Jak Defender dla Chmury Apps pomaga chronić środowisko Google Cloud Platform (GCP)
Google Cloud Platform to dostawca IaaS, który umożliwia organizacji hostowanie całych obciążeń w chmurze i zarządzanie nimi. Oprócz korzyści związanych z korzystaniem z infrastruktury w chmurze najbardziej krytyczne zasoby organizacji mogą być narażone na zagrożenia. Ujawnione zasoby obejmują wystąpienia magazynu z potencjalnie poufnymi informacjami, zasobami obliczeniowymi, które obsługują niektóre z najbardziej krytycznych aplikacji, portów i wirtualnych sieci prywatnych, które umożliwiają dostęp do organizacji.
Połączenie GCP w celu Defender dla Chmury Apps pomaga zabezpieczyć zasoby i wykrywać potencjalne zagrożenia, monitorując działania administracyjne i logowania, powiadamiając o możliwych atakach siłowych, złośliwym użyciu uprzywilejowanego konta użytkownika i nietypowych usunięciach maszyn wirtualnych.
Główne zagrożenia
- Nadużycie zasobów w chmurze
- Naruszone konta i zagrożenia wewnętrzne
- Wyciek danych
- Błędna konfiguracja zasobów i niewystarczająca kontrola dostępu
Jak Defender dla Chmury Apps pomaga chronić środowisko
- Wykrywanie zagrożeń w chmurze, kont zagrożonych i złośliwych testerów
- Używanie dziennika inspekcji działań na potrzeby badań kryminalistycznych
Sterowanie procesorem GCP za pomocą wbudowanych zasad i szablonów zasad
Do wykrywania i powiadamiania o potencjalnych zagrożeniach można użyć następujących wbudowanych szablonów zasad:
| Type | Nazwisko |
|---|---|
| Wbudowane zasady wykrywania anomalii | Działanie z anonimowych adresów IP Aktywność z rzadko występującego kraju Działanie z podejrzanych adresów IP Niemożliwa podróż Działanie wykonywane przez zakończonego użytkownika (wymaga identyfikatora Entra firmy Microsoft jako dostawcy tożsamości) Wiele nieudanych prób logowania Nietypowe działania administracyjne Wiele działań usuwania maszyny wirtualnej Nietypowe działania tworzenia wielu maszyn wirtualnych (wersja zapoznawcza) |
| Szablon zasad działania | Zmiany zasobów aparatu obliczeniowego Zmiany konfiguracji usługi StackDriver Zmiany w zasobach magazynu Zmiany w wirtualnej sieci prywatnej Logowania z ryzykownego adresu IP |
Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie zasad.
Automatyzowanie mechanizmów kontroli ładu
Oprócz monitorowania potencjalnych zagrożeń można zastosować i zautomatyzować następujące akcje ładu GCP w celu skorygowania wykrytych zagrożeń:
| Typ | Akcja |
|---|---|
| Zarządzanie użytkownikami | — Wymagaj od użytkownika zresetowania hasła do usługi Google (wymaga połączonego wystąpienia usługi Google Workspace) — Wstrzymaj użytkownika (wymaga połączonego wystąpienia usługi Google Workspace) — Powiadamianie użytkownika o alercie (za pośrednictwem identyfikatora Entra firmy Microsoft) — Wymagaj od użytkownika ponownego logowania (za pośrednictwem identyfikatora Entra firmy Microsoft) — Zawieszanie użytkownika (za pośrednictwem identyfikatora Entra firmy Microsoft) |
Aby uzyskać więcej informacji na temat korygowania zagrożeń z aplikacji, zobacz Zarządzanie połączonymi aplikacjami.
Ochrona procesora GCP w czasie rzeczywistym
Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi zabezpieczania i współpracy z użytkownikami zewnętrznymi oraz blokowania i ochrony pobierania poufnych danych do niezarządzanych lub ryzykownych urządzeń.
Połączenie Google Cloud Platform do Microsoft Defender dla Chmury Apps
Ta sekcja zawiera instrukcje dotyczące łączenia aplikacji Microsoft Defender dla Chmury z istniejącym kontem platformy Google Cloud Platform (GCP) przy użyciu interfejsów API łącznika. To połączenie zapewnia wgląd i kontrolę nad użyciem platformy GCP. Aby uzyskać informacje o sposobie ochrony Defender dla Chmury Apps gCP, zobacz Protect GCP (Ochrona platformy GCP).
Zalecamy użycie dedykowanego projektu do integracji i ograniczenie dostępu do projektu w celu zachowania stabilnej integracji i zapobiegania usuwaniu/modyfikacjom procesu instalacji.
Uwaga
Instrukcje dotyczące łączenia środowiska GCP na potrzeby inspekcji są zgodne z zaleceniami firmy Google dotyczącymi używania zagregowanych dzienników. Integracja korzysta z usługi Google StackDriver i będzie korzystać z dodatkowych zasobów, które mogą mieć wpływ na rozliczenia. Zużyte zasoby to:
- Zagregowany ujście eksportu — poziom organizacji
- Temat Pub/Sub — poziom projektu GCP
- Subskrypcja Pub/Sub — poziom projektu GCP
Inspekcja połączenia Defender dla Chmury Apps importuje tylko dzienniki inspekcji aktywności Administracja; Dzienniki inspekcji dostępu do danych i zdarzeń systemu nie są importowane. Aby uzyskać więcej informacji na temat dzienników GCP, zobacz Dzienniki inspekcji w chmurze.
Wymagania wstępne
Zintegrowanie użytkownika platformy GCP musi mieć następujące uprawnienia:
- Zarządzanie dostępem i tożsamościami i edytowanie Administracja — poziom organizacji
- Tworzenie i edytowanie projektu
Inspekcję zabezpieczeń GCP można połączyć z połączeniami usługi Defender dla Chmury Apps, aby uzyskać wgląd w korzystanie z aplikacji GCP i kontrolować ich użycie.
Konfigurowanie platformy Google Cloud Platform
Tworzenie dedykowanego projektu
Utwórz dedykowany projekt w GCP w organizacji, aby umożliwić izolację integracji i stabilność
Zaloguj się do portalu GCP przy użyciu zintegrowanego konta użytkownika platformy GCP.
Wybierz pozycję Utwórz projekt , aby rozpocząć nowy projekt.
Na ekranie Nowy projekt nadaj projektowi nazwę i wybierz pozycję Utwórz.
Włączanie wymaganych interfejsów API
Przejdź do dedykowanego projektu.
Przejdź do karty Biblioteka .
Wyszukaj i wybierz pozycję Interfejs API rejestrowania w chmurze, a następnie na stronie interfejsu API wybierz pozycję WŁĄCZ.
Wyszukaj i wybierz pozycję Cloud Pub/Sub API, a następnie na stronie interfejsu API wybierz pozycję WŁĄCZ.
Uwaga
Upewnij się, że nie wybrano interfejsu API Pub/Sub Lite.
Tworzenie dedykowanego konta usługi na potrzeby integracji inspekcji zabezpieczeń
W obszarze Zarządzanie dostępem i tożsamościami wybierz pozycję Konta usług.
Wybierz pozycję UTWÓRZ KONTO USŁUGI, aby utworzyć dedykowane konto usługi.
Wprowadź nazwę konta, a następnie wybierz pozycję Utwórz.
Określ rolę jako pub/sub Administracja, a następnie wybierz pozycję Zapisz.
Skopiuj wartość Wiadomość e-mail. Będzie to potrzebne później.
W obszarze Zarządzanie dostępem i tożsamościami wybierz pozycję Zarządzanie dostępem i tożsamościami.
Przejdź na poziom organizacji.
Wybierz pozycję DODAJ.
W polu Nowe elementy członkowskie wklej skopiowaną wcześniej wartość e-mail.
Określ rolę jako składnik zapisywania konfiguracji dzienników, a następnie wybierz pozycję Zapisz.
Tworzenie klucza prywatnego dla dedykowanego konta usługi
Przejdź na poziom projektu.
W obszarze Zarządzanie dostępem i tożsamościami wybierz pozycję Konta usług.
Otwórz dedykowane konto usługi i wybierz pozycję Edytuj.
Wybierz pozycję CREATE KEY (UTWÓRZ KLUCZ).
Na ekranie Tworzenie klucza prywatnego wybierz pozycję JSON, a następnie wybierz pozycję UTWÓRZ.
Uwaga
Będziesz potrzebować pliku JSON pobranego na urządzenie później.
Pobieranie identyfikatora organizacji
Zanotuj identyfikator organizacji. Będzie to potrzebne później. Aby uzyskać więcej informacji, zobacz Pobieranie identyfikatora organizacji.
inspekcja platformy Połączenie Google Cloud Platform w usłudze Defender dla Chmury Apps
W tej procedurze opisano sposób dodawania szczegółów połączenia GCP w celu połączenia inspekcji platformy Google Cloud Platform z aplikacjami Defender dla Chmury.
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączenie ed apps (Aplikacje Połączenie ed) wybierz pozycję App Połączenie ors (Połączenie ors).
Na stronie Łącznik aplikacji, aby podać poświadczenia łącznika GCP, wykonaj jedną z następujących czynności:
Uwaga
Zalecamy połączenie wystąpienia usługi Google Workspace w celu uzyskania ujednoliconego zarządzania użytkownikami i zapewniania ładu. Jest to zalecane, nawet jeśli nie używasz żadnych produktów Google Workspace, a użytkownicy GCP są zarządzani za pośrednictwem systemu zarządzania użytkownikami usługi Google Workspace.
W przypadku nowego łącznika
Wybierz pozycję +Połączenie aplikację, a następnie pozycję Google Cloud Platform.
W następnym oknie podaj nazwę łącznika, a następnie wybierz przycisk Dalej.
Na stronie Wprowadź szczegóły wykonaj następujące czynności, a następnie wybierz pozycję Prześlij.
- W polu Identyfikator organizacji wprowadź organizację zanotową wcześniej.
- W polu Plik klucza prywatnego przejdź do pobranego wcześniej pliku JSON.
Dla istniejącego łącznika
Na liście łączników w wierszu, w którym pojawi się łącznik GCP, wybierz pozycję Edytuj ustawienia.
Na stronie Wprowadź szczegóły wykonaj następujące czynności, a następnie wybierz pozycję Prześlij.
- W polu Identyfikator organizacji wprowadź organizację zanotową wcześniej.
- W polu Plik klucza prywatnego przejdź do pobranego wcześniej pliku JSON.
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączenie ed apps (Aplikacje Połączenie ed) wybierz pozycję App Połączenie ors (Połączenie ors). Upewnij się, że stan połączonej Połączenie or aplikacji jest Połączenie.
Uwaga
Defender dla Chmury Apps utworzy zagregowany ujście eksportu (na poziomie organizacji), temat Pub/Sub i subskrypcję Pub/Sub przy użyciu konta usługi integracji w projekcie integracji.
Zagregowany ujście eksportu służy do agregowania dzienników w organizacji GCP, a utworzony temat Pub/Sub jest używany jako miejsce docelowe. Defender dla Chmury Apps subskrybuje ten temat za pośrednictwem subskrypcji Pub/Sub utworzonej w celu pobrania dzienników aktywności administratora w organizacji GCP.
Jeśli masz problemy z nawiązywaniem połączenia z aplikacją, zobacz Rozwiązywanie problemów z Połączenie orami aplikacji.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.