GCP-projektek csatlakoztatása a Microsoft Defender for Cloudhoz

  • Cikk
  • 13 perc alatt elolvasható

A felhőbeli számítási feladatoknak általában több felhőplatformra is kiterjedniük kell, a felhőbiztonsági szolgáltatásoknak is ugyanezt kell tenni. A Microsoft Defender for Cloud az Azure, az Amazon Web Services (AWS) és a Google Cloud Platform (GCP) számítási feladatait védi.

A GCP-alapú erőforrások védelme érdekében a GCP-projekteket a következőkkel csatlakoztathatja:

  • Natív felhőösszekötő (ajánlott) – Ügynök nélküli kapcsolatot biztosít a GCP-fiókhoz, amelyet a Defender for Cloud Defender-csomagjaival bővíthet a GCP-erőforrások védelme érdekében:

    • A Cloud Security Posture Management (CSPM) a GCP-specifikus biztonsági javaslatoknak megfelelően értékeli a GCP-erőforrásokat, és tükrözi a biztonsági állapotot a biztonsági pontszámban. Az erőforrások a Defender for Cloud eszközleltárában jelennek meg, és a GCP-vel kapcsolatos beépített szabványoknak való megfelelést értékelik.
    • A Microsoft Defender for Servers fenyegetésészlelést és fejlett védelmet biztosít a támogatott Windows- és Linux EC2-példányokhoz. Ez a csomag tartalmazza a Végponthoz készült Microsoft Defender integrált licencét, a biztonsági alapkonfigurációkat és az operációsrendszer-szintű értékeléseket, a sebezhetőségi felmérés vizsgálatát, az adaptív alkalmazásvezérlőket (AAC), a fájlintegritási monitorozást (FIM) és egyebeket.
    • A Microsoft Defender for Containers fenyegetésészlelést és fejlett védelmet biztosít a támogatott Amazon EKS-fürtökhöz. Ez a terv magában foglalja a Kubernetes veszélyforrások elleni védelmét, a viselkedéselemzést, a Kubernetes ajánlott eljárásait, a belépésvezérlési javaslatokat és egyebeket.
    • Az SQL-hez készült Microsoft Defender fenyegetésészlelést és fejlett védelmet biztosít a GCP számításimotor-példányokon futó SQL Serverekhez, beleértve a komplex veszélyforrások elleni védelmet és a sebezhetőség-felmérés vizsgálatát.

  • Klasszikus felhőösszekötő – Konfigurálást igényel a GCP-projektben egy olyan felhasználó létrehozásához, amelyet a Defender for Cloud használhat a GCP-környezethez való csatlakozáshoz. Ha klasszikus felhőalapú összekötőkkel rendelkezik, javasoljuk, hogy törölje ezeket az összekötőket , és használja a natív összekötőt a fiókhoz való újracsatlakozáshoz. A klasszikus és a natív összekötők használata is duplikált javaslatokat eredményezhet.

A Microsoft Defender for Cloud áttekintő irányítópultján látható GCP-projektek képernyőképe.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Előnézet
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Árképzés: A CSPM-csomag ingyenes.
Az SQL-hez készült Defender-csomag számlázása ugyanazzal az áron történik, mint az Azure-erőforrások.
A Defender for Servers csomag számlázása ugyanazon az áron történik, mint az Azure-gépekhez készült Microsoft Defender for Servers csomag. Ha egy GCP virtuálisgép-példányon nincs üzembe helyezve az Azure Arc-ügynök, akkor nem kell fizetnie a gépért.
A Defender for Containers csomag ingyenes az előzetes verzióban. Ezt követően a GCP-ről ugyanazzal az áron lesz kiszámlázva, mint az Azure-erőforrások esetében.
Szükséges szerepkörök és engedélyek: Közreműködő a megfelelő Azure-előfizetésben
A GCP-szervezet vagy -projekt tulajdonosa
Felhők: Kereskedelmi felhők
National (Azure Government, Azure China 21Vianet, Other Gov)

GCP-projektek csatlakoztatása

Ha GCP-projektjeit adott Azure-előfizetésekhez csatlakoztatja, vegye figyelembe a Google Cloud erőforráshierarchiáját és az alábbi irányelveket:

  • GCP-projektjeit projektszinten csatlakoztathatja a Microsoft Defender for Cloudhoz.
  • Több projektet is csatlakoztathat egy Azure-előfizetéshez.
  • Több projektet több Azure-előfizetéshez is csatlakoztathat.

A GCP-felhő-összekötő létrehozásához kövesse az alábbi lépéseket.

A GCP-projekt csatlakoztatása a Defender for Cloudhoz egy natív összekötővel:

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a Defender for Cloud>Environment beállításaihoz.

  3. Válassza a + Környezet hozzáadása lehetőséget.

  4. Válassza ki a Google Cloud Platformot.

    Képernyőkép a Google felhőkörnyezet gombjának helyéről.

  5. Adja meg az összes releváns információt.

    Képernyőkép a GCP-összekötő létrehozása oldalról, ahol meg kell adnia az összes releváns információt.

    (Nem kötelező) Ha a Szervezet lehetőséget választja, a rendszer létrehoz egy felügyeleti projektet és egy egyéni szervezeti szerepkört a GCP-projektben az előkészítési folyamathoz. Az automatikus kiépítés engedélyezve lesz az új projektek előkészítéséhez.

  6. Válassza a Következő: Csomagok kiválasztása lehetőséget.

  7. Kapcsolja be a bekapcsolva kívánt csomagokat. Alapértelmezés szerint minden szükséges előfeltétel és összetevő ki lesz építve. (Nem kötelező) Megtudhatja, hogyan konfigurálhatja az egyes csomagokat.

  8. (csak tárolók) Győződjön meg arról, hogy megfelelt a Defender for Containers csomag hálózati követelményeinek .

  9. Válassza a Következő: Hozzáférés konfigurálása lehetőséget.

  10. Válassza a Másolás lehetőséget.

    Képernyőkép a másolási gomb helyéről.

    Megjegyzés

    A GCP-erőforrások felderítéséhez és a hitelesítési folyamathoz engedélyezni kell a következő API-kat: iam.googleapis.com, sts.googleapis.com, cloudresourcemanager.googleapis.com, iamcredentials.googleapis.com, compute.googleapis.com. Ha ezek az API-k nincsenek engedélyezve, a GCloud-szkript futtatásával engedélyezzük őket az előkészítési folyamat során.

  11. Válassza ki a GCP Cloud Shell>.

  12. Megnyílik a GCP Cloud Shell.

  13. Illessze be a szkriptet a Cloud Shell terminálba, és futtassa.

  14. Győződjön meg arról, hogy a következő erőforrások lettek létrehozva:

    CSPM Defender tárolókhoz
    CSPM szolgáltatásfiók-olvasó szerepkör
    A Microsoft Defender for Cloud Identity összevonása
    CSPM-identitáskészlet
    Microsoft Defender for Servers szolgáltatásfiók (ha a kiszolgálócsomag engedélyezve van)
    Azure-Arc a kiszolgálókhoz az előkészítési szolgáltatásfiókhoz (ha az Arc a kiszolgálók automatikus kiépítéséhez engedélyezve van)    		 Microsoft Defender-tárolók szolgáltatásfiók-szerepköre,
    Microsoft Defender-adatgyűjtő szolgáltatásfiók szerepköre
    Microsoft Defender felhőbeli identitáskészlethez

(Csak kiszolgálók/SQL) Ha az Arc automatikus kiépítése engedélyezve van, másolja ki a Cloud Shell szkript végén megjelenő egyedi numerikus azonosítót.

Képernyőkép a másolandó egyedi numerikus azonosítóról.

Ha meg szeretné keresni az egyedi numerikus azonosítót a GCP portálon, keresse meg az IAM & Rendszergazda>Service-fiókokat a Név oszlopban, és másolja ki Azure-Arc for servers onboarding az egyedi numerikus azonosítószámot (OAuth 2 ügyfél-azonosító).

  1. Lépjen vissza a Microsoft Defender for Cloud portálra.

  2. (Nem kötelező) Ha bármelyik erőforrás nevét módosította, frissítse a megfelelő mezőkben lévő neveket.

  3. (Csak kiszolgálók/SQL) Az Azure-Arc kiválasztása a kiszolgálók előkészítéséhez

    Képernyőkép a képernyő Azure-Arc a kiszolgálók előkészítési szakaszáról.

    Adja meg a szolgáltatásfiók egyedi azonosítóját, amely a GCP Cloud Shell futtatása után automatikusan jön létre.

  4. Válassza a Következő: Áttekintés és létrehozás >lehetőséget.

  5. Győződjön meg arról, hogy a bemutatott információk helyesek.

  6. Válassza a Létrehozás lehetőséget.

Az összekötő létrehozása után egy vizsgálat indul el a GCP-környezetben. Az új javaslatok legfeljebb 6 óra elteltével jelennek meg a Defender for Cloudban. Ha engedélyezte az automatikus kiépítést, az Azure Arc és az összes engedélyezett bővítmény automatikusan települt minden észlelt új erőforráshoz.

(Nem kötelező) Kijelölt csomagok konfigurálása

Alapértelmezés szerint minden csomag a következő On: . Letilthatja a szükségtelen csomagokat.

Képernyőkép arról, hogy minden terv be van kapcsolva.

A kiszolgálók tervének konfigurálása

Csatlakoztassa a GCP virtuálisgép-példányokat az Azure Archoz, hogy teljes mértékben átláthassa a Microsoft Defender for Servers biztonsági tartalmát.

A Microsoft Defender for Servers fenyegetésészlelést és speciális védelmet biztosít a GCP virtuálisgép-példányokhoz. A Microsoft Defender for Servers biztonsági tartalmának teljes körű láthatóságához győződjön meg arról, hogy a következő követelmények vannak konfigurálva:

  • A Microsoft Defender for Servers engedélyezve van az előfizetésben. A csomagok engedélyezéséről a Bővített biztonsági funkciók engedélyezése című cikkben olvashat.

  • Azure Arc a virtuálisgép-példányokon telepített kiszolgálókhoz.

    • (Ajánlott) Automatikus kiépítés – Az automatikus kiépítés alapértelmezés szerint engedélyezve van az előkészítési folyamatban, és tulajdonosi engedélyeket igényel az előfizetéshez. Az Arc automatikus kiépítési folyamata az operációsrendszer-konfigurációs ügynököt használja a GCP-végponton. További információ az operációsrendszer-konfigurációs ügynök rendelkezésre állásáról a GCP-gépeken.

    Megjegyzés

    Az Arc automatikus kiépítési folyamata a Google Cloud Platform virtuálisgép-kezelőjét használja a szabályzatok a virtuális gépeken az operációsrendszer-konfigurációs ügynökön keresztül történő kikényszerítéséhez. Az aktív operációsrendszer-ügynökkel rendelkező virtuális gépek gCP-nek megfelelően költségekkel járnak. Tekintse meg a GCP technikai dokumentációját , amelyből megtudhatja, hogy ez milyen hatással lehet a fiókjára.

    A Microsoft Defender for Servers nem telepíti az operációsrendszer-konfigurációs ügynököt olyan virtuális gépre, amely nincs telepítve. A Microsoft Defender for Servers azonban lehetővé teszi az operációsrendszer-konfigurációs ügynök és az operációsrendszer-konfigurációs szolgáltatás közötti kommunikációt, ha az ügynök már telepítve van, de nem kommunikál a szolgáltatással.

    Ez módosíthatja az operációsrendszer-konfigurációs ügynököt a következőre inactiveactive, és további költségekhez vezethet.

    • Manuális telepítés – Manuálisan csatlakoztathatja a virtuálisgép-példányokat az Azure Archoz kiszolgálókhoz. A Defender for Servers-csomaggal rendelkező, archoz nem csatlakozó projektek példányait a "GCP virtuálisgép-példányoknak az Azure Archoz kell csatlakozniuk" javaslat fogja felfedni. A javaslatban szereplő "Javítás" lehetőséggel telepítse az Azure Arcot a kiválasztott gépekre.

  • Az Archoz csatlakoztatott gépeken további bővítményeket kell engedélyezni.

    • Microsoft Defender végponthoz

    • VA-megoldás (TVM/ Qualys)

    • Log Analytics-ügynök (LA) Arc-gépeken. Győződjön meg arról, hogy a kijelölt munkaterületen telepítve van a biztonsági megoldás.

      Az LA-ügynök jelenleg előfizetési szinten van konfigurálva, így az ugyanazon előfizetéshez tartozó összes többfelhős fiók és projekt (mind az AWS-től, mind a GCP-től) örökli az előfizetési beállításokat az LA-ügynök tekintetében.

    Megtudhatja, hogyan konfigurálhatja az automatikus kiépítést az előfizetésen.

    Megjegyzés

    A Defender for Servers címkéket rendel a GCP-erőforrásokhoz az automatikus kiépítési folyamat kezeléséhez. Az erőforrásokhoz megfelelően hozzá kell rendelnie ezeket a címkéket, hogy a Defender for Cloud felügyelhesse az erőforrásokat: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId, ProjectNumber

A Kiszolgálók csomag konfigurálása:

  1. A GCP-projekt csatlakoztatásához kövesse az alábbi lépéseket.

  2. A Csomagok kiválasztása képernyőn válassza a Konfiguráció megtekintése lehetőséget.

    Képernyőkép a Kiszolgálók csomag konfigurálásához való kattintás helyével.

  3. Az Automatikus kiépítés képernyőn szükség szerint kapcsolja be vagy ki a kapcsolókat.

    Képernyőkép a Kiszolgálók csomag kapcsolóiról.

    Megjegyzés

    Ha az Azure Arc ki van kapcsolva, a fent említett manuális telepítési folyamatot kell követnie.

  4. Válassza a Mentés lehetőséget.

  5. Folytassa a GCP-projektek csatlakoztatására vonatkozó utasítások 8. lépésével.

Az Adatbázisok csomag konfigurálása

Csatlakoztassa a GCP virtuálisgép-példányokat az Azure Archoz, hogy teljes mértékben átláthassa az SQL-hez készült Microsoft Defender biztonsági tartalmát.

Az SQL-hez készült Microsoft Defender fenyegetésészlelést és biztonságirés-felmérést tesz elérhetővé a GCP virtuálisgép-példányokon. Az SQL-hez készült Microsoft Defender biztonsági tartalmának teljes körű láthatóságához győződjön meg arról, hogy a következő követelmények vannak konfigurálva:

  • Az előfizetésben engedélyezett Microsoft SQL-kiszolgálók a gépeken. A csomag engedélyezéséről a Bővített biztonsági funkciók engedélyezése című cikkben olvashat.

  • Azure Arc a virtuálisgép-példányokon telepített kiszolgálókhoz.

    • (Ajánlott) Automatikus kiépítés – Az automatikus kiépítés alapértelmezés szerint engedélyezve van az előkészítési folyamatban, és tulajdonosi engedélyeket igényel az előfizetéshez. Az Arc automatikus kiépítési folyamata az operációsrendszer-konfigurációs ügynököt használja a GCP-végponton. További információ az operációsrendszer-konfigurációs ügynök rendelkezésre állásáról a GCP-gépeken.

    Megjegyzés

    Az Arc automatikus kiépítési folyamata a Google Cloud Platform virtuálisgép-kezelőjét használja a szabályzatok a virtuális gépeken az operációsrendszer-konfigurációs ügynökön keresztül történő kikényszerítéséhez. Az aktív operációsrendszer-ügynökkel rendelkező virtuális gépek gCP-nek megfelelően költségekkel járnak. Tekintse meg a GCP technikai dokumentációját , amelyből megtudhatja, hogy ez milyen hatással lehet a fiókjára.

    A Microsoft Defender for Servers nem telepíti az operációsrendszer-konfigurációs ügynököt olyan virtuális gépre, amely nincs telepítve. A Microsoft Defender for Servers azonban lehetővé teszi az operációsrendszer-konfigurációs ügynök és az operációsrendszer-konfigurációs szolgáltatás közötti kommunikációt, ha az ügynök már telepítve van, de nem kommunikál a szolgáltatással.

    Ez módosíthatja az operációsrendszer-konfigurációs ügynököt a következőre inactiveactive, és további költségekhez vezethet.

  • Az Archoz csatlakoztatott gépeken további bővítményeket kell engedélyezni.

    • SQL-kiszolgálók a gépeken. Győződjön meg arról, hogy a csomag engedélyezve van az előfizetésben.

    • Log Analytics-ügynök (LA) Arc-gépeken. Győződjön meg arról, hogy a kijelölt munkaterületen telepítve van a biztonsági megoldás.

      A gépeken futó LA-ügynök és SQL-kiszolgálók jelenleg előfizetési szinten vannak konfigurálva, így az ugyanazon előfizetésben lévő összes többfelhős fiók és projekt (az AWS-ből és a GCP-ből is) örökli az előfizetés beállításait, és további díjakat eredményezhet.

    Megtudhatja, hogyan konfigurálhatja az automatikus kiépítést az előfizetésen.

    Megjegyzés

    Az SQL Defender címkéket rendel a GCP-erőforrásokhoz az automatikus kiépítési folyamat kezeléséhez. Az erőforrásokhoz megfelelően hozzá kell rendelnie ezeket a címkéket, hogy a Defender for Cloud felügyelhesse az erőforrásokat: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId, ProjectNumber

  • Az SQL Server automatikus felderítése és regisztrálása. Ezek a beállítások lehetővé teszik az SQL-kiszolgálók automatikus felderítését és regisztrációját, központosított SQL-eszközleltár és -felügyelet biztosításával.

Az Adatbázisok csomag konfigurálása:

  1. A GCP-projekt csatlakoztatásához kövesse az alábbi lépéseket.

  2. A Csomagok kiválasztása képernyőn válassza a Konfigurálás lehetőséget.

    Képernyőkép arról, hogy hová kell kattintani az Adatbázis-csomag konfigurálásához.

  3. Az automatikus kiépítési képernyőn szükség szerint kapcsolja be vagy ki a kapcsolókat.

    Képernyőkép az Adatbázisok csomag kapcsolóiról.

    Megjegyzés

    Ha az Azure Arc ki van kapcsolva, a fent említett manuális telepítési folyamatot kell követnie.

  4. Válassza a Mentés lehetőséget.

  5. Folytassa a GCP-projektek csatlakoztatására vonatkozó utasítások 8. lépésével.

A Tárolók csomag konfigurálása

A Microsoft Defender for Containers fenyegetésészlelést és speciális védelmet biztosít a GCP GKE Standard-fürtökhöz. A Defender for Containers teljes biztonsági értékének lekéréséhez és a GCP-fürtök teljes védelméhez győződjön meg arról, hogy a következő követelmények vannak konfigurálva:

  • A Kubernetes naplózási naplói a Defender for Cloudba – Alapértelmezés szerint engedélyezve. Ez a konfiguráció csak GCP-projektszinten érhető el. Ez ügynök nélküli gyűjtést biztosít az auditnapló-adatokról a GCP-felhőnaplózáson keresztül a Microsoft Defender for Cloud háttérrendszerbe további elemzés céljából.
  • Az Azure Arc-kompatibilis Kubernetes, a Defender bővítmény és a Azure Policy bővítmény alapértelmezés szerint engedélyezve. Az Azure Arc-kompatibilis Kubernetes és annak bővítményei 3 különböző módon telepíthetők a GKE-fürtökre:

Megjegyzés

Ha úgy dönt, hogy letiltja a rendelkezésre álló konfigurációs beállításokat, a fürtökben nem lesznek ügynökök vagy összetevők üzembe helyezve. További információ a funkciók elérhetőségéről.

A Tárolók csomag konfigurálása:

  1. A GCP-projekt csatlakoztatásához kövesse az alábbi lépéseket.

  2. A Csomagok kiválasztása képernyőn válassza a Konfigurálás lehetőséget.

    Képernyőkép a Tárolók csomag konfigurálásához való kattintás helyével.

  3. Az Automatikus kiépítés képernyőn kapcsolja be a kapcsolókat.

    Képernyőkép a Tárolók csomag kapcsolóiról.

  4. Válassza a Mentés lehetőséget.

  5. Folytassa a GCP-projektek csatlakoztatására vonatkozó utasítások 8. lépésével.

A "klasszikus" összekötők eltávolítása

Ha rendelkezik a klasszikus felhőbeli összekötők felhasználói felületével létrehozott meglévő összekötőkkel, először távolítsa el őket:

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a Defender for Cloud>Environment beállításaihoz.

  3. Válassza ki a klasszikus összekötők felületére való visszaváltás lehetőségét.

    Visszaváltás a klasszikus felhőösszekötőkre a Defender for Cloudban.

  4. Minden összekötő esetében válassza a sor végén található három pont gombot, majd válassza a Törlés lehetőséget.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Árképzés: A Microsoft Defender for Servers 2. csomagjának szükséges
Szükséges szerepkörök és engedélyek: Tulajdonos vagy közreműködő a megfelelő Azure-előfizetésben
Felhők: Kereskedelmi felhők
National (Azure Government, Azure China 21Vianet)

A GCP-projekt csatlakoztatása

Hozzon létre egy összekötőt minden olyan szervezethez, amelyet figyelni szeretne a Defender for Cloudból.

A GCP-projektek adott Azure-előfizetésekhez való csatlakoztatásakor vegye figyelembe a Google Cloud erőforrás-hierarchiáját és az alábbi irányelveket:

  • GCP-projektjeit szervezeti szinten csatlakoztathatja a Defender for Cloudhoz
  • Több szervezetet is csatlakoztathat egy Azure-előfizetéshez
  • Több szervezetet is csatlakoztathat több Azure-előfizetéshez
  • Amikor csatlakoztat egy szervezetet, a szervezeten belüli összes projekt bekerül a Defender for Cloudba

A GCP-felhőösszekötő létrehozásához kövesse az alábbi lépéseket.

1. lépés A GCP biztonsági parancsközpont beállítása a Security Health Analytics használatával

A szervezet összes GCP-projektjéhez a következőket is el kell végeznie:

  1. Állítsa be a GCP biztonsági parancsközpontota GCP dokumentációjának utasításait követve.
  2. Engedélyezze a Security Health Analyticseta GCP dokumentációjának utasításait követve.
  3. Ellenőrizze, hogy vannak-e a Biztonsági parancsközpontba áramló adatok.

A GCP-környezet biztonsági konfigurációhoz való csatlakoztatására vonatkozó utasítások a Google biztonsági konfigurációs javaslatok felhasználására vonatkozó javaslatait követik. Az integráció kihasználja a Google Security Command Centert, és további erőforrásokat fog felhasználni, amelyek hatással lehetnek a számlázásra.

A Security Health Analytics első engedélyezése több órát is igénybe vehet, amíg az adatok elérhetővé válnak.

2. lépés A GCP Security Command Center API engedélyezése

  1. A Google Cloud Console API-könyvtárában válassza ki a szervezet azon projektjét, amelyhez csatlakozni szeretne a Microsoft Defender for Cloud szolgáltatáshoz.
  2. Az API-kódtárban keresse meg és válassza ki a Security Command Center API-t.
  3. Az API oldalán válassza az ENGEDÉLYEZÉS lehetőséget.

További információ a Security Command Center API-ról.

3. lépés Dedikált szolgáltatásfiók létrehozása a biztonsági konfiguráció integrációjához

  1. A GCP-konzolon válasszon ki egy projektet abból a szervezetből, amelyben létrehozza a szükséges szolgáltatásfiókot.

    Megjegyzés

    Ha ezt a szolgáltatásfiókot szervezeti szinten veszi fel, a rendszer a Security Command Center által gyűjtött adatok elérésére fogja használni a szervezet összes többi engedélyezett projektjében.

  2. A Navigációs menüIAM-rendszergazdai & beállításai területen válassza a Szolgáltatásfiókok lehetőséget.

  3. Válassza a CREATE SERVICE ACCOUNT (SZOLGÁLTATÁSFIÓK LÉTREHOZÁSA) lehetőséget.

  4. Adjon meg egy fióknevet, és válassza a Létrehozás lehetőséget.

  5. Adja meg a Defender for Cloud Rendszergazda Viewerszerepkört, és válassza a Folytatás lehetőséget.

  6. A Szolgáltatásfiókhoz való hozzáférés engedélyezése a felhasználóknak szakasz nem kötelező. Válassza a Kész lehetőséget.

  7. Másolja ki a létrehozott szolgáltatásfiók Email értékét, és mentse későbbi használatra.

  8. A Navigációs menüIAM & rendszergazdai beállításai területén válassza az IAM lehetőséget

    1. Váltson szervezeti szintre.
    2. Válassza a HOZZÁADÁS lehetőséget.
    3. Az Új tagok mezőbe illessze be a korábban kimásolt Email értéket.
    4. Adja meg a Defender for Cloud Rendszergazda Viewer szerepkört, majd válassza a Mentés lehetőséget. A megfelelő GCP-engedélyek beállítása.

4. lépés: Titkos kulcs létrehozása a dedikált szolgáltatásfiókhoz

  1. Váltson a projekt szintjére.
  2. A Navigációs menüIAM-rendszergazdai & beállításai területen válassza a Szolgáltatásfiókok lehetőséget.
  3. Nyissa meg a dedikált szolgáltatásfiókot, és válassza a Szerkesztés lehetőséget.
  4. A Kulcsok szakaszban válassza a KULCS HOZZÁADÁSA , majd az Új kulcs létrehozása lehetőséget.
  5. A Titkos kulcs létrehozása képernyőn válassza a JSON, majd a CREATE lehetőséget.
  6. Mentse ezt a JSON-fájlt későbbi használatra.

5. lépés A GCP csatlakoztatása a Defender for Cloudhoz

  1. A Defender for Cloud menüjében nyissa meg a környezeti beállításokat , és válassza ki a klasszikus összekötők felületére való visszaváltás lehetőségét.

    Visszaváltás a klasszikus felhőösszekötőkre a Defender for Cloudban.

  2. Válassza a GCP-projekt hozzáadása lehetőséget.

  3. Az előkészítési lapon tegye a következőket, majd válassza a Tovább gombot.

    1. Ellenőrizze a kiválasztott előfizetést.
    2. A Megjelenítendő név mezőbe írja be az összekötő megjelenítendő nevét.
    3. A Szervezeti azonosító mezőbe írja be a szervezet azonosítóját. Ha nem tudja, olvassa el a Szervezetek létrehozása és kezelése című témakört.
    4. A Titkos kulcs fájl mezőjében keresse meg a 4. lépésben letöltött JSON-fájlt. Hozzon létre egy titkos kulcsot a dedikált szolgáltatásfiókhoz.

6. lépés Visszaigazolás

Ha az összekötő sikeresen létrejött, és a GCP biztonsági parancsközpontja megfelelően lett konfigurálva:

  • A GCP CIS szabvány megjelenik a Defender for Cloud jogszabályi megfelelőségi irányítópultján.
  • A GCP-erőforrásokra vonatkozó biztonsági javaslatok a Defender for Cloud portálon és a jogszabályi megfelelőségi irányítópulton jelennek meg 5–10 perccel a bevezetés befejezése után: GCP-erőforrások és javaslatok a Defender for Cloud javaslatok oldalán

A GCP-erőforrások monitorozása

Ahogy fent látható, a Microsoft Defender for Cloud biztonsági javaslati oldala valódi többfelhős nézetben jeleníti meg a GCP-erőforrásokat az Azure- és AWS-erőforrásokkal együtt.

Az erőforrásokra vonatkozó összes aktív javaslat erőforrástípus szerinti megtekintéséhez használja a Defender for Cloud eszközleltár-oldalát, és szűrjön arra a GCP-erőforrástípusra, amelyben érdekli:

Az eszközleltár oldal erőforrástípus-szűrője a GCP beállításaival

Gyakori kérdések – GCP-projektek csatlakoztatása a Microsoft Defender for Cloudhoz

Van API a GCP-erőforrások a Defender for Cloudhoz való csatlakoztatásához?

Igen. A Felhőalapú Defender-összekötők REST API-val történő létrehozásához, szerkesztéséhez vagy törléséhez tekintse meg az Összekötők API részleteit.

Következő lépések

A GCP-projekt csatlakoztatása a Microsoft Defender for Cloudban elérhető többfelhős felület része. A kapcsolódó információkért tekintse meg a következő oldalt: