Como o Defender for Cloud Apps ajuda a proteger seu ambiente do Google Cloud Platform (GCP)

  • Artigo

O Google Cloud Platform é um provedor de IaaS que permite que sua organização hospede e gerencie todas as cargas de trabalho na nuvem. Além dos benefícios de aproveitar a infraestrutura na nuvem, os ativos mais críticos da sua organização podem estar expostos a ameaças. Os ativos expostos incluem instâncias de armazenamento com informações potencialmente confidenciais, recursos de computação que operam alguns de seus aplicativos mais críticos, portas e redes virtuais privadas que permitem o acesso à sua organização.

Conectar o GCP ao Defender for Cloud Apps ajuda você a proteger seus ativos e detetar ameaças potenciais monitorando atividades administrativas e de entrada, notificando sobre possíveis ataques de força bruta, uso mal-intencionado de uma conta de usuário privilegiada e exclusões incomuns de VMs.

Principais ameaças

  • Abuso de recursos de nuvem
  • Contas comprometidas e ameaças internas
  • Fuga de dados
  • Configuração incorreta de recursos e controle de acesso insuficiente

Como o Defender for Cloud Apps ajuda a proteger seu ambiente

Controle o GCP com políticas e modelos de política internos

Você pode usar os seguintes modelos de política internos para detetar e notificá-lo sobre ameaças potenciais:

Type Nome
Política de deteção de anomalias integrada Atividade de endereços IP anónimos
Atividade de país pouco frequente
Atividade de endereços IP suspeitos
Viagens impossíveis
Atividade realizada pelo usuário encerrado (requer ID do Microsoft Entra como IdP)
Várias tentativas de login com falha
Atividades administrativas incomuns
Várias atividades de VM de exclusão
Várias atividades incomuns de criação de VM (visualização)
Modelo de política de atividade Alterações nos recursos do mecanismo de computação
Alterações na configuração do StackDriver
Alterações nos recursos de armazenamento
Alterações à Rede Privada Virtual
Início de sessão de um endereço IP duvidoso

Para obter mais informações sobre como criar políticas, consulte Criar uma política.

Automatize os controles de governança

Além de monitorar ameaças potenciais, você pode aplicar e automatizar as seguintes ações de governança do GCP para remediar as ameaças detetadas:

Type Ação
Governação do utilizador - Exigir que o usuário redefina a senha para o Google (requer uma instância do Google Workspace vinculada conectada)
- Suspender usuário (requer instância vinculada conectada do Google Workspace)
- Notificar o usuário em alerta (via Microsoft Entra ID)
- Exigir que o usuário entre novamente (via Microsoft Entra ID)
- Suspender usuário (via Microsoft Entra ID)

Para obter mais informações sobre como remediar ameaças de aplicativos, consulte Governando aplicativos conectados.

Proteja o GCP em tempo real

Reveja as nossas melhores práticas para proteger e colaborar com utilizadores externos e bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou arriscados.

Conectar o Google Cloud Platform ao Microsoft Defender for Cloud Apps

Esta seção fornece instruções para conectar o Microsoft Defender for Cloud Apps à sua conta existente do Google Cloud Platform (GCP) usando as APIs do conector. Essa conexão oferece visibilidade e controle sobre o uso do GCP. Para obter informações sobre como o Defender for Cloud Apps protege o GCP, consulte Proteger o GCP.

Recomendamos que você use um projeto dedicado para a integração e restrinja o acesso ao projeto para manter a integração estável e evitar exclusões/modificações do processo de configuração.

Nota

As instruções para conectar seu ambiente GCP para auditoria seguem as recomendações do Google para consumir logs agregados. A integração aproveita o Google StackDriver e consumirá recursos adicionais que podem afetar seu faturamento. Os recursos consumidos são:

A conexão de auditoria do Defender for Cloud Apps importa apenas logs de auditoria de atividade do administrador; Os logs de auditoria de Acesso a Dados e Eventos do Sistema não são importados. Para obter mais informações sobre logs GCP, consulte Cloud Audit Logs.

Pré-requisitos

O usuário GCP de integração deve ter as seguintes permissões:

  • IAM e Admin edit – Nível da organização
  • Criação e edição de projetos

Você pode conectar a auditoria de segurança do GCP às conexões do Defender for Cloud Apps para obter visibilidade e controle sobre o uso do aplicativo GCP.

Configurar o Google Cloud Platform

Criar um projeto dedicado

Crie um projeto dedicado no GCP em sua organização para permitir o isolamento e a estabilidade da integração

  1. Entre no portal do GCP usando sua conta de usuário do GCP integrado.

  2. Selecione Criar projeto para iniciar um novo projeto .

  3. Na tela Novo projeto, nomeie seu projeto e selecione Criar.

    Screenshot showing GCP create project dialog.

Habilitar APIs necessárias

  1. Mude para o projeto dedicado.

  2. Vá para a guia Biblioteca .

  3. Procure e selecione Cloud Logging API e, em seguida, na página API, selecione ENABLE.

  4. Procure e selecione Cloud Pub/Sub API e, em seguida, na página API, selecione ENABLE.

    Nota

    Certifique-se de não selecionar Pub/Sub Lite API.

Criar uma conta de serviço dedicada para a integração de auditoria de segurança

  1. Em IAM & admin, selecione Contas de serviço.

  2. Selecione CREATE SERVICE ACCOUNT para criar uma conta de serviço dedicada.

  3. Introduza um nome de conta e, em seguida, selecione Criar.

  4. Especifique a função como Pub/Sub Admin e selecione Salvar.

    Screenshot showing GCP add IAM role.

  5. Copie o valor de e-mail , você precisará disso mais tarde.

    Screenshot showing GCP service account dialog.

  6. Em IAM & admin, selecione IAM.

    1. Mude para o nível da organização.

    2. Selecione ADD.

    3. Na caixa Novos membros, cole o valor Email copiado anteriormente.

    4. Especifique a função como gravador de configuração de logs e selecione Salvar.

      Screenshot showing add member dialog.

Criar uma chave privada para a conta de serviço dedicada

  1. Mude para o nível do projeto.

  2. Em IAM & admin, selecione Contas de serviço.

  3. Abra a conta de serviço dedicada e selecione Editar.

  4. Selecione CREATE KEY.

  5. No ecrã Criar chave privada, selecione JSON e, em seguida, selecione CRIAR.

    Screenshot showing create private key dialog.

    Nota

    Você precisará do arquivo JSON que será baixado para seu dispositivo mais tarde.

Recuperar o ID da sua Organização

Anote o ID da sua organização, você precisará disso mais tarde. Para obter mais informações, consulte Obtendo o ID da sua organização.

Screenshot showing organization ID dialog.

Conectar a auditoria do Google Cloud Platform ao Defender for Cloud Apps

Este procedimento descreve como adicionar os detalhes da conexão GCP para conectar a auditoria do Google Cloud Platform ao Defender for Cloud Apps.

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações.

  2. Na página Conectores de aplicativo, para fornecer as credenciais do conector GCP, siga um destes procedimentos:

    Nota

    Recomendamos que você conecte sua instância do Google Workspace para obter gerenciamento e governança unificados de usuários. Isso é recomendado mesmo se você não usar nenhum produto do Google Workspace e os usuários do GCP forem gerenciados por meio do sistema de gerenciamento de usuários do Google Workspace.

    Para um novo conector

    1. Selecione +Conectar um aplicativo, seguido pelo Google Cloud Platform.

      Connect GCP.

    2. Na janela seguinte, forneça um nome para o conector e selecione Avançar.

      GCP connector name.

    3. Na página Inserir detalhes , faça o seguinte e selecione Enviar.

      1. Na caixa ID da Organização, insira a organização da qual você anotou anteriormente.
      2. Na caixa Arquivo de chave privada, navegue até o arquivo JSON baixado anteriormente.

      Connect GCP app security auditing for new connector.

    Para um conector existente

    1. Na lista de conectores, na linha em que o conector GCP aparece, selecione Editar configurações.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Na página Inserir detalhes , faça o seguinte e selecione Enviar.

      1. Na caixa ID da Organização, insira a organização da qual você anotou anteriormente.
      2. Na caixa Arquivo de chave privada, navegue até o arquivo JSON baixado anteriormente.

      Connect GCP app security auditing for existing connector.

  3. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações. Verifique se o status do App Connector conectado é Conectado.

    Nota

    O Defender for Cloud Apps criará um coletor de exportação agregado (nível da organização), um tópico Pub/Sub e uma assinatura Pub/Sub usando a conta de serviço de integração no projeto de integração.

    O coletor de exportação agregado é usado para agregar logs em toda a organização do GCP e o tópico Pub/Sub criado é usado como destino. O Defender for Cloud Apps assina este tópico por meio da assinatura Pub/Sub criada para recuperar os logs de atividade do administrador na organização do GCP.

Se você tiver problemas para conectar o aplicativo, consulte Solução de problemas de conectores de aplicativos.

Próximos passos

Controlar as aplicações na cloud com políticas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.