الاتصال مشاريع GCP إلى Microsoft Defender for Cloud

  • مقالة
  • قراءة خلال 11 دقائق

مع أعباء العمل السحابية التي تمتد عادةً على منصات سحابية متعددة، يجب على خدمات الأمان السحابية أن تفعل الشيء نفسه.

يحمي Microsoft Defender لللإنترنت أعباء العمل في Azure وAmazon Web Services (AWS) وGoogle Cloud Platform (GCP).

لحماية الموارد المستندة إلى GCP، يمكنك توصيل حساب بطريقتين مختلفتين:

  • تجربة موصلات السحابة الكلاسيكية - كجزء من العرض الأولي متعدد السحابات، قدمنا هذه الموصلات السحابية كطريقة لتوصيل مشاريع AWS وGCP.

  • صفحة إعدادات البيئة (مستحسن) - توفر هذه الصفحة تجربة الإعداد (بما في ذلك التوفير التلقائي). تعمل هذه الآلية أيضا على توسيع ميزات الأمان المحسنة ل Defender for Cloud لتشمل موارد GCP الخاصة بك:

    • تمتد ميزات Defender for Cloud CSPM إلى موارد GCP الخاصة بك. تقيم هذه الخطة بدون عامل موارد GCP الخاصة بك وفقا لتوصيات الأمان الخاصة ب GCP ويتم تضمينها في نقاطك الآمنة. كما سيتم تقييم الموارد للامتثال للمعايير المضمنة الخاصة ب GCP. صفحة مخزون أصول Defender for Cloud هي ميزة متعددة السحابة ممكنة تساعدك على إدارة موارد GCP إلى جانب موارد Azure الخاصة بك.
    • يجلب Microsoft Defender for Servers الكشف عن التهديدات والدفاعات المتقدمة إلى مثيلات GCP VM. تتضمن هذه الخطة الترخيص المتكامل لـMicrosoft Defender لنقطة النهاية وخطوط الأمان الأساسي وتقييمات مستوى نظام التشغيل و فحص تقييم الثغرات الأمنية وعناصر تحكم التطبيق التكيفية (AAC) و مراقبة تكامل الملفات (FIM) وغيرها. يمكنك عرض القائمة الكاملة للميزات المتوفرة في الميزات المدعومة لجدول الأجهزة الظاهرية والخوادم
    • Microsoft Defender for Containers - يوفر Microsoft Defender for Containers الكشف عن التهديدات والدفاعات المتقدمة إلى مجموعات Kubernetes Engine (GKE) القياسية في Google. تتضمن هذه الخطة حماية Kubernetes من التهديدات والتحليلات السلوكية وأفضل ممارسات Kubernetes وتوصيات التحكم في القبول والمزيد. يمكنك عرض القائمة الكاملة للميزات المتوفرة في توفر ميزة Defender for Containers.

Screenshot of GCP projects shown in Microsoft Defender for Cloud's overview dashboard.

التوفر

الجانب التفاصيل
حالة الإصدار: معاينة
تتضمن شروط Azure Preview التكميلية شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك التي لم يتم إصدارها بعد في التوفر العام.
التسعير: خطة CSPM مجانية.
تتم فوترة خطة Defender for Servers بنفس سعر خطة Microsoft Defender for Servers لأجهزة Azure. إذا لم يكن لدى مثيل GCP VM عامل Azure Arc المنشور، فلن يتم تحصيل رسوم منك مقابل هذا الجهاز.
خطة Defender for Containers مجانية أثناء المعاينة. وبعد ذلك، ستتم فوترته مقابل GCP بنفس السعر الذي يتم به حساب موارد Azure.
الأدوار والأذونات المطلوبة: المساهم في اشتراك Azure ذي الصلة
سحب: ⁩ السحب التجارية
National (Azure Government، Azure China 21Vianet، Other Gov)

إزالة الموصلات "الكلاسيكية"

إذا كان لديك أي موصلات موجودة تم إنشاؤها باستخدام تجربة موصلات السحابة الكلاسيكية، فقم بإزالتها أولا:

  1. سجل الدخول إلى مدخل Azure.

  2. انتقل إلى إعدادات Defender forCloudEnvironment>.

  3. حدد خيار التبديل مرة أخرى إلى تجربة الموصلات الكلاسيكية.

    Switching back to the classic cloud connectors experience in Defender for Cloud.

  4. لكل موصل، حدد زر النقاط الثلاث في نهاية الصف، وحدد حذف.

الاتصال مشاريع GCP

عند توصيل مشاريع GCP باشتراكات Azure معينة، ضع في اعتبارك التسلسل الهرمي لموارد Google Cloud وهذه الإرشادات:

  • يمكنك توصيل مشاريع GCP الخاصة بك ب Microsoft Defender for Cloud على مستوى المشروع.
  • يمكنك توصيل مشاريع متعددة باشتراك Azure واحد.
  • يمكنك توصيل مشاريع متعددة باشتراكات Azure متعددة.

اتبع الخطوات التالية لإنشاء موصل سحابة GCP الخاص بك.

لتوصيل مشروع GCP الخاص بك:

  1. سجل الدخول إلى مدخل Azure.

  2. انتقل إلى إعدادات Defender forCloudEnvironment>.

  3. حدد + إضافة بيئة.

  4. حدد Google Cloud Platform.

    Screenshot of the location of the Google cloud environment button.

  5. أدخل جميع المعلومات ذات الصلة.

    Screenshot of the Create GCP connector page where you need to enter all relevant information.

  6. حدد التالي: حدد الخطط.

  7. قم بتبديل الخطط التي تريد الاتصال بها إلى تشغيل. بشكل افتراضي، سيتم توفير جميع المتطلبات الأساسية والمكونات الضرورية. (اختياري) تعرف على كيفية تكوين كل خطة.

  8. (حاويات فقط) تأكد من استيفاء متطلبات الشبكة لخطة Defender for Containers.

  9. حدد Next: Configure access.

  10. حدد Copy.

    Screenshot showing the location of the copy button.

  11. حدد GCP Cloud Shell >.

  12. سيتم فتح GCP Cloud Shell.

  13. الصق البرنامج النصي في محطة Cloud Shell الطرفية وقم بتشغيله.

  14. تأكد من إنشاء الموارد التالية:

    CSPM Defender للحاويات
    دور قارئ حساب خدمة CSPM
    اتحاد هوية Microsoft Defender for Cloud
    تجمع هوية CSPM
    حساب خدمة Microsoft Defender for Servers (عند تمكين خطة الخوادم)
    Azure-Arc لحساب خدمة إلحاق الخوادم (عند تمكين Arc للخوادم التوفير التلقائي)    		 دور حساب خدمة حاويات Microsoft Defender،
    دور حساب خدمة Microsoft Defender Data Collector
    microsoft defender لتجمع هوية السحابة

  15. (الخوادم فقط) عند تمكين التوفير التلقائي ل Arc، انسخ المعرف الرقمي الفريد المقدم في نهاية البرنامج النصي Cloud Shell.

    Screenshot showing the unique numeric I D to be copied.

    لتحديد موقع المعرف الرقمي الفريد في مدخل GCP، انتقل إلى حسابات إدارة > حسابات إدارة &الهوية، في عمود الاسم، حدد موقع Azure-Arc for servers onboarding رقم المعرف الرقمي الفريد (معرف عميل OAuth 2) وانسخه.

  16. انتقل مرة أخرى إلى مدخل Microsoft Defender for Cloud.

  17. (اختياري) إذا قمت بتغيير أي من أسماء أي من الموارد، فقم بتحديث الأسماء في الحقول المناسبة.

  18. (الخوادم فقط) حدد Azure-Arc لإلحاق الخوادم

    Screenshot showing the Azure-Arc for servers onboarding section of the screen.

    أدخل المعرف الفريد لحساب الخدمة، والذي يتم إنشاؤه تلقائيا بعد تشغيل GCP Cloud Shell.

  19. حدد Next: Review and generate >.

  20. تأكد من صحة المعلومات المقدمة.

  21. حدد Create.

بعد إنشاء موصل، سيبدأ الفحص على بيئة GCP. ستظهر توصيات جديدة في Defender for Cloud بعد ما يصل إلى 6 ساعات. إذا قمت بتمكين التوفير التلقائي، فسيتم تثبيت Azure Arc وأي ملحقات ممكنة تلقائيا لكل مورد جديد تم اكتشافه.

(اختياري) تكوين الخطط المحددة

بشكل افتراضي، يتم تبديل جميع الخطط إلى On، على شاشة تحديد الخطط.

Screenshot showing that all plans are toggle to on.

تكوين خطة الخوادم

الاتصال مثيلات GCP VM إلى Azure Arc من أجل الحصول على رؤية كاملة لمحتوى أمان Microsoft Defender for Servers.

يجلب Microsoft Defender for Servers الكشف عن التهديدات والدفاعات المتقدمة إلى مثيلات GCP VMs. للحصول على رؤية كاملة لمحتوى أمان Microsoft Defender for Servers، تأكد من تكوين المتطلبات التالية:

  • Microsoft Defender for Servers ممكن على اشتراكك. تعرف على كيفية تمكين الخطط في مقالة تمكين ميزات الأمان المحسنة .

  • Azure Arc للخوادم المثبتة على مثيلات الجهاز الظاهري.

    • (مستحسن) التوفير التلقائي - يتم تمكين التوفير التلقائي بشكل افتراضي في عملية الإعداد ويتطلب أذونات المالك على الاشتراك. تستخدم عملية التوفير التلقائي ل Arc عامل تكوين نظام التشغيل على نهاية GCP. تعرف على المزيد حول توفر عامل تكوين نظام التشغيل على أجهزة GCP.

    ملاحظة

    تستفيد عملية التوفير التلقائي ل Arc من مدير الجهاز الظاهري على Google Cloud Platform الخاص بك، لفرض النهج على الأجهزة الظاهرية الخاصة بك من خلال عامل تكوين نظام التشغيل. سيتحمل الجهاز الظاهري مع عامل نظام التشغيل النشط تكلفة وفقا ل GCP. راجع الوثائق التقنية ل GCP لمعرفة كيف قد يؤثر ذلك على حسابك.

    لا يقوم Microsoft Defender for Servers بتثبيت عامل تكوين نظام التشغيل على جهاز ظاهري لم يتم تثبيته. ومع ذلك، سيمكن Microsoft Defender for Servers الاتصال بين عامل تكوين نظام التشغيل وخدمة تكوين نظام التشغيل إذا كان العامل مثبتا بالفعل ولكن لا يتصل بالخدمة.

    يمكن أن يؤدي هذا إلى تغيير عامل تكوين نظام التشغيل من inactive إلى active، وسيؤدي إلى تكاليف إضافية.

    • التثبيت اليدوي - يمكنك توصيل مثيلات الجهاز الظاهري يدويا ب Azure Arc للخوادم. سيتم عرض المثيلات في المشاريع التي تم تمكين خطة Defender for Servers غير المتصلة ب Arc من خلال التوصية "يجب توصيل مثيلات GCP VM ب Azure Arc". استخدم خيار "Fix" المعروض في هذه التوصية لتثبيت Azure Arc على الأجهزة المحددة.

  • يجب تمكين ملحقات إضافية على الأجهزة المتصلة ب Arc.

    • Microsoft Defender لنقطة النهاية

    • حل VA (TVM/ Qualys)

    • عامل Log Analytics (LA) على أجهزة Arc. تأكد من تثبيت حل أمان لمساحة العمل المحددة.

      تم تكوين عامل LA حاليا على مستوى الاشتراك، بحيث ترث جميع الحسابات والمشاريع متعددة السحابة (من كل من AWS وGCP) ضمن نفس الاشتراك إعدادات الاشتراك فيما يتعلق بعامل LA.

    تعرف على كيفية تكوين التوفير التلقائي على اشتراكك.

    ملاحظة

    يعين Defender for Servers علامات لموارد GCP لإدارة عملية التوفير التلقائي. يجب تعيين هذه العلامات بشكل صحيح إلى مواردك بحيث يمكن ل Defender for Cloud إدارة مواردك: Cloud، InstanceName، MDFCSecurityConnector، MachineId، ProjectId، ProjectNumber

لتكوين خطة الخوادم:

  1. اتبع الخطوات الاتصال مشروع GCP الخاص بك.

  2. في شاشة تحديد الخطط، حدد عرض التكوين.

    Screenshot showing where to click to configure the Servers plan.

  3. على شاشة التوفير التلقائي، قم بتبديل المفاتيح أو إيقاف تشغيلها حسب حاجتك.

    Screenshot showing the toggle switches for the Servers plan.

    ملاحظة

    إذا تم إيقاف تشغيل Azure Arc، فستحتاج إلى اتباع عملية التثبيت اليدوي المذكورة أعلاه.

  4. حدد ⁧⁩حفظ⁧⁩.

  5. تابع من الخطوة رقم 8، من الاتصال إرشادات مشاريع GCP.

تكوين خطة الحاويات

يجلب Microsoft Defender for Containers الكشف عن التهديدات والدفاعات المتقدمة إلى مجموعات GCP GKE Standard. للحصول على قيمة الأمان الكاملة من Defender for Containers، وللحماية الكاملة لمجموعات GCP، تأكد من تكوين المتطلبات التالية:

  • سجلات تدقيق Kubernetes إلى Defender for Cloud - ممكن بشكل افتراضي. يتوفر هذا التكوين على مستوى Project GCP فقط. يوفر هذا جمعا بدون عامل لبيانات سجل التدقيق من خلال GCP Cloud Logging إلى الواجهة الخلفية ل Microsoft Defender for Cloud لمزيد من التحليل.
  • Kubernetes الممكنة بواسطة Azure Arc وملحق Defender وملحق نهج Azure - ممكن بشكل افتراضي. يمكنك تثبيت Kubernetes التي تدعم Azure Arc وملحقاتها على مجموعات GKE الخاصة بك ب 3 طرق مختلفة:
    • (مستحسن) تمكين التوفير التلقائي ل Defender for Container على مستوى المشروع كما هو موضح في الإرشادات أدناه.
    • توصيات Defender for Cloud، لكل تثبيت نظام مجموعة، والتي ستظهر على صفحة التوصيات Microsoft Defender for Cloud. تعرف على كيفية نشر الحل على مجموعات معينة.
    • التثبيت اليدوي ل Kubernetes التي تدعم Arcوالملحقات.

ملاحظة

إذا اخترت تعطيل خيارات التكوين المتوفرة، فلن يتم نشر أي عوامل أو مكونات إلى مجموعاتك. تعرف على المزيد حول توفر الميزات.

لتكوين خطة الحاويات:

  1. اتبع الخطوات الاتصال مشروع GCP الخاص بك.

  2. في شاشة تحديد الخطط، حدد تكوين.

    Screenshot showing where to click to configure the Containers plan.

  3. على شاشة التوفير التلقائي، قم بتبديل مفاتيح التشغيل.

    Screenshot showing the toggle switches for the Containers plan.

  4. حدد ⁧⁩حفظ⁧⁩.

  5. تابع من الخطوة رقم 8، من الاتصال إرشادات مشاريع GCP.

التوفر

الجانب التفاصيل
حالة الإصدار: التوافر العام (GA)
التسعير: يتطلب Microsoft Defender for Servers الخطة 2
الأدوار والأذونات المطلوبة: "Owner" أو "Contributor" في اشتراك Azure ذي الصلة
سحابات: ⁩ السحب التجارية
National (Azure Government، Azure China 21Vianet)

الاتصال مشروع GCP

إنشاء موصل لكل مؤسسة تريد مراقبتها من Defender for Cloud.

عند توصيل مشاريع GCP باشتراكات Azure معينة، ضع في اعتبارك التسلسل الهرمي لموارد Google Cloud وهذه الإرشادات:

  • يمكنك توصيل مشاريع GCP الخاصة بك ب Defender for Cloud على مستوى المؤسسة
  • يمكن توصيل عدة مؤسسات باشتراك Azure واحد
  • يمكن توصيل العديد من المؤسسات باشتراكات Azure المتعددة
  • عند الاتصال بمؤسسة، تُضاف جميع المشاريع داخل تلك المؤسسة إلى Defender for Cloud

اتبع الخطوات التالية لإنشاء موصل سحابة GCP الخاص بك.

الخطوة 1 إعداد مركز القيادة الأمنية لـGCP مع تحليلات أمان الصحة

بالنسبة إلى كافة مشاريع GCP في مؤسستك، يجب عليك أيضًا:

  1. إعداد GCP Security Command Center باستخدام هذه الإرشادات من وثائق GCP.
  2. بتمكين Security Health Analytics باستخدام هذه الإرشادات من وثائق GCP.
  3. التحقق من وجود البيانات المتدفقة إلى مركز أوامر الأمان.

تتبع إرشادات توصيل بيئة GCP الخاصة بك لتكوين الأمان توصيات Google بشأن استهلاك توصيات تكوين الأمان. يعزز التكامل Google Security Command Center وسيستهلك موارد إضافية قد تؤثر على الفواتير.

عند تمكين تحليلات أمان الأمان لأول مرة، قد يستغرق توفر البيانات عدة ساعات.

الخطوة 2 تمكين واجهة برمجة تطبيقات مركز أوامر أمان GCP

  1. من Cloud Console API Library من Google، حدد كل مشروع في المؤسسة التي تريد توصيلها بـ Microsoft Defender for Cloud.
  2. في مكتبة التعليمات البرمجية، ابحث عن واجهة برمجة تطبيقات مركز أوامر الأمانوحددها .
  3. في صفحة واجهة برمجة التطبيقات، حدد ENABLE.

التعرف على المزيد حول Security Command Center API.

الخطوة 3 إنشاء حساب خدمة مخصص لتكامل تكوين الأمان

  1. في GCP Console، حدد مشروع من المؤسسة التي تنشئ فيها حساب الخدمة المطلوب.

    ملاحظة

    عند إضافة حساب الخدمة هذا على مستوى المؤسسة، سيتم استخدامه للوصول إلى البيانات التي جُمعت بواسطة Security Command Center من جميع المشاريع الممكّنة الأخرى في المؤسسة.

  2. في قائمة التنقل، ضمن خيارات مسؤول IAM&، حدد حسابات الخدمة.

  3. حدد CREATE SERVICE ACCOUNT.

  4. أدخل اسم حساب، وحدد Create.

  5. تحديد الدور باعتبارهDefender for Cloud Admin Viewer، واختر "Continue" .

  6. يُعد قسم Grant users access to this service account اختيارياً. حدد ⁧⁩Done⁧⁩.

  7. انسخ قيمة البريد الإلكتروني لحساب الخدمة الذي تم إنشاؤه، واحفظها لاستخدامها لاحقاً.

  8. في قائمة التنقل، ضمن خيارات مسؤول IAM&، حدد IAM

    1. التبديل إلى مستوى المؤسسة.
    2. حدد Add
    3. في خانة "New members" ، الصق قيمة البريد الإلكتروني التي نسختها سابقاً.
    4. تحديد الدور باعتباره Defender for Cloud Admin Viewer، واخترSave. Setting the relevant GCP permissions.

الخطوة 4. إنشاء مفتاح خاص لحساب الخدمة المخصصة

  1. التبديل إلى مستوى المشروع.
  2. في قائمة التنقل، ضمن خيارات مسؤول IAM&، حدد حسابات الخدمة.
  3. افتح حساب الخدمة المخصصة وحدد Edit.
  4. في قسم "Keys" ، حدد "ADD KEY" ثم "Create new key" .
  5. في شاشة إنشاء مفتاح خاص، حدد JSON، ثم حدد CREATE.
  6. احفظ هذا الملف JSON لاستخدامه لاحقًا.

الخطوة 5. توصيل GCP بـ Defender for Cloud

  1. من قائمة Defender for Cloud، افتح إعدادات البيئة وحدد خيار التبديل مرة أخرى إلى تجربة الموصلات التقليدية.

    Switching back to the classic cloud connectors experience in Defender for Cloud.

  2. حدد إضافة مشروع GCP.

  3. في صفحة الإعداد، قم بما يلي ثم حدد "Next" .

    1. التحقق من صحة الاشتراك المختار.
    2. في خانة "Display name" ، أدخل اسم عرض للموصل.
    3. في خانة "Organization ID" ، أدخل معرف مؤسستك. إذا كنت لا تعرف ذلك، فراجع "إنشاء المؤسسات وإدارتها".
    4. في مربع ملف "Private key" ، استعرض وصولاً إلى ملف JSON الذي نزلته في الخطوة 4 أنشئ مفتاحاً خاصاً لحساب الخدمة المخصص.

الخطوة 6. التأكيد

عند إنشاء الموصل بنجاح وتهيئة GCP Security Command Center بشكل صحيح:

  • سيظهر معيار GCP CIS في لوحة معلومات التوافق التنظيمية الخاصة بـ Defender for Cloud.
  • ستظهر توصيات الأمان لموارد GCP في مدخل Defender for Cloud ولوحة معلومات التوافق التنظيمي بعد 5-10 دقائق من اكتمال الإعداد: GCP resources and recommendations in Defender for Cloud's recommendations page

مراقبة موارد GCP

كما هو موضح أعلاه، تعرض صفحة توصيات الأمان الخاصة بـ Microsoft Defender for Cloud موارد GCP الخاصة بك مع موارد Azure وAWS للحصول على عرض حقيقي متعدد السحابات.

لعرض جميع التوصيات النشطة للموارد حسب نوع المورد، استخدم صفحة مخزون أصول Defender for Cloud وتصفية نوع مورد GCP الذي تهتم به:

Asset inventory page's resource type filter showing the GCP options

الأسئلة المتداولة - توصيل مشاريع GCP ب Microsoft Defender for Cloud

هل هناك واجهة برمجة تطبيقات لتوصيل موارد GCP الخاصة بي بـ Defender for Cloud؟

نعم. لإنشاء موصلات سحابية لـ Defender for Cloud أو تحريرها أو حذفها باستخدام واجهة برمجة تطبيقات REST، يرجى مراجعة تفاصيل Connectors API.

الخطوات التالية

يعد توصيل مشروع GCP جزءا من التجربة متعددة السحابات المتوفرة في Microsoft Defender for Cloud. للحصول على المزيد من المعلومات ذات الصلة، يرجى الرجوع إلى الصفحة التالية: