Connettere Google Cloud Platform a Microsoft Defender for Cloud Apps

  • Articolo
  • 8 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo fornisce istruzioni per la connessione Microsoft Defender for Cloud Apps all'account GCP (Google Cloud Platform) esistente usando le API del connettore. Questa connessione offre visibilità e controllo sull'uso di GCP. Per informazioni su come Defender for Cloud Apps protegge GCP, vedere Proteggere GCP.

È consigliabile usare un progetto dedicato per l'integrazione e limitare l'accesso al progetto per mantenere l'integrazione stabile e impedire l'eliminazione o le modifiche del processo di installazione.

Prerequisiti

L'utente GCP di integrazione deve disporre delle autorizzazioni seguenti:

  • Modifica di IAM e Amministrazione - Livello di organizzazione
  • Creazione e modifica del progetto

È possibile connettere una o entrambe le connessioni GCP seguenti a Defender for Cloud Apps:

  • Controllo della sicurezza: questa connessione consente di visualizzare e controllare l'uso dell'app GCP.
  • Configurazione della sicurezza: questa connessione offre raccomandazioni fondamentali sulla sicurezza basate sul benchmark Center for Internet Security (CIS) per GCP.

Poiché è possibile aggiungere o entrambe le connessioni, i passaggi descritti in questo articolo vengono scritti come istruzioni indipendenti. Se è già stata aggiunta una delle connessioni, in cui sono rilevanti modificare le configurazioni esistenti.

Come connettere il controllo della sicurezza GCP a Defender for Cloud Apps

La connessione del controllo della sicurezza GCP consente di visualizzare e controllare l'uso dell'app GCP.

Seguire questa procedura per connettere il controllo di sicurezza GCP a Defender for Cloud Apps.

Configurare Google Cloud Platform

Nota

Le istruzioni per la connessione dell'ambiente GCP per il controllo seguono le raccomandazioni di Google per l'utilizzo di log aggregati. L'integrazione sfrutta Google StackDriver e userà risorse aggiuntive che potrebbero influire sulla fatturazione. Le risorse usate sono:

La connessione di controllo di Defender for Cloud Apps importa solo i log di controllo attività Amministrazione; I log di controllo degli eventi di sistema e accesso ai dati non vengono importati. Per altre informazioni sui log GCP, vedere Log di controllo cloud.

Creare un progetto dedicato

Creare un progetto dedicato in GCP nell'organizzazione per abilitare l'isolamento e la stabilità di integrazione

  1. Accedere al portale GCP usando l'account utente GCP integrato.

  2. Fare clic su Crea progetto per avviare un nuovo.

  3. Nella schermata Nuovo progetto assegnare un nome al progetto e fare clic su Crea.

    Screenshot che mostra la finestra di dialogo Di creazione progetto GCP.

Abilitare le API richieste

  1. Passare al progetto dedicato.

  2. Passare alla scheda Libreria .

  3. Cercare e selezionare API registrazione cloud e quindi nella pagina API fare clic su ABILITA.

  4. Cercare e selezionare Cloud Pub/Sub API e quindi nella pagina API fare clic su ABILITA.

    Nota

    Assicurarsi di non selezionare L'API Pub/Sub Lite.

Creare un account del servizio dedicato per l'integrazione del controllo della sicurezza

  1. In Amministratore IAM &fare clic su Account servizio.

  2. Fare clic su CREATE SERVICE ACCOUNT (CREA ACCOUNT SERVIZIO ) per creare un account del servizio dedicato.

  3. Immettere un nome account e quindi fare clic su Crea.

  4. Specificare il ruolo come pub/sub Amministrazione e quindi fare clic su Salva.

    Screenshot che mostra il ruolo di aggiunta di IAM da parte di GCP.

  5. Copiare il valore Email, sarà necessario in un secondo momento.

    Screenshot che mostra la finestra di dialogo dell'account del servizio GCP.

  6. In Amministratore IAM fare clic su IAM&.

    1. Passare al livello di organizzazione.

    2. Fare clic su ADD (AGGIUNGI).

    3. Nella casella Nuovi membri incollare il valore Email copiato in precedenza.

    4. Specificare il ruolo come writer di configurazione log e quindi fare clic su Salva.

      Screenshot che mostra la finestra di dialogo aggiungi membro.

Creare una chiave privata per l'account del servizio dedicato

  1. Passare al livello di progetto.

  2. In Amministratore IAM &fare clic su Account servizio.

  3. Aprire l'account del servizio dedicato e fare clic su Modifica.

  4. Fare clic su CREATE KEY.

  5. Nella schermata Crea chiave privata selezionare JSON e quindi fare clic su CREA.

    Screenshot che mostra la finestra di dialogo crea chiave privata.

    Nota

    Sarà necessario il file JSON scaricato nel dispositivo in un secondo momento.

Recuperare l'ID organizzazione

Prendere nota dell'ID organizzazione, sarà necessario in un secondo momento. Per altre informazioni, vedere Recupero dell'ID organizzazione.

Screenshot che mostra la finestra di dialogo ID organizzazione.

Connettere il controllo di Google Cloud Platform a Defender for Cloud Apps

Aggiungere i dettagli della connessione GCP

  1. Nel portale di Defender for Cloud Apps fare clic su Analizza e quindi su App connesse.

  2. Nella pagina Connettori app per specificare le credenziali del connettore GCP eseguire una delle operazioni seguenti:

    Nota

    È consigliabile connettere l'istanza di Google Workspace per ottenere la gestione e la governance unificata degli utenti. Questo è il consigliato anche se non si usano prodotti Google Workspace e gli utenti GCP vengono gestiti tramite il sistema di gestione utenti di Google Workspace.

    Per un nuovo connettore

    1. Fare clic sul segno più (+) seguito da Google Cloud Platform.

      connettere GCP.

    2. Nel popup specificare un nome per il connettore e quindi fare clic su Connetti Google Cloud Platform.

      Nome del connettore GCP.

    3. Nella pagina Dettagli progetto eseguire le operazioni seguenti e quindi fare clic su Connetti Google Cloud Platform.

      1. Nella casella ID organizzazione immettere l'organizzazione di cui si è fatto una nota in precedenza.
      2. Nella casella File chiave privata passare al file JSON scaricato in precedenza.

      Connettere il controllo della sicurezza delle app GCP per il nuovo connettore.

    Per un connettore esistente

    1. Nell'elenco dei connettori, nella riga in cui viene visualizzato il connettore GCP fare clic su Connetti controllo della sicurezza.

      Screenshot della pagina App connesse che mostra il collegamento Modifica controllo sicurezza.

    2. Nella pagina Dettagli progetto eseguire le operazioni seguenti e quindi fare clic su Connetti Google Cloud Platform.

      1. Nella casella ID organizzazione immettere l'organizzazione annotato in precedenza.
      2. Nella casella File di chiave privata passare al file JSON scaricato in precedenza.

      Connettere il controllo della sicurezza delle app GCP per il connettore esistente.

  3. Fare clic su Test API (Test API ) per verificare che la connessione sia riuscita.

    Il test può richiedere alcuni minuti. Al termine, viene visualizzata una notifica di esito positivo o negativo. Dopo aver ricevuto una notifica di esito positivo, fare clic su Fine.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai connettori app.

Come connettere la configurazione di sicurezza GCP a Defender for Cloud Apps

La connessione della configurazione della sicurezza GCP offre informazioni dettagliate sulle raccomandazioni di sicurezza fondamentali basate sul benchmark di Center for Internet Security (CIS) per GCP.

Seguire questa procedura per connettere la configurazione di sicurezza GCP a Defender for Cloud Apps.

Configurare GCP Security Command Center con Security Health Analytics

  1. Configurare il Centro comandi di sicurezza.

  2. Abilitare Analisi dell'integrità della sicurezza GCP.

  3. Verificare che sia presente un flusso di dati verso Security Command Center.

    Nota

    • Le istruzioni per la connessione dell'ambiente GCP per la configurazione della sicurezza seguono le raccomandazioni di Google per l'utilizzo delle raccomandazioni sulla configurazione della sicurezza. L'integrazione sfrutta Google Security Command Center e utilizzerà risorse aggiuntive che potrebbero influire sulla fatturazione.
    • Quando si abilita l'analisi dell'integrità della sicurezza per la prima volta, potrebbero essere necessarie diverse ore prima che i dati siano disponibili.

Abilitare l'API del Centro comandi di sicurezza

  1. In Libreria API di Cloud Console selezionare il progetto che si vuole connettere a Defender for Cloud Apps.
  2. Nella libreria API cercare e selezionare l'API "Centro comandi di sicurezza".
  3. Nella pagina API fare clic su ABILITA.

Creare un account del servizio dedicato per l'integrazione della configurazione della sicurezza

  1. Nel Centro comandi di sicurezza GCP selezionare il progetto che si vuole connettere a Defender per le app cloud.

  2. In Amministratore IAM &fare clic su Account di servizio.

  3. Fare clic su CREATE SERVICE ACCOUNT (CREA ACCOUNT SERVIZIO ) per creare un account del servizio dedicato.

  4. Immettere un nome account e quindi fare clic su Crea.

  5. Specificare il ruolo come Visualizzatore Amministrazione centro sicurezza e quindi fare clic su Salva.

    Screenshot che mostra l'aggiunta della voce di menu GCP per il Centro sicurezza Amministrazione Visualizzatore.

  6. Copiare il valore Email, sarà necessario in un secondo momento.

    Screenshot che mostra la copia dell'account del servizio GCP.

  7. In Amministratore IAM fare clic su IAM&.

    1. Passare al livello di organizzazione.

    2. Fare clic su ADD (AGGIUNGI).

    3. Nella casella Nuovi membri incollare il valore Email copiato in precedenza.

    4. Specificare il ruolo come Visualizzatore Amministrazione centro sicurezza e quindi fare clic su Salva.

      Screenshot che mostra la finestra di dialogo aggiungi membro al progetto.

Creare una chiave privata per l'account del servizio dedicato

  1. Passare al livello di progetto.

  2. In Amministratore IAM &fare clic su Account di servizio.

  3. Aprire l'account del servizio dedicato e fare clic su Modifica.

  4. Fare clic su CREATE KEY (CREA CHIAVE).

  5. Nella schermata Crea chiave privata selezionare JSON e quindi fare clic su CREA.

    Screenshot che mostra la finestra di dialogo Crea chiave privata per l'account del servizio dedicato.

    Nota

    Sarà necessario il file JSON scaricato nel dispositivo in un secondo momento.

Recuperare l'ID organizzazione

Prendere nota dell'ID organizzazione, sarà necessario in un secondo momento. Per altre informazioni, vedere Ottenere l'ID organizzazione. Screenshot che mostra la finestra di dialogo ID organizzazione.

Connettere la configurazione di sicurezza di Google Cloud Platform a Defender for Cloud Apps

  1. In Defender for Cloud Apps fare clic su Analizza e quindi selezionare App connesse.

  2. Nella scheda App di configurazione della sicurezza fare clic sul pulsante con il segno più e quindi selezionare Google Cloud Platform.

    Screenshot che mostra l'opzione di menu Aggiungi GCP.

  3. Nella pagina Nome istanza scegliere il tipo di istanza e quindi fare clic su Avanti.

    • Per un connettore esistente, scegliere l'istanza pertinente.

      Selezione dell'istanza GCP.

    • Per un nuovo connettore, specificare un nome per l'istanza di .

      Nome del nuovo connettore GCP.

  4. Nella pagina Dettagli progetto eseguire le operazioni seguenti e quindi fare clic su Avanti.

    1. Nella casella ID organizzazione immettere l'organizzazione annotato in precedenza.
    2. Nella casella File di chiave privata passare al file JSON scaricato in precedenza.

    Aggiungere i dettagli del progetto GCP.

  5. Nella pagina Completato verificare che la connessione sia riuscita e quindi fare clic su Fine.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai connettori app.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.