Подключение проекта GCP к Microsoft Defender для облака

Microsoft Defender для облака обеспечивает управление безопасностью и защиту от угроз для рабочих нагрузок, работающих в Google Cloud Platform (GCP).

В этой статье показано, как подключить проект GCP или организацию к Microsoft Defender для облака, чтобы Microsoft Defender для облака мог обнаруживать ресурсы, оценивать состояние безопасности, а также выдавать рекомендации и оповещения по безопасности.

Архитектура проверки подлинности

Microsoft Defender для облака использует федеративную проверку подлинности для безопасного доступа к API GCP без хранения длительных учетных данных.

Во время подключения Defender для облака устанавливает доверие к Google Cloud с помощью федерации удостоверений рабочей нагрузки и олицетворения учетной записи службы. Доступ распространяется на подключенный проект или организацию и ограничивается разрешениями, необходимыми для включенных планов Defender.

Дополнительные сведения об архитектуре проверки подлинности для соединителей GCP.

Необходимые условия

Прежде чем подключить проект GCP, убедитесь, что у вас есть:

Рекомендации по затратам

Подключение проектов GCP к Microsoft Defender для облака и включение планов Defender может взимать дополнительные расходы.

Дополнительные сведения о ценах Defender для облака см. на странице цен.

Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака.

Сопоставление проектов и подписок GCP

При подключении проектов GCP к подпискам Azure следует учитывать следующее:

  • Проекты GCP подключены к Microsoft Defender для облака на уровне проекта.
  • Вы можете подключить несколько проектов GCP к одной подписке Azure.
  • Вы можете подключить несколько проектов GCP в нескольких подписках Azure.

Дополнительные сведения об иерархии ресурсов Google Cloud.

Подключите ваш проект GCP

  1. Войдите на портал Azure.

  2. Найдите и выберите Microsoft Defender для облака.

  3. Перейдите в раздел Defender для облака>Настройки среды.

  4. Выберите "Добавить среду>Google Cloud Platform".

    Снимок экрана: расположение параметра соединителя GCP.

  5. Выберите подписку , в которой будет создан соединитель безопасности.

  6. Выберите группу ресурсов , в которой будет создан соединитель безопасности.

  7. Выберите расположение , в котором будет создан соединитель безопасности.

  8. Выберите интервал для сканирования среды GCP каждые 4, 6, 12 или 24 часа. Некоторые сборщики данных выполняются с фиксированными интервалами сканирования и не подвержены влиянию пользовательских конфигураций интервалов.

    Note

    Следующие сборщики данных используют фиксированный интервал сканирования:

    Имя сборщика данных Интервал сканирования
    ComputeInstance
    АртефактРепозиторийПолитикаРепозитория
    ИзображениеРеестраАртефакта
    Кластер контейнеров
    ComputeInstanceGroup
    ComputeZonalInstanceGroupInstance
    ComputeRegionalInstanceGroupManager
    ComputeZonalInstanceGroupManager
    ComputeGlobalInstanceTemplate
    1 ч
  9. Только организация: Введите идентификатор организации GCP.

  10. Только организация: При необходимости введите номера проекта для исключения.

  11. Только организация: При необходимости введите идентификаторы папок, чтобы исключить их.

  12. Только один проект: Введите номер проекта GCP.

  13. Только один проект: Введите идентификатор проекта GCP.

  14. Выберите Далее: выбор планов.

    Note

    Как агент Log Analytics (также известный как MMA) будет выведен из эксплуатации в августе 2024 года, все функции Defender для серверов и возможности безопасности, которые в настоящее время зависят от него, включая описанные на этой странице, будут доступны через интеграцию Microsoft Defender для конечных точек или проверки без агента до даты вывода из эксплуатации. Дополнительные сведения о схеме развития для каждого из функций, которые в настоящее время полагаются на агент Log Analytics, см. в этой статье.

  15. Выберите планы Defender, которые вы хотите включить.

    Note

    Каждый план может взимать плату. Дополнительные сведения о ценах Defender для облака.

    Снимок экрана: переключатели, включенные для всех планов.

  16. Нажмите кнопку Next: Configure access (Далее: настройка доступа).

  17. Выберите тип разрешений:

    • Доступ по умолчанию: предоставляет разрешения, необходимые для текущих и будущих возможностей.
    • Минимальный доступ к привилегиям: предоставляет только необходимые сегодня разрешения. Вы можете получать уведомления, если требуется дополнительный доступ позже.
  18. Следуйте инструкциям на экране, чтобы настроить доступ между Defender для облака и средой GCP.

    Снимок экрана: параметры развертывания и инструкции по настройке доступа.

    Сгенерированный скрипт gcloud основан на выбранной области действия и выбранных вами планах Defender. Запустите скрипт в среде GCP, которую вы подключаете.

    Скрипт создает необходимые ресурсы в среде GCP, в том числе:

    • Пул идентификаций рабочей нагрузки
    • Провайдер идентификаций рабочей нагрузки (по плану)
    • Учетные записи служб
    • Привязки политики уровня проекта (учетная запись службы имеет доступ только к конкретному проекту)

    Note

    В проекте, где выполняется скрипт подключения, необходимо включить следующие API:

    • iam.googleapis.com
    • sts.googleapis.com
    • cloudresourcemanager.googleapis.com
    • iamcredentials.googleapis.com
    • compute.googleapis.com

    При подключении на уровне организации включите эти API в проекте управления.

    Если эти API не включены, их можно включить во время подключения, выполнив скрипт GCP Cloud Shell.

  19. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

  20. Просмотрите сведения о соединителе.

    Снимок экрана: просмотр и создание экрана со всеми выбранными вариантами.

  21. Нажмите кнопку "Создать".

Defender для облака начинает сканирование ресурсов GCP. Рекомендации по безопасности отображаются в течение нескольких часов. Если вы включили автоматическую подготовку, Azure Arc и все включенные расширения устанавливаются автоматически для каждого обнаруженного ресурса.

Обновление конфигурации соединителя GCP

Обновите конфигурацию соединителя GCP при изменении разрешений или ресурсов, необходимых Defender для облака.

Обновите конфигурацию в следующих случаях:

  • Вы включили новый план Defender, например Defender CSPM, Defender для баз данных или Defender для контейнеров.
  • Вы изменили настройки плана, например включили автоматическое выделение ресурсов или изменили выбранную область действия.
  • Microsoft выпущен обновленный скрипт подключения, например версия, которая поддерживает новые функции, исправляет ошибки или обновляет разрешения.
  • Возникают проблемы со работоспособностью соединителя, связанные с отсутствием разрешений или отсутствием ресурсов GCP.

Чтобы обновить конфигурацию, вернитесь к соединителю GCP в Defender для облака, создайте последний скрипт gcloud для выбранной области и планов, а затем повторно запустите скрипт в среде GCP, которую вы собираетесь подключить.

Проверка работоспособности соединителя

Чтобы убедиться, что соединитель GCP работает правильно:

  1. Войдите на портал Azure.

  2. Перейдите в раздел Defender для облака>Настройки среды.

  3. Найдите проект GCP и просмотрите столбец состояния подключения , чтобы узнать, является ли подключение работоспособным или имеет проблемы.

  4. Выберите значение, показанное в столбце состояния подключения , чтобы просмотреть дополнительные сведения.

На странице сведений о среде перечислены обнаруженные проблемы конфигурации или разрешения, влияющие на подключение к проекту GCP.

Если проблема присутствует, ее можно выбрать, чтобы просмотреть описание проблемы и рекомендуемые действия по исправлению. В некоторых случаях скрипт исправления предоставляется для устранения проблемы.

Дополнительные сведения об устранении неполадок соединителей с несколькими облаками.

Просмотр текущего покрытия

Защитник для облака предоставляет доступ к рабочим тетрадям через рабочие тетради Azure. Рабочие тетради — это настраиваемые отчеты, предоставляющие аналитические сведения о положении дел в безопасности.

Книга покрытия помогает понять текущее покрытие, показывая, какие планы включены в подписках и ресурсах.

Включение функции GCP Cloud Logging (предварительная версия)

Обработка журналов облака в GCP улучшает анализ и понимание удостоверений и разрешений путем добавления подробного контекста действий для оценок управления правами облачной инфраструктуры (CIEM), рекомендаций с учетом рисков и анализа путей атаки.

Дополнительные сведения о приеме GCP Cloud Log с помощью Pub/Sub (предварительная версия)

Дальнейшие действия