Ligação plataforma Google Cloud para o Microsoft Defender para aplicações cloud
Nota
Rebaptizámo-Microsoft Cloud App Security. Chama-se Agora Microsoft Defender para Aplicações Cloud. Nas próximas semanas, atualizaremos as imagens e instruções aqui e em páginas relacionadas. Para mais informações sobre a mudança, consulte este anúncio. Para saber mais sobre o recente renomeamento dos serviços de segurança da Microsoft, consulte o blog Microsoft Ignite Security.
Este artigo fornece instruções para ligar o Microsoft Defender para apps cloud à sua conta existente na Plataforma Google Cloud (GCP) utilizando as APIs do conector. Esta ligação dá-lhe visibilidade e controlo sobre a utilização do GCP. Para obter informações sobre como o Defender for Cloud Apps protege o GCP, consulte Protect GCP.
Recomendamos que utilize um projeto dedicado para a integração e restringir o acesso ao projeto para manter uma integração estável e evitar supressões/modificações do processo de configuração. Além disso, se a sua instância GCP faz parte de uma instância do Google Workspace já ligada ao Defender para aplicações em nuvem, recomendamos seguir a instância para um GCP que faz parte de uma organização conectada do Google Workspace quando adiciona os detalhes da ligação GCP.
Pré-requisitos
O utilizador GCP integrado deve ter as seguintes permissões:
- Edição IAM e Administrador – Nível de organização
- Project criação e edição
Pode ligar um ou ambos os seguintes GCP ao Defender para ligações cloud Apps:
- Auditoria de segurança: Esta ligação dá-lhe visibilidade e controlo sobre o uso da aplicação GCP.
- Configuração desegurança : Esta ligação dá-lhe recomendações fundamentais de segurança baseadas no referencial do Center for Internet Security (CIS) para o GCP.
Uma vez que pode adicionar qualquer uma ou ambas as ligações, os passos deste artigo são escritos como instruções independentes. Se já adicionou uma das ligações, sempre que relevante editar as configurações existentes.
Como ligar auditorias de segurança da GCP ao Defender para apps cloud
A ligação da auditoria de segurança GCP dá-lhe visibilidade e controlo sobre o uso de aplicações GCP.
Siga estes passos para ligar a auditoria de segurança da GCP ao Defender para aplicações cloud.
Configure a Plataforma Cloud do Google
Nota
As instruções para ligar o seu ambiente GCP para auditoria seguem as recomendações da Google para consumir registos agregados. A integração alavanca o Google StackDriver e irá consumir recursos adicionais que podem afetar a sua faturação. Os recursos consumidos são:
- Pia de exportação agregada - Nível de organização
- Pub/Sub topic – Nível de projeto do GCP
- Pub/Sub subscrição - Nível de projeto do GCP
O Defender for Cloud Apps auditando a ligação apenas importa registos de auditoria da Admin Activity; Os registos de auditoria do Data Access e do Evento do Sistema não são importados. Para obter mais informações sobre os registos GCP, consulte os Registos de Auditoria em Nuvem.
Criar um projeto dedicado
Crie um projeto dedicado na GCP sob a sua organização para permitir o isolamento e estabilidade da integração
Inscreva-se no seu portal GCP utilizando a sua conta de utilizador GCP integrada.
Clique em Criar Project para iniciar um novo.
No novo ecrã do projeto, nomeie o seu projeto e clique em Criar.

Ativar apis necessários
Mude para o projeto dedicado.
Vá ao separador da Biblioteca.
Procure e selecione API de registo de nuveme, em seguida, na página API, clique em ENABLE.
Procure e selecione Cloud Pub/Sub API, e, em seguida, na página API, clique em ENABLE.
Nota
Certifique-se de que não seleciona API pub/Sub Lite.
Criar uma conta de serviço dedicada para a integração da auditoria de segurança
Sob o administrador do IAM,clique nas contas de Serviço.
Clique em CREATE SERVICE ACCOUNT para criar uma conta de serviço dedicada.
Introduza um nome de conta e, em seguida, clique em Criar.
Especifique a Função como Pub/Sub Admin e, em seguida, clique em Guardar.

Copie o valor do e-mail, vai precisar disso mais tarde.

Sob o administrador IAM,clique no IAM.
Mude para o nível de organização.
Clique em ADD.
Na caixa de novos membros, cole o valor de e-mail que copiou anteriormente.
Especifique o Papel como Argumentista de Configuração de Registos e, em seguida, clique em Guardar.

Criar uma chave privada para a conta de serviço dedicada
Mude para o nível de projeto.
Sob o administrador do IAM,clique nas contas de Serviço.
Abra a conta de serviço dedicada e clique em Editar.
CLIQUE NA TECLA CREATE.
No ecrã de teclas privada Create, selecione JSONe, em seguida, clique em CREATE.

Nota
Você precisará do ficheiro JSON que é descarregado para o seu dispositivo mais tarde.
Recupere o seu ID de organização
Tome nota da sua identificação da Organização,vai precisar disto mais tarde. Para mais informações, consulte obter o seu ID da sua organização.

Ligação plataforma google cloud auditando para Defender para apps cloud
Adicione os detalhes da ligação GCP
No portal Defender for Cloud Apps, clique em Investigar e, em seguida, Ligar as aplicações.
Na página de conectores app, para fornecer as credenciais do conector GCP, faça uma das seguintes:
Nota
Recomendamos que conecte a sua instância do Google Workspace para obter uma gestão e governação unificadas do utilizador. Este é o recomendado mesmo que não utilize nenhum produto do Google Workspace e os utilizadores de GCP são geridos através do sistema de gestão de utilizadores do Google Workspace.
Para um novo conector
Clique no sinal mais + () seguido pela +.

No pop-up, forneça um nome para o conector e, em seguida, clique Ligação Plataforma Google Cloud.

Na página de detalhes Project, faça o seguinte e, em seguida, clique Ligação Plataforma Google Cloud.
- Na caixa de identificação da Organização, insira a organização da seguinte vez.
- Na caixa de ficheiros Private, consulte o ficheiro JSON que descarregou anteriormente.

Para um conector existente
Na lista de conectores, na linha em que aparece o conector GCP, clique em Ligação auditoria de segurança.

Na página de detalhes Project, faça o seguinte e, em seguida, clique Ligação Plataforma Google Cloud.
- Na caixa de identificação da Organização, insira a organização da seguinte vez.
- Na caixa de ficheiros Private, consulte o ficheiro JSON que descarregou anteriormente.

Clique em API de teste para se certificar de que a ligação foi bem sucedida.
O teste poderá demorar alguns minutos. Quando estiver terminado, obtém-se uma notificação de sucesso ou falha. Depois de receber uma notificação de sucesso, clique em Concluído.
Se tiver algum problema em ligar a aplicação, consulte os Conectores de Aplicação de Resolução de Problemas.
Como ligar a configuração de segurança GCP ao Defender para apps cloud
A configuração de segurança do GCP de ligação dá-lhe informações sobre recomendações de segurança fundamentais baseadas no referencial do Center for Internet Security (CIS) para o GCP.
Siga estes passos para ligar a configuração de segurança GCP ao Defender para aplicações cloud.
- Criar o Centro de Comando de Segurança GCP com Análise de Saúde de Segurança
- Ativar o Centro de Comando de Segurança API
- Criar uma conta de serviço dedicada para a integração da configuração de segurança
- Ligação configuração de segurança da Plataforma Google Cloud para Defender para Aplicações cloud
Criar o Centro de Comando de Segurança GCP com Análise de Saúde de Segurança
Verifique se há dados a fluir para o Centro de Comando de Segurança.
Nota
- As instruções para ligar o ambiente GCP para configuração de segurança seguem as recomendações da Google para consumir recomendações de configuração de segurança. A integração alavanca o Google Security Command Center e irá consumir recursos adicionais que podem afetar a sua faturação.
- Quando ativa pela primeira vez o Security Health Analytics, pode demorar várias horas para os dados estarem disponíveis.
Ativar o Centro de Comando de Segurança API
- Na Cloud Console API Library, selecione o projeto que pretende ligar ao Defender para aplicações cloud.
- Na Biblioteca API, procure e selecione o "Centro de Comando de Segurança API".
- Na página API, clique em ENABLE.
Criar uma conta de serviço dedicada para a integração da configuração de segurança
No Centro de Comando de Segurança GCP, selecione o projeto que pretende ligar ao Defender para Aplicações Cloud.
Sob o administrador do IAM,clique nas contas de Serviço.
Clique em CREATE SERVICE ACCOUNT para criar uma conta de serviço dedicada.
Introduza um nome de conta e, em seguida, clique em Criar.
Especifique a Função como Visualizador de Administração do Centro de Segurança e, em seguida, clique em Guardar.

Copie o valor do e-mail, vai precisar disso mais tarde.

Sob o administrador IAM,clique no IAM.
Mude para o nível de organização.
Clique em ADD.
Na caixa de novos membros, cole o valor de e-mail que copiou anteriormente.
Especifique a Função como Visualizador de Administração do Centro de Segurança e, em seguida, clique em Guardar.

Criar uma chave privada para a conta de serviço dedicada
Mude para o nível de projeto.
Sob o administrador do IAM,clique nas contas de Serviço.
Abra a conta de serviço dedicada e clique em Editar.
CLIQUE NA TECLA CREATE.
No ecrã de teclas privada Create, selecione JSONe, em seguida, clique em CREATE.

Nota
Você precisará do ficheiro JSON que é descarregado para o seu dispositivo mais tarde.
Recupere o seu ID de organização
Tome nota da sua identificação da Organização,vai precisar disto mais tarde. Para mais informações, consulte obter o seu ID da sua organização.

Ligação configuração de segurança da Plataforma Google Cloud para Defender para Aplicações cloud
No Defender para Apps cloud, clique em Investigare, em seguida, selecione aplicações Conectadas.
No separador de aplicações de configuração de Segurança, clique no botão mais e, em seguida, selecione a Plataforma Google Cloud.

Na página de nomes de Instância, escolha o tipo de instância e, em seguida, clique em Seguinte.
Para um conector existente, escolha a instância relevante.

Para um novo conector, forneça um nome para o exemplo.

Na página de detalhes Project, faça o seguinte e, em seguida, clique em Seguinte.
- Na caixa de identificação da Organização, insira a organização da seguinte vez.
- Na caixa de ficheiros Private, consulte o ficheiro JSON que descarregou anteriormente.

Na página Terminada, certifique-se de que a ligação foi bem sucedida e, em seguida, clique em Terminado.
Se tiver algum problema em ligar a aplicação, consulte os Conectores de Aplicação de Resolução de Problemas.
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.