Så här skyddar Defender för molnet Apps din GCP-miljö (Google Cloud Platform)

  • Artikel

Google Cloud Platform är en IaaS-leverantör som gör det möjligt för din organisation att vara värd för och hantera hela sina arbetsbelastningar i molnet. Förutom fördelarna med att utnyttja infrastrukturen i molnet kan organisationens mest kritiska tillgångar exponeras för hot. Exponerade tillgångar omfattar lagringsinstanser med potentiellt känslig information, beräkningsresurser som driver några av dina mest kritiska program, portar och virtuella privata nätverk som ger åtkomst till din organisation.

Anslut ing GCP to Defender för molnet Apps hjälper dig att skydda dina tillgångar och identifiera potentiella hot genom att övervaka administrativa aktiviteter och inloggningsaktiviteter, meddela om möjliga råstyrkeattacker, skadlig användning av ett privilegierat användarkonto och ovanliga borttagningar av virtuella datorer.

Huvudsakliga hot

  • Missbruk av molnresurser
  • Komprometterade konton och insiderhot
  • Dataläckage
  • Felkonfiguration av resurser och otillräcklig åtkomstkontroll

Så här skyddar Defender för molnet-appar din miljö

Kontrollera GCP med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ Name
Inbyggd princip för avvikelseidentifiering Aktivitet från anonyma IP-adresser
Aktivitet från sällan förekommande land
Aktivitet från misstänkta IP-adresser
Omöjlig resa
Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP)
Flera misslyckade inloggningsförsök
Ovanliga administrativa aktiviteter
Flera borttagningsaktiviteter för virtuella datorer
Ovanliga aktiviteter för att skapa virtuella datorer (förhandsversion)
Mall för aktivitetsprincip Ändringar i beräkningsmotorresurser
Ändringar i StackDriver-konfiguration
Ändringar i lagringsresurser
Ändringar i virtuellt privat nätverk
Inloggning från en riskfylld IP-adress

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande GCP-styrningsåtgärder för att åtgärda identifierade hot:

Typ Åtgärd
Användarstyrning – Kräv att användaren återställer lösenordet till Google (kräver en länkad Google Workspace-instans)
– Pausa användare (kräver en länkad Google Workspace-instans)
– Meddela användaren vid avisering (via Microsoft Entra-ID)
– Kräv att användaren loggar in igen (via Microsoft Entra-ID)
– Pausa användare (via Microsoft Entra-ID)

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda GCP i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Anslut Google Cloud Platform till Microsoft Defender för molnet Apps

Det här avsnittet innehåller instruktioner för hur du ansluter Microsoft Defender för molnet Apps till ditt befintliga GCP-konto (Google Cloud Platform) med hjälp av anslutnings-API:erna. Den här anslutningen ger dig insyn i och kontroll över GCP-användning. Information om hur Defender för molnet Apps skyddar GCP finns i Skydda GCP.

Vi rekommenderar att du använder ett dedikerat projekt för integreringen och begränsar åtkomsten till projektet för att upprätthålla en stabil integrering och förhindra borttagningar/ändringar av installationsprocessen.

Kommentar

Anvisningarna för att ansluta din GCP-miljö för granskning följer Googles rekommendationer för användning av aggregerade loggar. Integreringen utnyttjar Google StackDriver och förbrukar ytterligare resurser som kan påverka din fakturering. De förbrukade resurserna är:

Granskningsanslutningen Defender för molnet Appar importerar endast granskningsloggar för administratörsaktivitet. Granskningsloggar för dataåtkomst och systemhändelse importeras inte. Mer information om GCP-loggar finns i Cloud Audit Logs (Molngranskningsloggar).

Förutsättningar

Den integrerande GCP-användaren måste ha följande behörigheter:

  • Redigera IAM och administratör – organisationsnivå
  • Skapa och redigera projekt

Du kan ansluta GCP-säkerhetsgranskning till dina Defender för molnet Apps-anslutningar för att få insyn i och kontroll över GCP-appanvändning.

Konfigurera Google Cloud Platform

Skapa ett dedikerat projekt

Skapa ett dedikerat projekt i GCP under din organisation för att möjliggöra integreringsisolering och stabilitet

  1. Logga in på GCP-portalen med ditt integrerande GCP-användarkonto.

  2. Välj Skapa projekt för att starta ett nytt projekt.

  3. På skärmen Nytt projekt namnger du projektet och väljer Skapa.

    Screenshot showing GCP create project dialog.

Aktivera nödvändiga API:er

  1. Växla till det dedikerade projektet.

  2. Gå till fliken Bibliotek .

  3. Sök efter och välj Api för molnloggning och välj sedan AKTIVERA på API-sidan.

  4. Sök efter och välj Cloud Pub/Sub API och välj sedan AKTIVERA på API-sidan.

    Kommentar

    Kontrollera att du inte väljer Pub/Sub Lite API.

Skapa ett dedikerat tjänstkonto för integrering av säkerhetsgranskning

  1. Under IAM &admin väljer du Tjänstkonton.

  2. Välj SKAPA TJÄNSTKONTO för att skapa ett dedikerat tjänstkonto.

  3. Ange ett kontonamn och välj sedan Skapa.

  4. Ange rollen som pub/underadministratör och välj sedan Spara.

    Screenshot showing GCP add IAM role.

  5. Kopiera e-postvärdet. Du behöver det senare.

    Screenshot showing GCP service account dialog.

  6. Under IAM &admin väljer du IAM.

    1. Växla till organisationsnivå.

    2. Välj LÄGG till.

    3. I rutan Nya medlemmar klistrar du in värdet e-post som du kopierade tidigare.

    4. Ange rollen som loggkonfigurationsskrivare och välj sedan Spara.

      Screenshot showing add member dialog.

Skapa en privat nyckel för det dedikerade tjänstkontot

  1. Växla till projektnivå.

  2. Under IAM &admin väljer du Tjänstkonton.

  3. Öppna det dedikerade tjänstkontot och välj Redigera.

  4. Välj SKAPA NYCKEL.

  5. På skärmen Skapa privat nyckel väljer du JSON och sedan SKAPA.

    Screenshot showing create private key dialog.

    Kommentar

    Du behöver JSON-filen som laddas ned till enheten senare.

Hämta ditt organisations-ID

Anteckna ditt organisations-ID. Du behöver detta senare. Mer information finns i Hämta ditt organisations-ID.

Screenshot showing organization ID dialog.

Anslut Granskning av Google Cloud Platform till Defender för molnet Apps

Den här proceduren beskriver hur du lägger till GCP-anslutningsinformation för att ansluta Google Cloud Platform-granskning till Defender för molnet Apps.

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslut appar väljer du App Anslut orer.

  2. Gör något av följande för att ange autentiseringsuppgifterna för GCP-anslutningsappen på sidan Anslutningsverktyg s:

    Kommentar

    Vi rekommenderar att du ansluter din Google Workspace-instans för att få enhetlig användarhantering och styrning. Detta rekommenderas även om du inte använder några Google Workspace-produkter och GCP-användarna hanteras via Google Workspace-användarhanteringssystemet.

    För en ny anslutningsapp

    1. Välj +Anslut en app följt av Google Cloud Platform.

      Connect GCP.

    2. I nästa fönster anger du ett namn för anslutningsappen och väljer sedan Nästa.

      GCP connector name.

    3. På sidan Ange information gör du följande och väljer sedan Skicka.

      1. I rutan Organisations-ID anger du den organisation som du antecknade tidigare.
      2. I rutan Privat nyckel bläddrar du till JSON-filen som du laddade ned tidigare.

      Connect GCP app security auditing for new connector.

    För en befintlig anslutningsapp

    1. I listan över anslutningsappar går du till raden där GCP-anslutningsappen visas och väljer Redigera inställningar.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. På sidan Ange information gör du följande och väljer sedan Skicka.

      1. I rutan Organisations-ID anger du den organisation som du antecknade tidigare.
      2. I rutan Privat nyckel bläddrar du till JSON-filen som du laddade ned tidigare.

      Connect GCP app security auditing for existing connector.

  3. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslut appar väljer du App Anslut orer. Kontrollera att statusen för den anslutna app-Anslut eller är Anslut.

    Kommentar

    Defender för molnet Apps skapar en aggregerad exportmottagare (organisationsnivå), ett pub-/underämne och pub/underprenumeration med integrationstjänstkontot i integrationsprojektet.

    Aggregerad exportmottagare används för att aggregera loggar i GCP-organisationen och det Pub/Sub-ämne som skapas används som mål. Defender för molnet Apps prenumererar på det här avsnittet via pub-/underprenumerationen som skapats för att hämta administratörsaktivitetsloggarna i GCP-organisationen.

Om du har problem med att ansluta appen kan du läsa Felsöka app Anslut orer.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.