Connessione Google Workspace per Microsoft Defender for Cloud Apps

  • Articolo
  • 5 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo fornisce istruzioni per la connessione di Microsoft Defender for Cloud Apps all'account Google Workspace esistente usando le API del connettore. Questa connessione consente di visualizzare e controllare l'uso di Google Workspace. Per informazioni su come Defender per il cloud Apps protegge Google Workspace, vedere Proteggere Google Workspace.

Nota

Le attività di download dei file per Google Workspace non vengono visualizzate in Defender per il cloud Apps.

Configurare Google Workspace

  1. Come Amministrazione di Google Workspace Super, accedere a https://console.cloud.google.com.

  2. Selezionare Crea progetto per avviare un nuovo progetto.

    Google create project.

  3. Nella pagina Nuovo progetto assegnare al progetto il nome seguente: Defender per il cloud App e selezionare Crea.

    Google new project pop-up.

  4. Dopo aver creato il progetto, nella barra degli strumenti selezionare Google Cloud Platform. Assicurarsi che il progetto corretto sia selezionato nell'elenco a discesa nella parte superiore.
    Copiare il numero di Project, sarà necessario in un secondo momento.

    Select Google Cloud Platform in tool bar.

  5. Nel menu di spostamento, in ALTRI PRODOTTI, passare a LIBRERIA servizi API&>.

    Google Workspace navigation menu.

    Abilitare le API seguenti (usare la barra di ricerca se l'API non è elencata):

    • API Amministrazione SDK
    • Google Drive API

    Per ogni API selezionare Abilita per attivarla.

    enable Google API.

    Nota

    Per il momento ignorare l'avviso relativo a Credentials (Credenziali).

  6. Nel menu di spostamento passare aDashboard dei servizi API&>. Selezionare Amministrazione API SDK e Google Drive API e verificare che siano abilitate.

    Google Workspace confirm APIs are enabled.

  7. Nel menu di spostamento passare a API & Credenziali dei servizi> ed eseguire la procedura seguente:

    1. Selezionare CREATE CREDENTIALS (CREA CREDENZIALI ) e quindi Service Account (Account del servizio).

    2. In Dettagli dell'account del servizio:

      1. Specificare il nome seguente: Defender per il cloud Apps
      2. Specificare la descrizione seguente: Connettore API da Defender a Cloud App a un account Google Workspace

        Nota

        Il nome e la descrizione possono essere diversi. Questi sono esempi per praticità.

      3. Selezionare CREATE AND CONTINUE (CREA E CONTINUA). Google Workspace service account details.

    3. In Concedi l'accesso all'account del servizio al progettoselezionareRuolo Project>Editor e quindi selezionare Fine. Google Workspace grant service account access.

    4. Nel menu di spostamento tornare alle credenziali dei & servizi> API.

    5. In Account di servizio individuare e modificare l'account del servizio creato in precedenza selezionando l'icona a forma di matita.

      Google edit service account.

    6. Copiare l'indirizzo di posta elettronica. Sarà necessario più avanti.

    7. In Chiavi scegliere Crea nuova chiave dal menu ADD KEY, selezionare P12 e quindi crea. Salvare il file scaricato, che sarà necessario in un secondo momento.

  8. Nel menu di spostamento passare a Account IAM & Amministrazione>Servizio. Copiare l'ID client assegnato all'account del servizio appena creato. Sarà necessario in un secondo momento.

    Google Workspace credentials service account.

  9. Passare a admin.google.com e nel menu di spostamento passare a Accesso alla sicurezza> econtrolli APIcontrollo> dati. Eseguire quindi le operazioni seguenti:

    1. In Delega a livello di dominio selezionare GESTISCI DELEGA A LIVELLO DI DOMINIO. Google Workspace domain wide delegation.

    2. Selezionare Aggiungi nuova. Google Workspace add new client ID.

    3. Nella casella ID client immettere l'ID client copiato in precedenza.

    4. Nella casella Ambiti OAuth immettere l'elenco seguente di ambiti obbligatori (copiare il testo e incollarlo nella casella):
      https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user

    5. Selezionare AUTORIZZA.

      Google Workspace authorize new client ID.

Configurare app Defender per il cloud

  1. Nel portale Defender per il cloud Apps selezionare Analisi e quindi App connesse.

  2. Per specificare i dettagli di connessione di Google Workspace, in Connettori app eseguire una delle operazioni seguenti:

    Per un'organizzazione Google Workspace che dispone già di un'istanza GCP connessa

    • Nell'elenco dei connettori, alla fine della riga in cui viene visualizzata l'istanza GCP, selezionare i tre puntini e quindi selezionare Aggiungi Google Workspace.

    Per un'organizzazione Google Workspace che non dispone già di un'istanza GCP connessa

    • Nella pagina App connesse selezionare il segno più (+) e selezionare Google Workspace.

  3. Nella finestra popup compilare le informazioni seguenti:

    Google Workspace Configuration in Defender for Cloud Apps.

    1. Immettere l'ID dell'account del servizio, il messaggio di posta elettronica copiato in precedenza.

    2. Immettere il numero di Project (ID app) copiato in precedenza.

    3. Upload il file del certificato P12 salvato in precedenza.

    4. Immettere un indirizzo di posta elettronica dell'account amministratore di Google Workspace.

    5. Se si ha un account Google Workspace Business o Enterprise, selezionare questa casella di controllo. Per informazioni sulle funzionalità disponibili in Defender per il cloud Apps for Google Workspace Business o Enterprise, vedere Abilitare la visibilità immediata, la protezione e le azioni di governance per le app.

    6. Selezionare Salva impostazioni.

    7. Assicurarsi che la connessione sia riuscita selezionando Test now (Testa adesso).
      Il test può richiedere alcuni minuti.
      Dopo aver ricevuto un avviso di esito positivo, selezionare Fine e chiudere la pagina Google Workspace.

Dopo aver connesso Google Workspace, riceverai eventi per sette giorni prima della connessione.

Dopo aver connesso Google Workspace, Defender per il cloud Apps esegue un'analisi completa. A seconda del numero di file e di utenti disponibili, il completamento dell'analisi completa può richiedere un po' di tempo. Per abilitare l'analisi in tempo quasi reale, i file in cui è stata rilevata attività vengono spostati all'inizio della coda di analisi. Ad esempio, un file che viene modificato, aggiornato o condiviso viene analizzato immediatamente. Ciò non vale per i file non modificati intrinsecamente. Ad esempio, i file visualizzati, visualizzati in anteprima, stampati o esportati vengono analizzati durante l'analisi regolare.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai connettori app.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.