Подключение проекта GCP к Microsoft Defender для облака

Microsoft Defender для облака обеспечивает управление безопасностью и защиту от угроз для рабочих нагрузок, работающих в Google Cloud Platform (GCP).

В этой статье показано, как подключить проект GCP или организацию к Microsoft Defender для облака, чтобы Microsoft Defender для облака мог обнаруживать ресурсы, оценивать состояние безопасности, а также выдавать рекомендации и оповещения по безопасности.

Архитектура проверки подлинности

Microsoft Defender для облака использует федеративную проверку подлинности для безопасного доступа к API GCP без хранения длительных учетных данных.

Во время подключения Defender for Cloud устанавливает доверие к Google Cloud с помощью федерации удостоверений рабочей нагрузки и олицетворения учетной записи службы. Доступ распространяется на подключенный проект или организацию и ограничивается разрешениями, необходимыми для включенных планов Defender.

Дополнительные сведения об архитектуре проверки подлинности для соединителей GCP.

Предварительные условия

Прежде чем подключить проект GCP, убедитесь, что у вас есть:

• Подписка Microsoft Azure. Если у вас нет подписки Azure, вы можете зарегистрироваться бесплатно.

• Microsoft Defender для облака включена в подписке Azure.

• Доступ к проекту или организации GCP.

• Разрешение на уровне участника для соответствующей подписки Azure.

• Если вы включите CIEM в составе Defender для CSPM, пользователь, подключающий соединитель, также должен обладать ролью администратора безопасности и разрешением Application.ReadWrite.All для арендатора.

Рекомендации по затратам

Подключение проектов GCP к Microsoft Defender для облака и включение планов Defender может взимать дополнительные расходы.

Дополнительные сведения о ценах Defender для облака см. на странице цен.

Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака.

Сопоставление проектов и подписок GCP

При подключении проектов GCP к подпискам Azure следует учитывать следующее:

• Проекты GCP подключены к Microsoft Defender для облака на уровне проекта.
• Вы можете подключить несколько проектов GCP к одной подписке Azure.
• Вы можете подключить несколько проектов GCP в нескольких подписках Azure.

Дополнительные сведения об иерархии ресурсов Google Cloud.

Подключите ваш проект GCP

1. Войдите на портал Azure.

2. Найдите и выберите Microsoft Defender для облака.

3. Перейдите в Параметры среды>Добавить среду>Google Cloud Platform.

   

4. Введите следующие сведения:

   • Имя соединителя.
   • Выберите "Организация " или "Один проект".
   • Подписка.
   • Группа ресурсов.
   • Location.
   • Интервал сканирования: 4, 6, 12 или 24.
   • (только организация) Идентификатор организации.
   • (Необязательно— только организация) Исключите номера проекта.
   • (Необязательно— только организация) Исключите идентификаторы папок.
   • (только один проект) Номер проекта GCP.
   • (только один проект) Идентификатор проекта GCP.

   Примечание.

   Некоторые сборщики данных выполняются с фиксированными интервалами сканирования и не подвержены влиянию пользовательских конфигураций интервалов. В следующей таблице показаны фиксированные интервалы сканирования для каждого исключенного сборщика данных:

   Имя сборщика данных	Интервал сканирования
   ComputeInstance АртефактРепозиторийПолитикаРепозитория ИзображениеРеестраАртефакта Кластер контейнеров ComputeInstanceGroup ComputeZonalInstanceGroupInstance ComputeRegionalInstanceGroupManager ComputeZonalInstanceGroupManager ComputeGlobalInstanceTemplate	1 ч

5. Выберите Далее: выбор планов.

   Примечание.

   Как агент Log Analytics (также известный как MMA) будет выведен из эксплуатации в августе 2024 года, все функции Defender для серверов и возможности безопасности, которые в настоящее время зависят от него, включая описанные на этой странице, будут доступны через интеграцию Microsoft Defender для конечных точек или проверки без агента до даты вывода из эксплуатации. Дополнительные сведения о дорожной карте для каждой из функций, которые в настоящее время зависят от агента Log Analytics, см. в этом объявлении.

6. Переключение планов на включение или отключение в зависимости от ваших потребностей.

   

7. Нажмите кнопку Next: Configure access (Далее: настройка доступа).

8. Выберите тип разрешений, доступ по умолчанию или минимальный доступ к привилегиям.

9. Следуйте инструкциям на экране, чтобы настроить доступ между Defender для облака и проектом GCP.

   

На этом шаге можно найти скрипт GCloud, который должен выполняться в проекте GCP, который будет подключен. Сценарий GCloud создается на основе планов, которые вы выбрали для внедрения.

Скрипт GCloud создает все необходимые ресурсы в среде GCP, чтобы Defender для облака могли работать и предоставлять следующие значения безопасности:

• Пул идентификаций рабочей нагрузки
• Провайдер идентификаций рабочей нагрузки (по плану)
• учетные записи служб;
• Привязки политики уровня проекта (учетная запись службы имеет доступ только к конкретному проекту)

1. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

2. Проверьте информацию на точность.

   

   Примечание.

   Следующие API должны быть включены в проекте, где выполняется скрипт подключения, чтобы обнаружить ресурсы GCP и разрешить процесс проверки подлинности:

   • iam.googleapis.com
   • sts.googleapis.com
   • cloudresourcemanager.googleapis.com
   • iamcredentials.googleapis.com
   • compute.googleapis.com

   При подключении на уровне организации включите эти API-интерфейсы в проекте управления, даже если вы используете их для доступа к ресурсам во всех проектах организации.

   Если вы не включите эти API, их можно включить во время процесса подключения, выполнив скрипт GCP Cloud Shell.

3. Нажмите кнопку "Создать".

После создания соединителя проверка начинается в среде GCP. Новые рекомендации отображаются в Defender для облака через шесть часов. Если вы включили автоматическую подготовку, Azure Arc и все включенные расширения устанавливаются автоматически для каждого обнаруженного ресурса.

Проверка работоспособности соединителя

Чтобы убедиться, что соединитель GCP работает правильно:

1. Войдите на портал Azure.

2. Перейдите в раздел Defender для облака>Настройки среды.

3. Найдите проект GCP и просмотрите столбец состояния подключения , чтобы узнать, является ли подключение работоспособным или имеет проблемы.

4. Выберите значение, показанное в столбце состояния подключения , чтобы просмотреть дополнительные сведения.

На странице сведений о среде перечислены обнаруженные проблемы конфигурации или разрешения, влияющие на подключение к проекту GCP.

Если проблема присутствует, ее можно выбрать, чтобы просмотреть описание проблемы и рекомендуемые действия по исправлению. В некоторых случаях скрипт исправления предоставляется для устранения проблемы.

Дополнительные сведения об устранении неполадок соединителей с несколькими облаками.

Просмотр текущего покрытия

Защитник для облака предоставляет доступ к рабочим книгам через рабочие книги Azure. Рабочие книги — это настраиваемые отчеты, которые предоставляют информацию о конфигурации безопасности.

Книга покрытия помогает понять текущее покрытие, показывая, какие планы включены в подписках и ресурсах.

Включение функции GCP Cloud Logging (предварительная версия)

Обработка журналов облака в GCP улучшает анализ и понимание удостоверений и разрешений путем добавления подробного контекста действий для оценок управления правами облачной инфраструктуры (CIEM), рекомендаций с учетом рисков и анализа путей атаки.

Дополнительные сведения о приеме GCP Cloud Log с помощью Pub/Sub (предварительная версия)

Следующие шаги

• Настройте планы Defender для облака для проектов GCP.
• Сведения об архитектуре проверки подлинности для соединителей GCP.
• Передача данных GCP Cloud Logging с использованием Pub/Sub (предпросмотр)
• Решить вопрос политики ограниченного доступа к домену.
• Устранение проблем мультиоблачных соединителей.