Defender for Cloud Apps 如何保护你的 Google Cloud Platform (GCP) 环境

Google Cloud Platform 是一家 IaaS 提供商,使组织能够在云中托管和管理其整个工作负载。 除了利用云中基础结构的好处外,组织最关键的资产可能会受到威胁。 暴露的资产包括具有潜在敏感信息的存储实例、运行某些关键应用程序的计算资源、端口以及允许访问组织的虚拟专用网。

将 GCP 连接到 Defender for Cloud Apps,通过监视管理和登录活动、通知可能的暴力攻击、恶意使用特权用户帐户和异常删除虚拟机,来帮助你保护资产并检测潜在威胁。

主要威胁

  • 滥用云资源
  • 帐户被盗用和内部威胁
  • 数据泄露
  • 资源配置错误和访问控制不足

Defender for Cloud Apps 如何保护你的环境

使用内置策略和策略模板控制 GCP

可以使用以下内置策略模板来检测潜在威胁并向你发出通知:

类型 名称
内置异常情况检测策略 来自匿名 IP 地址的活动
来自不常见国家/地区的活动
来自可疑 IP 地址的活动
不可能旅行
已离职用户执行的活动(需要 Microsoft Entra ID 作为 IdP)
多次失败的登录尝试
异常管理活动
多个删除虚拟机活动
异常的多个虚拟机创建活动(预览)
活动策略模板 计算引擎资源的更改
StackDriver 配置的更改
存储资源的更改
虚拟专用网的更改
从风险性 IP 地址登录

有关创建策略的详细信息,请参阅创建策略

自动执行治理控制

除了监视潜在威胁之外,你还可以应用并自动执行以下 GCP 治理操作,来修复检测到的威胁:

类型 操作
用户治理 - 要求用户向 Google 重置密码(需要连接已链接的 Google Workspace 实例)
- 暂停用户(需要连接已链接的 Google Workspace 实例)
- 发出警报时通知用户(通过 Microsoft Entra ID)
- 要求用户再次登录(通过 Microsoft Entra ID)
- 暂停用户(通过 Microsoft Entra ID)

有关修复应用威胁的更多信息,请参阅治理连接的应用

实时保护 GCP

查看保护外部用户并与之协作以及阻止和防止敏感数据下载到非管理的或有风险的设备的最佳做法。

将 Google Cloud Platform 连接到 Microsoft Defender for Cloud Apps

本部分提供有关使用连接器 API 将 Microsoft Defender for Cloud Apps 连接到现有 Google Cloud Platform (GCP) 帐户的说明。 通过此连接,可以实现对 GCP 使用的可见性和控制。 有关 Defender for Cloud Apps 如何保护 GCP 的信息,请参阅保护 GCP

我们建议使用专用项目进行集成,并限制对项目的访问,以保持稳定的集成,并防止删除/修改设置过程。

注意

连接 GCP 环境以进行审核的说明遵循 Google 关于使用聚合日志的建议。 此集成利用 Google StackDriver 并使用可能会影响计费的其他资源。 使用的资源包括:

Defender for Cloud Apps 审核连接仅导入管理员活动审核日志;数据访问和系统事件审核日志不会被导入。 有关 GCP 日志的详细信息,请参阅云审核日志

先决条件

集成 GCP 用户必须拥有以下权限:

  • IAM 和管理员编辑权限 - 组织级别
  • 项目创建和编辑权限

可以将 GCP 安全审核 连接到 Defender for Cloud Apps 连接,以便深入了解和控制 GCP 应用的使用。

配置 Google Cloud Platform

创建专用项目

在组织下的 GCP 中创建专用项目,以实现集成隔离和稳定性

  1. 使用集成的 GCP 用户帐户登录到 GCP 门户。

  2. 选择“创建项目”以开始新项目。

  3. 在“新项目”屏幕中,为项目命名,然后选择“创建”

    Screenshot showing GCP create project dialog.

启用所需的 API

  1. 切换到专用的项目。

  2. 转到“库”选项卡。

  3. 搜索并选择“云日志记录 API”,然后在“API”页上选择“启用”

  4. 搜索并选择“云 Pub/Sub API”,然后在“API”页上选择“启用”

    注意

    请确保不要选择“Pub/Sub 精简 API”

创建一个专用于安全审核集成的服务帐户

  1. 在 IAM 和管理员,选择“服务帐户”。

  2. 选择“创建服务帐户”以创建专用的服务帐户。

  3. 输入帐户名称,然后选择“创建”。

  4. 角色指定为 Pub/Sub 管理员,然后选择“保存”

    Screenshot showing GCP add IAM role.

  5. 复制电子邮件值,稍后将需要用到此值。

    Screenshot showing GCP service account dialog.

  6. 在 IAM 和管理员,选择 IAM

    1. 切换到组织级别。

    2. 选择“添加”

    3. 在“新成员”框中,粘贴之前复制的电子邮件值。

    4. 角色指定为日志配置编写器,然后选择“保存”

      Screenshot showing add member dialog.

为专用服务帐户创建私钥

  1. 切换到项目级别。

  2. 在 IAM 和管理员,选择“服务帐户”。

  3. 打开专用服务帐户,然后选择“编辑”

  4. 选择“创建密钥”

  5. 在“创建私钥”屏幕中,选择“JSON”,然后选择“创建”

    Screenshot showing create private key dialog.

    注意

    稍后你需要该下载到设备的 JSON 文件。

检索组织 ID

记下组织 ID,稍后你将需要用到此 ID。 有关详细信息,请参阅获取你的组织 ID

Screenshot showing organization ID dialog.

将 Google Cloud Platform 审核连接到 Defender for Cloud Apps

此过程介绍如何添加 GCP 连接详细信息,以将 Google Cloud Platform 审核连接到 Defender for Cloud Apps。

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”

  2. 在“应用连接器”页中,要提供 GCP 连接器凭证,请执行以下操作之一:

    注意

    建议连接你的 Google Workspace 实例,以获得统一的用户管理和治理。 即使不使用任何 Google Workspace 产品,且 GCP 用户通过 Google Workspace 用户管理系统进行管理,也建议这样做。

    对于新连接器

    1. 选择“+ 连接应用”,然后选择“Google Cloud Platform”

      Connect GCP.

    2. 在下一个窗口中,提供连接器的名称,然后选择“下一步”

      GCP connector name.

    3. 在“输入详细信息”页面,执行以下操作,然后选择“提交”

      1. 在“组织 ID”框中,输入之前记录的组织。
      2. 在“私钥文件”框中,浏览到之前下载的 JSON 文件。

      Connect GCP app security auditing for new connector.

    对于现有连接器

    1. 在连接器列表中显示 GCP 连接器的行上,选择“编辑设置”

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. 在“输入详细信息”页面,执行以下操作,然后选择“提交”

      1. 在“组织 ID”框中,输入之前记录的组织。
      2. 在“私钥文件”框中,浏览到之前下载的 JSON 文件。

      Connect GCP app security auditing for existing connector.

  3. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。 确保连接的应用连接器为已连接状态。

    注意

    Defender for Cloud Apps 将使用集成项目中的集成服务帐户创建聚合的导出接收器(组织级别)、Pub/Sub 主题以及 Pub/Sub 订阅。

    聚合导出接收器用于聚合 GCP 组织中的日志,且创建的 Pub/Sub 主题用作目标。 Defender for Cloud Apps 通过创建的 Pub/Sub 订阅来订阅本主题,以检索 GCP 组织中的管理员活动日志。

如果在连接应用时遇到问题,请参阅“排除应用连接器故障”

后续步骤

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证