適用於雲端的 Defender 應用程式如何協助保護您的 Google 工作區環境

  • 發行項

Google Workspace 是雲端檔案儲存和共同作業工具,可讓您的使用者以簡化且有效率的方式,在組織與合作夥伴之間共用其檔。 使用Google Workspace不僅會在內部公開您的敏感數據,也會公開給外部共同作業者,甚至更糟地透過共用連結公開。 這類事件可能是由惡意執行者或未察覺的員工所造成。 Google Workspace 也提供大型第三方應用程式生態系統,以協助提高生產力。 使用這些應用程式可能會讓您的組織面臨惡意應用程式的風險,或使用具有過多許可權的應用程式。

連線 Google Workspace 適用於雲端的 Defender Apps 可讓您改善使用者活動的見解、使用機器學習型異常偵測、資訊保護偵測(例如偵測外部資訊共用)、啟用自動化補救控制,以及偵測組織中已啟用第三方應用程式的威脅。

主要威脅

  • 遭入侵的帳戶和內部威脅
  • 數據外洩
  • 安全性感知不足
  • 惡意的第三方應用程式和Google附加元件
  • 惡意程式碼
  • 勒索軟體
  • 非受控攜帶您自己的裝置 (BYOD)

適用於雲端的 Defender 應用程式如何協助保護您的環境

SaaS 安全性狀態管理

連線 Google Workspace,以在 Microsoft 安全分數中自動取得安全性建議。 在 [安全分數] 中,選取 [ 建議動作 ],然後依 [產品 = Google 工作區] 進行篩選。

Google Workspace 支援啟用 MFA 強制執行的安全性建議

如需詳細資訊,請參閱

使用內建原則和原則範本控制 Google 工作區

您可以使用下列內建原則範本來偵測並通知您潛在威脅:

類型 名稱
內建異常偵測原則 匿名 IP 位址的活動
非經常性國家/地區的活動
可疑 IP 位址的活動
不可能的移動
由終止使用者 執行的活動(需要 Microsoft Entra ID 作為 IdP)
惡意程式碼偵測
多次失敗的登入嘗試
不尋常的系統管理活動
活動原則範本 從有風險的 IP 位址登入
檔案原則範本 偵測與未經授權的網域共用的檔案
偵測與個人電子郵件地址共用的檔案
使用 PII/PCI/PHI 偵測檔案

如需建立原則的詳細資訊,請參閱 建立原則

自動化治理控制件

除了監視潛在威脅之外,您還可以套用並自動化下列 Google Workspace 治理動作來補救偵測到的威脅:

類型 動作
資料控管 - 套用 Microsoft Purview 資訊保護 敏感度標籤
- 將讀取許可權授與網域
- 將Google雲端硬盤中的檔案/資料夾設為私人
- 減少檔案/資料夾的公用存取
- 從檔案中移除共同作業者
- 移除 Microsoft Purview 資訊保護 敏感度標籤
- 移除檔案/資料夾上的外部共同作業者
- 移除檔案編輯器共用的能力
- 移除檔案/資料夾的公用存取權
- 要求使用者將密碼重設為Google
- 將 DLP 違規摘要傳送給檔案擁有者
- 將 DLP 違規傳送至最後一個檔案編輯器
- 傳輸檔案擁有權
- 垃圾箱檔案
使用者治理 - 暫停使用者
- 透過 Microsoft Entra ID 通知使用者警示
- 要求使用者再次登入 (透過 Microsoft Entra ID)
- 暫停使用者 (透過 Microsoft Entra ID)
OAuth 應用程式控管 - 撤銷 OAuth 應用程式許可權

如需從應用程式補救威脅的詳細資訊,請參閱 治理已連線的應用程式

實時保護Google工作區

檢閱我們的最佳做法,以 保護與外部使用者 共同作業,並 封鎖和保護敏感數據下載至非受控或具風險的裝置

連線 Google 工作區 適用於雲端的 Microsoft Defender 應用程式

本節提供使用連接器 API 將 適用於雲端的 Microsoft Defender Apps 連線到現有 Google 工作區帳戶的指示。 此連線可讓您查看及控制Google Workspace的使用。 如需 適用於雲端的 Defender 應用程式如何保護 Google Workspace 的資訊,請參閱保護 Google Workspace

注意

Google 工作區的檔案下載活動不會顯示在 適用於雲端的 Defender Apps 中。

設定Google工作區

  1. 身為Google Workspace Super 管理員,登入 https://console.cloud.google.com

  2. 選取頂端功能區中的專案下拉式清單,然後選取 [ 新增專案 ] 以啟動新的專案。

    New Project

  3. 在 [新增專案] 頁面中,將專案命名如下:適用於雲端的 Defender 應用程式,然後選取 [建立]。

    Name your project.

  4. 建立項目之後,請從頂端功能區選取已建立的專案。 複製 [項目編號],稍後您將需要此號碼

    Copy the project number.

  5. 在導覽功能表中,移至 [API 與服務連結>庫]。 啟用下列 API(如果未列出 API,請使用搜尋列):

    • 管理員 SDK API
    • Google Drive API

  6. 在導覽功能表中,移至 [API 和服務>認證],然後執行下列步驟:

    1. 選取 [ 建立認證]。

      Select create credentials.

    2. 選取 [服務帳戶]。

    3. 服務帳戶詳細數據:將名稱提供為 適用於雲端的 Defender Apps,並以 API 連接器的形式從 適用於雲端的 Defender Apps 提供給 Google 工作區帳戶

      Provide service account details.

    4. 選取 [ 建立後繼續]。

    5. 在 [授與此服務帳戶專案存取權] 底下,針對 [角色] 選取 [專案>編輯器],然後選取 [完成]。

      Grant this service account access to project.

    6. 在導覽功能表中,返回 API 和服務>認證。

    7. 在 [服務帳戶]下,選取鉛筆圖示,找出並編輯您稍早建立的服務帳戶。

      Select service account.

    8. 複製電子郵件位址。 稍後您將需要此資訊。

    9. 從頂端功能區流覽至 [金鑰 ]。

      Navigate to keys.

    10. 從 [ 新增金鑰] 選單中,選取 [ 建立新金鑰]。

    11. 選取 P12,然後選取 [ 建立]。 儲存下載的檔案,以及使用檔案所需的密碼。

      Create key.

  7. 在導覽功能表中,移至 IAM & 管理員> Service 帳戶。 複製指派給您剛建立之服務帳戶的用戶端識別碼 - 稍後會用到它。

    Copy client ID.

  8. 移至 admin.google.com ,然後在導覽功能表中,移至 [安全性>存取和數據控制>API 控制件]。 然後執行以下動作:

  9. 在 [全網域委派] 底下,選取 [管理全網域委派]。

    Manage domain wide delegation.

  10. 選取新增

    1. 在 [ 用戶端識別符 ] 方塊中,輸入您稍早複製的 [用戶端標識符 ]。

    2. 在 [ OAuth 範圍 ] 方塊中,輸入下列必要範圍清單(複製文字並在方塊中貼上):

      https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user

  11. 選取 [ 授權]。

    Google Workspace authorize new client ID.

設定 適用於雲端的 Defender 應用程式

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 的應用程式] 下,選取 [應用程式 連線 者]。

  2. 若要提供Google Workspace 連線詳細數據,請在 [應用程式連線程式]執行下列其中一項:

    對於已連線 GCP 實例的 Google Workspace 組織

    • 在連接器清單中,在 GCP 實例出現的數據列結尾,選取三個點,然後選取 [連線 Google Workspace 實例]。

    對於尚未連線 GCP 實例的 Google Workspace 組織

    • [連線 的應用程式] 頁面中,選取 [+連線 應用程式],然後選取 [Google 工作區]。

  3. 在 [ 實例名稱] 視窗中,為您的連接器指定名稱。 然後選取下一步

  4. 在 [ 新增 Google 金鑰] 中,填入下列資訊:

    Google Workspace Configuration in Defender for Cloud Apps.

    1. 輸入服務帳戶標識碼,這是您稍早複製的電子郵件

    2. 輸入您稍早複製的項目編號(應用程式識別符)。

    3. 上傳您稍早儲存的 P12 憑證 檔案。

    4. 輸入Google Workspace系統管理員的一 封系統管理員帳戶電子郵件

    5. 如果您有Google Workspace Business或 Enterprise 帳戶,請選取複選框。 如需 適用於雲端的 Defender Apps for Google Workspace Business 或 Enterprise 中可用的功能相關信息,請參閱為您的應用程式啟用立即可見度、保護和治理動作。

    6. 選取 [連線 Google 工作區]。

  5. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。 請確定已連線的應用程式 連線 器的狀態已 連線

連接 Google Workspace 之後,您會收到連線前七天的事件。

連接Google Workspace之後,適用於雲端的 Defender Apps 會執行完整掃描。 視您擁有的檔案和使用者而定,完成完整掃描可能需要一段時間。 為了啟用近乎即時的掃描,系統會將偵測到活動的檔案移動到掃描佇列的開頭。 例如,系統會立即掃描被編輯、更新或共用的檔案。 這並不適用於實際上並未修改的檔案。 例如,已檢視、預覽、列印或匯出的檔案,會在標準掃描期間進行掃描。

SaaS 安全性狀態管理 (SSPM) 資料 (預覽) 會顯示在 Microsoft Defender 入口 網站的 [安全分數 ] 頁面上。 如需詳細資訊,請參閱 SaaS 應用程式的安全性狀態管理。

如果您在連線應用程式時發生任何問題,請參閱針對應用程式 連線 器進行疑難解答。

下一步

使用原則來控制雲端應用程式

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證