Dela via


Så här skyddar Defender för molnet Apps din Google Workspace-miljö

Som molnfillagrings- och samarbetsverktyg gör Google Workspace det möjligt för användarna att dela sina dokument i organisationen och partner på ett effektivt och effektivt sätt. Att använda Google Workspace kan exponera känsliga data inte bara internt, utan även för externa medarbetare, eller ännu värre göra dem offentligt tillgängliga via en delad länk. Sådana incidenter kan orsakas av skadliga aktörer eller av ovetande anställda. Google Workspace har också ett stort miljösystem från tredje part för att öka produktiviteten. Om du använder dessa appar kan din organisation utsättas för risken för skadliga appar eller användning av appar med för höga behörigheter.

Anslut google workspace to Defender för molnet Apps ger dig bättre insikter om användarnas aktiviteter, ger hotidentifiering med hjälp av maskininlärningsbaserade avvikelseidentifieringar, identifiering av informationsskydd (till exempel identifiering av extern informationsdelning), möjliggör automatiserade reparationskontroller och identifierar hot från aktiverade appar från tredje part i din organisation.

Huvudsakliga hot

  • Komprometterade konton och insiderhot
  • Dataläckage
  • Otillräcklig säkerhetsmedvetenhet
  • Skadliga appar från tredje part och Google-tillägg
  • Skadlig kod
  • Utpressningstrojaner
  • Ohanterad BYOD (Bring Your Own Device)

Så här skyddar Defender för molnet-appar din miljö

SaaS-säkerhetsstatushantering

Anslut Google Workspace för att automatiskt få säkerhetsrekommendationer i Microsoft Secure Score. I Säkerhetspoäng väljer du Rekommenderade åtgärder och filtrerar efter Produkt = Google-arbetsyta.

Google Workspace stöder säkerhetsrekommendationer för att aktivera MFA-tillämpning.

Mer information finns i:

Kontrollera Google Workspace med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ Name
Inbyggd princip för avvikelseidentifiering Aktivitet från anonyma IP-adresser
Aktivitet från sällan förekommande land
Aktivitet från misstänkta IP-adresser
Omöjlig resa
Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP)
Identifiering av skadlig kod
Flera misslyckade inloggningsförsök
Ovanliga administrativa aktiviteter
Mall för aktivitetsprincip Inloggning från en riskfylld IP-adress
Filprincipmall Identifiera en fil som delas med en obehörig domän
Identifiera en fil som delas med personliga e-postadresser
Identifiera filer med PII/PCI/PHI

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande styrningsåtgärder för Google Workspace för att åtgärda identifierade hot:

Typ Åtgärd
Datastyrning – Använd känslighetsetiketten för Microsoft Purview Information Protection
– Bevilja läsbehörighet till domän
– Gör en fil/mapp i Google Drive privat
– Minska offentlig åtkomst till fil/mapp
– Ta bort en medarbetare från en fil
– Ta bort känslighetsetiketten för Microsoft Purview Information Protection
– Ta bort externa medarbetare i fil/mapp
– Ta bort filredigerarens möjlighet att dela
– Ta bort offentlig åtkomst till fil/mapp
– Kräv att användaren återställer lösenordet till Google
– Skicka DLP-överträdelsesammandrag till filägare
– Skicka DLP-överträdelse till senaste filredigeraren
– Överföra filägarskap
– Papperskorgen
Användarstyrning – Pausa användare
– Meddela användaren vid avisering (via Microsoft Entra-ID)
– Kräv att användaren loggar in igen (via Microsoft Entra-ID)
– Pausa användare (via Microsoft Entra-ID)
OAuth-appstyrning – Återkalla OAuth-appbehörighet

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda Google Workspace i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Anslut Google Workspace till Microsoft Defender för molnet Apps

Det här avsnittet innehåller instruktioner för hur du ansluter Microsoft Defender för molnet-appar till ditt befintliga Google Workspace-konto med anslutnings-API:erna. Den här anslutningen ger dig insyn i och kontroll över användningen av Google Workspace. Information om hur Defender för molnet Apps skyddar Google Workspace finns i Skydda Google-arbetsyta.

Kommentar

Filhämtningsaktiviteter för Google Workspace visas inte i Defender för molnet Apps.

Konfigurera Google-arbetsyta

  1. Som superadministratör för Google Workspace loggar du in https://console.cloud.google.compå .

  2. Välj listrutan projekt i det övre menyfliksområdet och välj sedan Nytt projekt för att starta ett nytt projekt.

    New Project

  3. På sidan Nytt projekt namnger du projektet på följande sätt: Defender för molnet Appar och väljer Skapa.

    Name your project.

  4. När projektet har skapats väljer du det skapade projektet i det övre menyfliksområdet. Kopiera projektnumret. Du behöver det senare.

    Copy the project number.

  5. I navigeringsmenyn går du till API:er och tjänstebibliotek>. Aktivera följande API:er (använd sökfältet om API:et inte visas):

    • Admin SDK API
    • Google Drive-API
  6. I navigeringsmenyn går du till API:er och autentiseringsuppgifter för tjänster>och utför följande steg:

    1. Välj SKAPA AUTENTISERINGSUPPGIFTER.

      Select create credentials.

    2. Välj Tjänstkonto.

    3. Information om tjänstkonto: Ange namnet som Defender för molnet Appar och beskrivning som API-anslutningsapp från Defender för molnet-appar till ett Konto på Google-arbetsytan.

      Provide service account details.

    4. Välj SKAPA OCH FORTSÄTT.

    5. Under Bevilja det här tjänstkontot åtkomst till projektet för Roll väljer du Projektredigerare >och sedan Klar.

      Grant this service account access to project.

    6. Gå tillbaka till API:er och autentiseringsuppgifter för tjänster>i navigeringsmenyn.

    7. Under Tjänstkonton letar du upp och redigerar det tjänstkonto som du skapade tidigare genom att välja pennikonen.

      Select service account.

    8. Kopiera e-postadressen. Du behöver det senare.

    9. Gå till NYCKLAR från det övre menyfliksområdet.

      Navigate to keys.

    10. På menyn LÄGG TILL NYCKEL väljer du Skapa ny nyckel.

    11. Välj P12 och välj sedan SKAPA. Spara den nedladdade filen och lösenordet som krävs för att använda filen.

      Create key.

  7. I navigeringsmenyn går du till IAM- och administratörstjänstkonton>. Kopiera klient-ID:t som tilldelats det tjänstkonto som du just har skapat – du behöver det senare.

    Copy client ID.

  8. Gå till admin.google.com och gå till API-kontroller för säkerhetsåtkomst>och datakontroll>i navigeringsmenyn. Gör något av följande:

  9. Under Domänomfattande delegering väljer du HANTERA DOMÄNOMFATTANDE DELEGERING.

    Manage domain wide delegation.

  10. Välj Lägg till.

    1. I rutan Klient-ID anger du det klient-ID som du kopierade tidigare.

    2. I rutan OAuth-omfång anger du följande lista över nödvändiga omfång (kopiera texten och klistra in den i rutan):

      https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user
      
  11. Välj AUKTORISERA.

    Google Workspace authorize new client ID.

Konfigurera Defender för molnet-appar

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslut appar väljer du App Anslut orer.

  2. Om du vill ange anslutningsinformation för Google Workspace gör du något av följande under Anslutningsverktyg:

    För en Google Workspace-organisation som redan har en ansluten GCP-instans

    • I listan över anslutningsappar väljer du de tre punkterna i slutet av raden där GCP-instansen visas och väljer sedan Anslut Google Workspace-instans.

    För en Google Workspace-organisation som inte redan har en ansluten GCP-instans

    • På sidan Anslut appar väljer du +Anslut en app och väljer sedan Google Workspace.
  3. I fönstret Instansnamn ger du anslutningsappen ett namn. Välj sedan Nästa.

  4. I nyckeln Lägg till Google fyller du i följande information:

    Google Workspace Configuration in Defender for Cloud Apps.

    1. Ange tjänstkontots ID, e-postmeddelandet som du kopierade tidigare.

    2. Ange det projektnummer (app-ID) som du kopierade tidigare.

    3. Ladda upp P12-certifikatfilen som du sparade tidigare.

    4. Ange ett e-postmeddelande för administratören för google-arbetsytan.

    5. Om du har ett Google Workspace Business- eller Enterprise-konto markerar du kryssrutan. Information om vilka funktioner som är tillgängliga i Defender för molnet Appar för Google Workspace Business eller Enterprise finns i Aktivera omedelbar synlighet, skydd och styrningsåtgärder för dina appar.

    6. Välj Anslut Google-arbetsytor.

  5. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslut appar väljer du App Anslut orer. Kontrollera att statusen för den anslutna app-Anslut eller är Anslut.

När du har anslutit Google Workspace får du händelser i sju dagar före anslutningen.

När du har anslutit Google Workspace utför Defender för molnet Apps en fullständig genomsökning. Beroende på hur många filer och användare du har kan det ta en stund att slutföra den fullständiga genomsökningen. Om du vill aktivera genomsökning i nära realtid flyttas filer där aktiviteten identifieras till början av genomsökningskön. Till exempel genomsöks en fil som redigeras, uppdateras eller delas direkt. Detta gäller inte för filer som inte har ändrats i sig. Till exempel genomsöks filer som visas, förhandsgranskas, skrivs ut eller exporteras under den vanliga genomsökningen.

SaaS SSPM-data (Security Posture Management) (förhandsversion) visas i Microsoft Defender-portalen på sidan Säkerhetspoäng . Mer information finns i Hantering av säkerhetsstatus för SaaS-appar.

Om du har problem med att ansluta appen kan du läsa Felsöka app Anslut orer.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.