Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для облака обеспечивает управление безопасностью и защиту от угроз для рабочих нагрузок, работающих в Google Cloud Platform (GCP).
В этой статье показано, как подключить проект GCP или организацию к Microsoft Defender для облака, чтобы Microsoft Defender для облака мог обнаруживать ресурсы, оценивать состояние безопасности, а также выдавать рекомендации и оповещения по безопасности.
Архитектура проверки подлинности
Microsoft Defender для облака использует федеративную проверку подлинности для безопасного доступа к API GCP без хранения длительных учетных данных.
Во время подключения Defender для облака устанавливает доверие к Google Cloud с помощью федерации удостоверений рабочей нагрузки и олицетворения учетной записи службы. Доступ распространяется на подключенный проект или организацию и ограничивается разрешениями, необходимыми для включенных планов Defender.
Дополнительные сведения об архитектуре проверки подлинности для соединителей GCP.
Необходимые условия
Прежде чем подключить проект GCP, убедитесь, что у вас есть:
Подписка Microsoft Azure. Если у вас нет подписки Azure, вы можете зарегистрироваться бесплатно.
Microsoft Defender для облака включена в подписке Azure.
Доступ к проекту или организации GCP.
Разрешение на уровне участника для соответствующей подписки Azure.
Если вы включите CIEM в составе Defender для CSPM, пользователь, подключающий соединитель, также должен обладать ролью администратора безопасности и разрешением Application.ReadWrite.All для арендатора.
Рекомендации по затратам
Подключение проектов GCP к Microsoft Defender для облака и включение планов Defender может взимать дополнительные расходы.
Дополнительные сведения о ценах Defender для облака см. на странице цен.
Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака.
Сопоставление проектов и подписок GCP
При подключении проектов GCP к подпискам Azure следует учитывать следующее:
- Проекты GCP подключены к Microsoft Defender для облака на уровне проекта.
- Вы можете подключить несколько проектов GCP к одной подписке Azure.
- Вы можете подключить несколько проектов GCP в нескольких подписках Azure.
Дополнительные сведения об иерархии ресурсов Google Cloud.
Подключите ваш проект GCP
Войдите на портал Azure.
Найдите и выберите Microsoft Defender для облака.
Перейдите в раздел Defender для облака>Настройки среды.
Выберите "Добавить среду>Google Cloud Platform".
Выберите подписку , в которой будет создан соединитель безопасности.
Выберите группу ресурсов , в которой будет создан соединитель безопасности.
Выберите расположение , в котором будет создан соединитель безопасности.
Выберите интервал для сканирования среды GCP каждые 4, 6, 12 или 24 часа. Некоторые сборщики данных выполняются с фиксированными интервалами сканирования и не подвержены влиянию пользовательских конфигураций интервалов.
Note
Следующие сборщики данных используют фиксированный интервал сканирования:
Имя сборщика данных Интервал сканирования ComputeInstance
АртефактРепозиторийПолитикаРепозитория
ИзображениеРеестраАртефакта
Кластер контейнеров
ComputeInstanceGroup
ComputeZonalInstanceGroupInstance
ComputeRegionalInstanceGroupManager
ComputeZonalInstanceGroupManager
ComputeGlobalInstanceTemplate1 ч Только организация: Введите идентификатор организации GCP.
Только организация: При необходимости введите номера проекта для исключения.
Только организация: При необходимости введите идентификаторы папок, чтобы исключить их.
Только один проект: Введите номер проекта GCP.
Только один проект: Введите идентификатор проекта GCP.
Выберите Далее: выбор планов.
Note
Как агент Log Analytics (также известный как MMA) будет выведен из эксплуатации в августе 2024 года, все функции Defender для серверов и возможности безопасности, которые в настоящее время зависят от него, включая описанные на этой странице, будут доступны через интеграцию Microsoft Defender для конечных точек или проверки без агента до даты вывода из эксплуатации. Дополнительные сведения о схеме развития для каждого из функций, которые в настоящее время полагаются на агент Log Analytics, см. в этой статье.
Выберите планы Defender, которые вы хотите включить.
Note
Каждый план может взимать плату. Дополнительные сведения о ценах Defender для облака.
Нажмите кнопку Next: Configure access (Далее: настройка доступа).
Выберите тип разрешений:
- Доступ по умолчанию: предоставляет разрешения, необходимые для текущих и будущих возможностей.
- Минимальный доступ к привилегиям: предоставляет только необходимые сегодня разрешения. Вы можете получать уведомления, если требуется дополнительный доступ позже.
Следуйте инструкциям на экране, чтобы настроить доступ между Defender для облака и средой GCP.
Сгенерированный скрипт
gcloudоснован на выбранной области действия и выбранных вами планах Defender. Запустите скрипт в среде GCP, которую вы подключаете.Скрипт создает необходимые ресурсы в среде GCP, в том числе:
- Пул идентификаций рабочей нагрузки
- Провайдер идентификаций рабочей нагрузки (по плану)
- Учетные записи служб
- Привязки политики уровня проекта (учетная запись службы имеет доступ только к конкретному проекту)
Note
В проекте, где выполняется скрипт подключения, необходимо включить следующие API:
iam.googleapis.comsts.googleapis.comcloudresourcemanager.googleapis.comiamcredentials.googleapis.comcompute.googleapis.com
При подключении на уровне организации включите эти API в проекте управления.
Если эти API не включены, их можно включить во время подключения, выполнив скрипт GCP Cloud Shell.
Нажмите кнопку Next: Review and generate (Далее: проверка и создание).
Просмотрите сведения о соединителе.
Нажмите кнопку "Создать".
Defender для облака начинает сканирование ресурсов GCP. Рекомендации по безопасности отображаются в течение нескольких часов. Если вы включили автоматическую подготовку, Azure Arc и все включенные расширения устанавливаются автоматически для каждого обнаруженного ресурса.
Обновление конфигурации соединителя GCP
Обновите конфигурацию соединителя GCP при изменении разрешений или ресурсов, необходимых Defender для облака.
Обновите конфигурацию в следующих случаях:
- Вы включили новый план Defender, например Defender CSPM, Defender для баз данных или Defender для контейнеров.
- Вы изменили настройки плана, например включили автоматическое выделение ресурсов или изменили выбранную область действия.
- Microsoft выпущен обновленный скрипт подключения, например версия, которая поддерживает новые функции, исправляет ошибки или обновляет разрешения.
- Возникают проблемы со работоспособностью соединителя, связанные с отсутствием разрешений или отсутствием ресурсов GCP.
Чтобы обновить конфигурацию, вернитесь к соединителю GCP в Defender для облака, создайте последний скрипт gcloud для выбранной области и планов, а затем повторно запустите скрипт в среде GCP, которую вы собираетесь подключить.
Проверка работоспособности соединителя
Чтобы убедиться, что соединитель GCP работает правильно:
Войдите на портал Azure.
Перейдите в раздел Defender для облака>Настройки среды.
Найдите проект GCP и просмотрите столбец состояния подключения , чтобы узнать, является ли подключение работоспособным или имеет проблемы.
Выберите значение, показанное в столбце состояния подключения , чтобы просмотреть дополнительные сведения.
На странице сведений о среде перечислены обнаруженные проблемы конфигурации или разрешения, влияющие на подключение к проекту GCP.
Если проблема присутствует, ее можно выбрать, чтобы просмотреть описание проблемы и рекомендуемые действия по исправлению. В некоторых случаях скрипт исправления предоставляется для устранения проблемы.
Дополнительные сведения об устранении неполадок соединителей с несколькими облаками.
Просмотр текущего покрытия
Защитник для облака предоставляет доступ к рабочим тетрадям через рабочие тетради Azure. Рабочие тетради — это настраиваемые отчеты, предоставляющие аналитические сведения о положении дел в безопасности.
Книга покрытия помогает понять текущее покрытие, показывая, какие планы включены в подписках и ресурсах.
Включение функции GCP Cloud Logging (предварительная версия)
Обработка журналов облака в GCP улучшает анализ и понимание удостоверений и разрешений путем добавления подробного контекста действий для оценок управления правами облачной инфраструктуры (CIEM), рекомендаций с учетом рисков и анализа путей атаки.
Дополнительные сведения о приеме GCP Cloud Log с помощью Pub/Sub (предварительная версия)