringsprocessen och kräver ägarbehörigheter för prenumerationen. Processen för automatisk arc-etablering använder operativsystemets konfigurationsagent på GCP-slut. Läs mer om os-konfigurationsagentens tillgänglighet på GCP-datorer.

    Anteckning

    Processen för automatisk arc-etablering utnyttjar VM-hanteraren på din Google Cloud Platform för att framtvinga principer på dina virtuella datorer via OS-konfigurationsagenten. En virtuell dator med en aktiv OS-agent medför en kostnad enligt GCP. Se GCP:s tekniska dokumentation för att se hur detta kan påverka ditt konto.

    Microsoft Defender för servrar installerar inte OS-konfigurationsagenten på en virtuell dator som inte har den installerad. Microsoft Defender för servrar möjliggör dock kommunikation mellan OS-konfigurationsagenten och OS-konfigurationstjänsten om agenten redan är installerad men inte kommunicerar med tjänsten.

    Detta kan ändra OS-konfigurationsagenten från inactive till active och leder till ytterligare kostnader.

    • Manuell installation – Du kan manuellt ansluta dina virtuella datorinstanser till Azure Arc för servrar. Instanser i projekt med Defender for Servers-planen aktiverad som inte är anslutna till Arc kommer att visas av rekommendationen "GCP VM-instanser ska anslutas till Azure Arc". Använd alternativet "Åtgärda" som erbjuds i den här rekommendationen för att installera Azure Arc på de valda datorerna.
  • Kontrollera att du har uppfyllt nätverkskraven för Azure Arc.

  • Ytterligare tillägg ska aktiveras på arc-anslutna datorer.

    • Microsoft Defender för slutpunkter

    • VA-lösning (TVM/Qualys)

    • Log Analytics-agent (LA) på Arc-datorer. Kontrollera att säkerhetslösningen är installerad på den valda arbetsytan.

      LA-agenten är för närvarande konfigurerad på prenumerationsnivå, så att alla konton och projekt med flera moln (från både AWS och GCP) under samma prenumeration ärver prenumerationsinställningarna med avseende på LA-agenten.

    Lär dig hur du konfigurerar automatisk etablering för din prenumeration.

    Anteckning

    Defender for Servers tilldelar taggar till dina GCP-resurser för att hantera den automatiska etableringsprocessen. Du måste ha dessa taggar korrekt tilldelade till dina resurser så att Defender för molnet kan hantera dina resurser: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId, ProjectNumber

Så här konfigurerar du serverplanen:

  1. Följ stegen för att ansluta ditt GCP-projekt.

  2. På skärmen Välj planer väljer du Visa konfiguration.

    Skärmbild som visar var du klickar för att konfigurera serverplanen.

  3. På skärmen Automatisk etablering aktiverar eller inaktiverar du växlarna beroende på dina behov.

    Skärmbild som visar växlingsknapparna för serverplanen.

    Anteckning

    Om Azure Arc är inaktiverat måste du följa den manuella installationsprocessen som nämns ovan.

  4. Välj Spara.

  5. Fortsätt från steg 8 i anvisningarna i Anslut dina GCP-projekt .

Konfigurera databasplanen

Anslut dina GCP VM-instanser till Azure Arc för att få fullständig insyn i Microsoft Defender för SQL-säkerhetsinnehåll.

Microsoft Defender för SQL ger hotidentifiering och sårbarhetsbedömning till dina GCP VM-instanser. Om du vill ha fullständig insyn i säkerhetsinnehållet i Microsoft Defender för SQL kontrollerar du att följande krav är konfigurerade:

  • Microsoft SQL-servrar på datorer har aktiverats för din prenumeration. Lär dig hur du aktiverar en plan i artikeln Aktivera utökade säkerhetsfunktioner .

  • Azure Arc för servrar som är installerade på dina VM-instanser.

    • (Rekommenderas) Automatisk etablering – Automatisk etablering är aktiverat som standard i registreringsprocessen och kräver ägarbehörigheter för prenumerationen. Processen för automatisk arc-etablering använder operativsystemets konfigurationsagent på GCP-slut. Läs mer om os-konfigurationsagentens tillgänglighet på GCP-datorer.

    Anteckning

    Processen för automatisk arc-etablering utnyttjar VM-hanteraren på din Google Cloud Platform för att framtvinga principer på dina virtuella datorer via OS-konfigurationsagenten. En virtuell dator med en aktiv OS-agent medför en kostnad enligt GCP. Se GCP:s tekniska dokumentation för att se hur detta kan påverka ditt konto.

    Microsoft Defender för servrar installerar inte OS-konfigurationsagenten på en virtuell dator som inte har den installerad. Microsoft Defender för servrar möjliggör dock kommunikation mellan OS-konfigurationsagenten och OS-konfigurationstjänsten om agenten redan är installerad men inte kommunicerar med tjänsten.

    Detta kan ändra OS-konfigurationsagenten från inactive till active och leder till ytterligare kostnader.

  • Ytterligare tillägg ska aktiveras på arc-anslutna datorer.

    • SQL-servrar på datorer. Se till att planen är aktiverad för din prenumeration.

    • Log Analytics-agent (LA) på Arc-datorer. Kontrollera att säkerhetslösningen är installerad på den valda arbetsytan.

      LA-agenten och SQL-servrarna på datorplanen är för närvarande konfigurerade på prenumerationsnivå, så att alla konton och projekt i flera moln (från både AWS och GCP) under samma prenumeration ärver prenumerationsinställningarna och kan resultera i ytterligare avgifter.

    Lär dig hur du konfigurerar automatisk etablering för din prenumeration.

    Anteckning

    Defender för SQL tilldelar taggar till dina GCP-resurser för att hantera den automatiska etableringsprocessen. Du måste ha dessa taggar korrekt tilldelade till dina resurser så att Defender för molnet kan hantera dina resurser: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId, ProjectNumber

  • Automatisk identifiering och registrering av SQL Server. Aktivera de här inställningarna för att tillåta automatisk identifiering och registrering av SQL-servrar, vilket ger centraliserad inventering och hantering av SQL-tillgångar.

Så här konfigurerar du databasplanen:

  1. Följ stegen för att ansluta ditt GCP-projekt.

  2. På skärmen Välj planer väljer du Konfigurera.

    Skärmbild som visar var du klickar för att konfigurera databasplanen.

  3. På skärmen Automatisk etablering aktiverar eller inaktiverar du växlarna beroende på dina behov.

    Skärmbild som visar växlingsknapparna för databasplanen.

    Anteckning

    Om Azure Arc är inaktiverat måste du följa den manuella installationsprocessen som nämns ovan.

  4. Välj Spara.

  5. Fortsätt från steg 8 i anvisningarna i Anslut dina GCP-projekt .

Konfigurera containerplanen

Microsoft Defender för containrar ger hotidentifiering och avancerat skydd till dina GCP GKE Standard-kluster. För att få ut det fullständiga säkerhetsvärdet från Defender för containrar och för att skydda GCP-kluster fullständigt kontrollerar du att följande krav har konfigurerats:

  • Kubernetes-granskningsloggar till Defender för molnet – aktiverat som standard. Den här konfigurationen är endast tillgänglig på GCP-projektnivå. Detta ger agentlös insamling av granskningsloggdata via GCP Cloud Logging till Microsoft Defender för molnet-serverdelen för ytterligare analys.
  • Azure Arc-aktiverat Kubernetes, Defender-tillägget och Azure Policy-tillägget – aktiverat som standard. Du kan installera Azure Arc-aktiverade Kubernetes och dess tillägg på dina GKE-kluster på tre olika sätt:

Anteckning

Om du väljer att inaktivera de tillgängliga konfigurationsalternativen distribueras inga agenter eller komponenter till dina kluster. Läs mer om funktionstillgänglighet.

Så här konfigurerar du containerplanen:

  1. Följ stegen för att ansluta ditt GCP-projekt.

  2. På skärmen Välj planer väljer du Konfigurera.

    Skärmbild som visar var du klickar för att konfigurera containerplanen.

  3. På skärmen Automatisk etablering växlar du växlarna .

    Skärmbild som visar växlingsknapparna för containerplanen.

  4. Välj Spara.

  5. Fortsätt från steg 8 i anvisningarna i Anslut dina GCP-projekt .

Ta bort "klassiska" anslutningsappar

Om du har några befintliga anslutningsappar som skapats med den klassiska molnanslutningsupplevelsen tar du bort dem först:

  1. Logga in på Azure-portalen.

  2. Gå tillInställningarför Defender för molnmiljö>.

  3. Välj alternativet för att växla tillbaka till den klassiska anslutningsfunktionen.

    Växla tillbaka till den klassiska molnanslutningsupplevelsen i Defender för molnet.

  4. För varje anslutningsapp väljer du knappen med tre punkter i slutet av raden och väljer Ta bort.

Tillgänglighet

Aspekt Information
Versionstillstånd: Allmän tillgänglighet (GA)
Prissättning: Kräver Microsoft Defender för servrar, abonnemang 2
Nödvändiga roller och behörigheter: Ägare eller deltagare i relevant Azure-prenumeration
Moln: Kommersiella moln
National (Azure Government, Azure China 21Vianet)

Ansluta ditt GCP-projekt

Skapa en anslutningsapp för varje organisation som du vill övervaka från Defender för molnet.

När du ansluter dina GCP-projekt till specifika Azure-prenumerationer bör du överväga Resurshierarkin för Google Cloud och följande riktlinjer:

  • Du kan ansluta dina GCP-projekt till Defender för molnet på organisationsnivå
  • Du kan ansluta flera organisationer till en Azure-prenumeration
  • Du kan ansluta flera organisationer till flera Azure-prenumerationer
  • När du ansluter en organisation läggs alla projekt i den organisationen till i Defender för molnet

Följ stegen nedan för att skapa din GCP-molnanslutning.

Steg 1. Konfigurera GCP Security Command Center med Security Health Analytics

För alla GCP-projekt i din organisation måste du också:

  1. Konfigurera GCP Security Command Center med hjälp av de här anvisningarna i GCP-dokumentationen.
  2. Aktivera Security Health Analytics med hjälp av de här anvisningarna i GCP-dokumentationen.
  3. Kontrollera att data flödar till Security Command Center.

Anvisningarna för att ansluta din GCP-miljö för säkerhetskonfiguration följer Googles rekommendationer för användning av säkerhetskonfigurationsrekommendationer. Integreringen utnyttjar Google Security Command Center och förbrukar ytterligare resurser som kan påverka din fakturering.

När du först aktiverar Security Health Analytics kan det ta flera timmar innan data är tillgängliga.

Steg 2. Aktivera API för GCP Security Command Center

  1. Från Googles API-bibliotek för molnkonsolen väljer du varje projekt i organisationen som du vill ansluta till Microsoft Defender för molnet.
  2. Leta reda på och välj Security Command Center API i API-biblioteket.
  3. På API:ets sida väljer du AKTIVERA.

Läs mer om API:et för Security Command Center.

Steg 3. Skapa ett dedikerat tjänstkonto för integrering av säkerhetskonfiguration

  1. I GCP-konsolen väljer du ett projekt från organisationen där du skapar det nödvändiga tjänstkontot.

    Anteckning

    När det här tjänstkontot läggs till på organisationsnivå används det för att komma åt data som samlas in av Security Command Center från alla andra aktiverade projekt i organisationen.

  2. I avsnittet IAM-administratör & på navigeringsmenyn väljer du Tjänstkonton.

  3. Välj SKAPA TJÄNSTKONTO.

  4. Ange ett kontonamn och välj Skapa.

  5. Ange Rollen som Defender för molnet Admin Viewer och välj Fortsätt.

  6. Avsnittet Bevilja användare åtkomst till det här tjänstkontot är valfritt. Välj Klar.

  7. Kopiera Email värdet för det skapade tjänstkontot och spara det för senare användning.

  8. I avsnittet IAM-administratör & på navigeringsmenyn väljer du IAM.

    1. Växla till organisationsnivå.
    2. Välj LÄGG TILL.
    3. I fältet Nya medlemmar klistrar du in värdet Email som du kopierade tidigare.
    4. Ange rollen som Defender for Cloud Admin Viewer och välj sedan Spara. Ange relevanta GCP-behörigheter.

Steg 4. Skapa en privat nyckel för det dedikerade tjänstkontot

  1. Växla till projektnivå.
  2. I avsnittet IAM-administratör & på navigeringsmenyn väljer du Tjänstkonton.
  3. Öppna det dedikerade tjänstkontot och välj Redigera.
  4. I avsnittet Nycklar väljer du LÄGG TILL NYCKEL och sedan Skapa ny nyckel.
  5. På skärmen Skapa privat nyckel väljer du JSON och sedan SKAPA.
  6. Spara den här JSON-filen för senare användning.

Steg 5. Ansluta GCP till Defender för molnet

  1. Öppna Miljöinställningar i Defender för molnets meny och välj alternativet för att växla tillbaka till den klassiska anslutningsupplevelsen.

    Växla tillbaka till den klassiska molnanslutningsupplevelsen i Defender för molnet.

  2. Välj Lägg till GCP-projekt.

  3. På registreringssidan:

    1. Verifiera den valda prenumerationen.
    2. I fältet Visningsnamn anger du ett visningsnamn för anslutningsappen.
    3. I fältet Organisations-ID anger du organisationens ID. Om du inte känner till det kan du läsa Skapa och hantera organisationer.
    4. I rutan Privat nyckel bläddrar du till JSON-filen som du laddade ned i steg 4. Skapa en privat nyckel för det dedikerade tjänstkontot.
  4. Välj Nästa

Steg 6. Bekräftelse

När anslutningsappen har skapats och GCP Security Command Center har konfigurerats korrekt:

  • GCP CIS-standarden visas på instrumentpanelen för regelefterlevnad i Defender för molnet.
  • Säkerhetsrekommendationer för dina GCP-resurser visas i Defender för molnet-portalen och instrumentpanelen för regelefterlevnad 5–10 minuter efter att registreringen har slutförts: GCP-resurser och rekommendationer på rekommendationersidan för Defender för molnet

Övervaka dina GCP-resurser

Som du ser ovan visar microsoft Defender för molnets säkerhetsrekommendationer dina GCP-resurser tillsammans med dina Azure- och AWS-resurser för en sann vy över flera moln.

Om du vill visa alla aktiva rekommendationer för dina resurser efter resurstyp använder du defender för molnets tillgångsinventeringssida och filtrerar efter den GCP-resurstyp som du är intresserad av:

Resurstypsfiltret för sidan Tillgångsinventering visar GCP-alternativen

Vanliga frågor och svar – Ansluta GCP-projekt till Microsoft Defender för molnet

Finns det något API för att ansluta mina GCP-resurser till Defender för molnet?

Ja. Information om hur du skapar, redigerar eller tar bort Defender for Cloud-molnanslutningar med ett REST-API finns i informationen om API:et för anslutningsappar.

Nästa steg

Att ansluta ditt GCP-projekt är en del av den flermolnsupplevelse som är tillgänglig i Microsoft Defender för molnet. Relaterad information finns på följande sidor: