連線 GCP 專案與適用於雲端的 Microsoft Defender

  • 發行項

工作負載通常會跨越多個雲端平臺。 雲端安全性服務必須執行相同的動作。 適用於雲端的 Microsoft Defender 有助於保護Google Cloud Platform (GCP) 中的工作負載,但您需要設定它們與 適用於雲端的 Defender之間的連線。

此螢幕快照顯示 適用於雲端的 Defender 概觀儀錶板中顯示的 GCP 帳戶。

顯示 適用於雲端的 Defender 概觀儀錶板上所列 GCP 專案的螢幕快照。

GCP 授權設計

適用於雲端的 Microsoft Defender 與 GCP 之間的驗證程式是同盟驗證程式。

當您上線至 適用於雲端的 Defender 時,GCloud 範本會用來建立下列資源作為驗證程式的一部分:

  • 工作負載身分識別集區和提供者

  • 服務帳戶和原則系結

驗證程式的運作方式如下:

適用於雲端的 Defender GCP 連接器驗證程式的圖表。

  1. 適用於雲端的 Microsoft Defender 的 CSPM 服務會取得 Microsoft Entra 令牌。 令牌會使用 RS256 演算法由 Microsoft Entra ID 簽署,且有效期為 1 小時。

  2. Microsoft Entra 令牌會與Google的 STS 令牌交換。

  3. Google STS 會向工作負載識別提供者驗證令牌。 Microsoft Entra 令牌會傳送至 Google 的 STS,以向工作負載識別提供者驗證令牌。 然後會發生物件驗證,並簽署令牌。 接著,Google STS 令牌會傳回至 適用於雲端的 Defender 的 CSPM 服務。

  4. 適用於雲端的 Defender 的 CSPM 服務會使用 Google STS 令牌來模擬服務帳戶。 適用於雲端的 Defender 的 CSPM 會接收用來掃描專案的服務帳戶認證。

必要條件

若要完成本文中的程式,您需要:

  • Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以 註冊免費訂用帳戶。

  • 適用於雲端的 Microsoft Defender 在 Azure 訂用帳戶上設定。

  • 存取 GCP 專案。

  • 相關 Azure 訂用帳戶的參與者 許可權,以及 GCP 組織或項目的擁有者 許可權。

您可以在定價頁面上深入瞭解 適用於雲端的 Defender 定價

當您將 GCP 專案連線至特定 Azure 訂用帳戶時,請考慮 Google Cloud 資源階層 和下列指導方針:

  • 您可以將 GCP 專案連線到專案層級 適用於雲端的 Microsoft Defender
  • 您可以將多個項目連線到一個 Azure 訂用帳戶。
  • 您可以將多個項目連線到多個 Azure 訂用帳戶。

連線 GCP 專案

當您建立 GCP 專案與 適用於雲端的 Microsoft Defender 之間的安全性連線時,上線程式有四個部分。

專案詳細資料

在第一節中,您必須在 GCP 專案與 適用於雲端的 Defender 之間新增連線的基本屬性。

GCP 項目上線程式之組織詳細數據頁面的螢幕快照。

在這裡,您將連接器命名為 ,並選取訂用帳戶和資源群組,用來建立稱為安全性連接器的 ARM 樣本資源。 安全性連接器代表保存項目設定的組態資源。

選取您項目的計劃

輸入組織的詳細數據之後,您就可以選取要啟用的方案。

您可以為 GCP 專案啟用之可用方案的螢幕快照。

從這裡,您可以根據您想要接收的安全性值來決定要保護的資源。

設定專案的存取權

選取方案之後,您想要啟用,以及想要保護的資源,您必須設定 適用於雲端的 Defender 與 GCP 專案之間的存取權。

顯示設定存取權之部署選項和指示的螢幕快照。

在此步驟中,您可以找到必須在要上線之 GCP 專案上執行的 GCloud 腳本。 GCloud 文稿會根據您選取的上線計劃來產生。

GCloud 文稿會在 GCP 環境中建立所有必要的資源,讓 適用於雲端的 Defender 能夠運作並提供下列安全性值:

  • 工作負載身分識別集區
  • 工作負載識別提供者(每個方案)
  • 服務帳戶
  • 專案層級原則系結(服務帳戶只能存取特定專案)

檢閱併產生專案的連接器

上線的最後一個步驟是檢閱所有選取專案,並建立連接器。

檢閱和產生畫面的螢幕快照,其中已列出所有選取專案。

注意

必須啟用下列 API,才能探索您的 GCP 資源,並允許進行驗證程式:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com 如果您目前未啟用這些 API,您可以執行 GCloud 腳本,在上線程式期間啟用它們。

建立連接器之後,掃描會在 GCP 環境中啟動。 最多 6 小時之後,新的建議會出現在 適用於雲端的 Defender 中。 如果您已啟用自動布建,則會自動為每個新偵測到的資源安裝 Azure Arc 和任何已啟用的延伸模組。

連線 GCP 組織

與上線單一項目類似,在上線 GCP 組織時,適用於雲端的 Defender 為組織下的每個專案建立安全性連接器(除非排除特定專案)。

組織詳細資料

在第一節中,您必須新增 GCP 組織與 適用於雲端的 Defender 之間的連線基本屬性。

GCP 組織上線程式之組織詳細數據頁面的螢幕快照。

在這裡,您會為連接器命名,選取用來建立稱為安全性連接器之 ARM 範本資源的訂用帳戶和資源群組。 安全性連接器代表保存項目設定的組態資源。

您也會選取位置,並新增專案的組織標識碼。

當您上線組織時,您也可以選擇排除專案編號和資料夾識別碼。

選取您組織的方案

輸入組織的詳細數據之後,您就可以選取要啟用的方案。

您可以為 GCP 組織啟用可用方案的螢幕快照。

從這裡,您可以根據您想要接收的安全性值來決定要保護的資源。

設定組織的存取權

選取方案之後,您想要啟用,以及想要保護的資源,您必須設定 適用於雲端的 Defender 與 GCP 組織之間的存取權。

適用於雲端的 Defender與 GCP 組織之間設定存取畫面的螢幕快照。

當您將組織上線時,有一個區段包含管理專案詳細數據。 與其他 GCP 專案類似,組織也會被視為專案,並透過 適用於雲端的 Defender 來建立將組織連線到 適用於雲端的 Defender 所需的所有必要資源。

在 [管理項目詳細數據] 區段中,您可以選擇:

  • 為要包含在 GCloud 腳本中的 適用於雲端的 Defender 指定管理專案。
  • 提供現有專案的詳細數據,以作為管理專案搭配 適用於雲端的 Defender。

您必須決定最適合您組織架構的選項。 建議您為 適用於雲端的 Defender 建立專用專案。

GCloud 文稿會根據您選取的上線計劃來產生。 此文稿會在 GCP 環境中建立所有必要的資源,讓 適用於雲端的 Defender 能夠運作並提供下列安全性優點:

  • 工作負載身分識別集區
  • 每個方案的工作負載識別提供者
  • 自定義角色,授與 適用於雲端的 Defender 探索和取得上線組織下的專案存取權
  • 每個方案的服務帳戶
  • 自動布建服務的服務帳戶
  • 每個服務帳戶的組織層級原則系結
  • 管理專案層級的 API 啟用

某些 API 未直接與管理專案搭配使用。 相反地,API 會透過此項目進行驗證,並使用來自另一個專案的其中一個 API。 必須在管理項目上啟用 API。

檢閱併產生您組織的連接器

上線的最後一個步驟是檢閱所有選取專案,並建立連接器。

檢閱和產生畫面的螢幕快照,其中列出您組織的所有選取專案。

注意

必須啟用下列 API,才能探索您的 GCP 資源,並允許進行驗證程式:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com 如果您目前未啟用這些 API,您可以執行 GCloud 腳本,在上線程式期間啟用它們。

建立連接器之後,掃描會在 GCP 環境中啟動。 最多 6 小時之後,新的建議會出現在 適用於雲端的 Defender 中。 如果您已啟用自動布建,則會自動為每個新偵測到的資源安裝 Azure Arc 和任何已啟用的延伸模組。

選擇性:設定選取的方案

根據預設,所有方案都是 開啟。 您可以關閉不需要的計劃。

顯示針對所有方案開啟切換的螢幕快照。

設定適用於伺服器的 Defender 方案

適用於伺服器的 Microsoft Defender 會為您的 GCP 虛擬機器 (VM) 實例帶來威脅偵測和進階防禦。 若要完整瞭解適用於伺服器的 Microsoft Defender 安全性內容,請將 GCP VM 實例連線至 Azure Arc。如果您選擇適用於伺服器的 Microsoft Defender 方案,您需要:

  • 在您的訂用帳戶上啟用適用於伺服器的 Microsoft Defender。 瞭解如何在啟用增強式安全性功能啟用方案。

  • 安裝在 VM 實例上的 Azure Arc 伺服器。

建議您使用自動布建程式,在 VM 實例上安裝 Azure Arc。 自動布建預設會在上線程序中啟用,而且需要 訂用帳戶的擁有者 許可權。 Azure Arc 自動布建程式會在 GCP 端使用 OS 設定代理程式。 深入瞭解 GCP 電腦上 OS 設定代理程式的可用性。

Azure Arc 自動布建程式會使用 GCP 上的 VM 管理員,透過 OS 設定代理程式在您的 VM 上強制執行原則。 具有 作用中OS設定代理程式的 VM 會根據 GCP 產生成本。 若要查看此成本如何影響您的帳戶,請參閱 GCP 技術檔

適用於伺服器的 Microsoft Defender 不會將 OS 設定代理程式安裝到未安裝作業系統的 VM。 不過,如果已安裝代理程式,但未與服務通訊,則適用於伺服器的 Microsoft Defender 會啟用 OS 設定代理程式與 OS 組態服務之間的通訊。 此通訊可以將 OS 設定代理程式從 inactive 變更為 , active 並產生更多成本。

或者,您可以手動將 VM 實例連線到適用於伺服器的 Azure Arc。 已啟用未連線至 Azure Arc 之 Defender 方案的專案中,建議 GCP VM 實例應連線至 Azure Arc,以呈現這些實例。選取建議中的 [修正] 選項,以在選取的計算機上安裝 Azure Arc。

GCP 虛擬機的個別 Azure Arc 伺服器已不存在(且狀態 為已中斷連線或已過期的個別 Azure Arc 伺服器會在七天后移除。 此程式會移除無關的 Azure Arc 實體,以確保只會顯示與現有實例相關的 Azure Arc 伺服器。

請確定您符合 Azure Arc 的網路需求。

在 Azure Arc 連線的機器上啟用這些其他擴充功能:

  • 適用於端點的 Microsoft Defender
  • 弱點評估解決方案 (Microsoft Defender 弱點管理 或 Qualys)

適用於伺服器的 Defender 會將標籤指派給 Azure Arc GCP 資源,以管理自動布建程式。 您必須將這些標籤正確指派給資源,讓適用於伺服器的 Defender 可以管理您的資源:Cloud、、MDFCSecurityConnectorInstanceName、、MachineIdProjectIdProjectNumber

若要設定適用於伺服器的 Defender 方案:

  1. 請遵循步驟來連線您的 GCP 專案

  2. 在 [ 選取方案] 索引標籤上,選取 [ 設定]。

    顯示設定適用於伺服器之 Defender 方案的連結螢幕快照。

  3. 在 [ 自動布建組態 ] 窗格上,視您的需求而定,將切換切換為 [開啟 ] 或 [關閉]。

    顯示適用於伺服器之 Defender 方案的切換螢幕快照。

    如果 Azure Arc 代理程式關閉,您必須遵循先前所述的手動安裝程式。

  4. 選取 [儲存]。

  5. 請從 連線 GCP 專案指示的步驟 8 繼續進行。

設定適用於資料庫的 Defender 方案

若要完整瞭解適用於資料庫的 Microsoft Defender 安全性內容,請將 GCP VM 實例連線至 Azure Arc。

若要設定適用於資料庫的 Defender 方案:

  1. 請遵循步驟來連線您的 GCP 專案

  2. 在 [選取計劃] 索引標籤的 [資料庫] 中,選取 [設定]。

  3. 在 [ 方案組態 ] 窗格上,視您的需求而定,將切換開關切換為 [開啟 ] 或 [關閉]。

    顯示適用於資料庫之 Defender 方案的切換螢幕快照。

    如果 Azure Arc 的切換為 [關閉],您必須遵循稍早所述的手動安裝程式。

  4. 選取 [儲存]。

  5. 請從 連線 GCP 專案指示的步驟 8 繼續進行。

設定適用於容器的Defender方案

適用於容器的 Microsoft Defender 為您的 GCP Google Kubernetes Engine (GKE) 標準叢集帶來威脅偵測和進階防禦。 若要從適用於容器的 Defender 取得完整的安全性值,並完全保護 GCP 叢集,請確定您符合下列需求。

注意

  • Kubernetes 稽核記錄至 適用於雲端的 Defender:預設為啟用。 此設定僅適用於 GCP 專案層級。 它會透過 GCP 雲端記錄提供稽核記錄資料的無代理程式收集至 適用於雲端的 Microsoft Defender 後端,以進行進一步分析。 適用於容器的Defender需要控制平面稽核記錄,以提供 運行時間威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]。

    注意

    如果您停用此設定, Threat detection (control plane) 則會停用此功能。 深入瞭解 功能可用性

  • 自動布建適用於 Azure Arc 的 Defender 感測器,以及 Azure Arc 的自動布建 Azure 原則 延伸模組:預設為啟用。 您可以透過三種方式,在 GKE 叢集上安裝已啟用 Azure Arc 的 Kubernetes 及其擴充功能:

  • Kubernetes 的無代理程式探索提供 Kubernetes 叢集的 API 型探索。 若要啟用 Kubernetes 功能的無代理程式探索,請將設定切換為 [開啟]。

  • 無代理程式容器弱點評估會針對儲存在Google Container Registry (GCR) 和 Google Artifact Registry (GAR) 中的映像提供 弱點管理,並在 GKE 叢集上執行映像。 若要啟用 無代理程式容器弱點評估 功能,請將設定切換為 [開啟]。

若要設定適用於容器的 Defender 方案:

  1. 請遵循步驟來 連線您的 GCP 專案

  2. 在 [ 選取方案] 索引標籤上,選取 [ 設定]。 然後,在 [ 適用於容器的Defender] 組態 窗格上,將切換開關切換為 [開啟]。

    適用於雲端的 Defender 環境設定頁面的螢幕快照,其中顯示容器方案的設定。

  3. 選取 [儲存]。

  4. 請從 連線 GCP 專案指示的步驟 8 繼續進行。

設定Defender CSPM方案

如果您選擇 Microsoft Defender CSPM 方案,您需要:

深入瞭解如何 啟用Defender CSPM

若要設定 Defender CSPM 方案:

  1. 請遵循步驟來連線您的 GCP 專案

  2. 在 [ 選取方案] 索引標籤上,選取 [ 設定]。

    顯示設定Defender CSPM方案鏈接的螢幕快照。

  3. 在 [ 計劃組態 ] 窗格上,將切換開關切換為 [ 開啟 ] 或 [關閉]。 若要取得 Defender CSPM 的完整值,我們建議您將所有切換開關都開啟。

    顯示 Defender CSPM 切換的螢幕快照。

  4. 選取 [儲存]。

  5. 請從 連線 GCP 專案指示的步驟 8 繼續進行。

監視 GCP 資源

適用於雲端的 Defender 中的安全性建議頁面會顯示您的 GCP 資源,以及 Azure 和 AWS 資源,以取得真正的多重雲端檢視。

若要依資源類型檢視您資源的所有使用中建議,請使用 適用於雲端的 Defender 中的資產清查頁面,並篩選至您感興趣的 GCP 資源類型。

資產清查頁面資源類型篩選中 GCP 選項的螢幕快照。

注意

由於 Log Analytics 代理程式(也稱為 MMA)將於 2024 年 8 月淘汰,目前相依的所有 Defender 功能和安全性功能,包括此頁面所述的功能,都將在淘汰日期之前透過 適用於端點的 Microsoft Defender 整合無代理程式掃描來取得。 如需目前依賴Log Analytics代理程式之每個功能的藍圖詳細資訊,請參閱 此公告

與 Microsoft Defender 全面偵測回應整合

當您啟用 適用於雲端的 Defender 時,適用於雲端的 Defender 警示會自動整合到 Microsoft Defender 入口網站中。 無需採取進一步的步驟。

適用於雲端的 Microsoft Defender 與 Microsoft Defender 全面偵測回應 之間的整合,將雲端環境帶入 Microsoft Defender 全面偵測回應。 透過整合至 Microsoft Defender 全面偵測回應 適用於雲端的 Defender 警示和雲端相互關聯,SOC 小組現在可以從單一介面存取所有安全性資訊。

深入瞭解 Microsoft Defender 全面偵測回應 中的 適用於雲端的 Defender 警示

下一步

連線 GCP 專案是 適用於雲端的 Microsoft Defender 中可用多重雲端體驗的一部分: