Как Defender for Cloud Apps помогает защитить среду Google Cloud Platform (GCP)

Google Cloud Platform — это поставщик IaaS, который позволяет вашей организации размещать и управлять всеми рабочими нагрузками в облаке. Помимо преимуществ использования инфраструктуры в облаке, наиболее важные ресурсы вашей организации могут подвергаться угрозам. Ресурсы, доступные извне, включают экземпляры хранилища с потенциально конфиденциальной информацией, вычислительные ресурсы, на которых работают некоторые из ваших наиболее важных приложений, порты и виртуальные частные сети (VPN), обеспечивающие доступ к ресурсам вашей организации.

Подключение GCP к Defender for Cloud Apps помогает защитить ресурсы и обнаруживать потенциальные угрозы за счет мониторинга административных действий и попыток входа, а также уведомления о возможных атаках грубой силы, вредоносном использовании привилегированной учетной записи пользователя и необычном удалении виртуальных машин (VM).

Основные угрозы

Подключение GCP к Defender for Cloud Apps помогает обнаруживать и устранять следующие угрозы:

  • Злоупотребление облачными ресурсами
  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Неправильная настройка ресурсов и недостаточное управление доступом

Как Defender for Cloud Apps помогает защитить среду

Ознакомьтесь со следующими рекомендациями, чтобы узнать, как Defender for Cloud Apps помогает защитить среду GCP:

Управление GCP с помощью встроенных политик и шаблонов политик

Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:

Тип Имя
Встроенная политика обнаружения аномалий Действия с анонимных IP-адресов.
Активность из необычной страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполненное уволенным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений)
Шаблон политики действий Изменения в ресурсах подсистемы вычислений
Изменения в конфигурации StackDriver
Изменения в ресурсах хранилища
Изменения в виртуальной частной сети
Вход с опасного IP-адреса

Дополнительные сведения о создании политик см. в разделе Создание политики.

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению GCP для устранения обнаруженных угроз:

Тип Действие
Управление пользователями — потребовать от пользователя сбросить пароль для Google (требуется подключённый связанный экземпляр Google Workspace)
— Приостановка пользователя (требуется подключенный связанный экземпляр Google Workspace).
— уведомление пользователя об оповещении (через Microsoft Entra ID)
— требовать от пользователя повторного входа (через Microsoft Entra ID).
— Приостановить пользователя (через Microsoft Entra ID)

Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.

Защита GCP в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями, а также блокировке и защите загрузки конфиденциальные данные на неуправляемые или рискованные устройства.

Подключение Google Cloud Platform к Microsoft Defender for Cloud Apps

В следующих инструкциях описано, как подключить Microsoft Defender for Cloud Apps к существующей учетной записи Google Cloud Platform (GCP) с помощью API соединителя. Это подключение позволяет отслеживать использование GCP и управлять ими. Сведения о том, как Defender for Cloud Apps защищает GCP, см. в разделе Защита GCP.

Рекомендуется использовать выделенный проект для интеграции и ограничить доступ к проекту, чтобы обеспечить стабильную интеграцию и предотвратить удаление или изменение процесса установки.

Примечание.

Инструкции по подключению среды GCP для аудита соответствуют рекомендациям Google по использованию агрегированных журналов. Интеграция использует Google StackDriver и будет потреблять дополнительные ресурсы, которые могут повлиять на выставление счетов. Потребляемые ресурсы:

Подключение аудита в Defender for Cloud Apps импортирует только журналы аудита действий администратора; журналы аудита доступа к данным и системных событий не импортируются. Дополнительные сведения о журналах GCP см. в разделе Журналы аудита облака.

Предварительные условия

Интегрирующий пользователь GCP должен иметь следующие разрешения:

  • Изменение IAM и администратора — уровень организации
  • Создание и изменение проекта

Вы можете подключить GCP аудит безопасности к подключениям Defender for Cloud Apps, чтобы получить представление об использовании приложений GCP и возможность контролировать его.

Настройка Google Cloud Platform

  1. Создайте выделенный проект в GCP в организации, чтобы обеспечить изоляцию и стабильность интеграции.

  2. Включите Cloud Logging API и Cloud Pub/Sub API для выделенного проекта.

    Примечание.

    Убедитесь, что вы не выбираете API Pub/Sub Lite.

Создание выделенной учетной записи службы с необходимыми ролями

Чтобы создать учетную запись службы и назначить необходимые роли, выполните следующие действия.

  1. Создайте выделенную учетную запись службы.
  2. Скопируйте значение Email, оно понадобится позже.
  3. Назначьте сервисному аккаунту роль Pub/Sub Admin.
  4. Назначьте роль Logs Configuration Writer для сервисного аккаунта на уровне организации.

Создание закрытого ключа для выделенной учетной записи службы

Чтобы создать закрытый ключ для учетной записи службы, выполните следующие действия.

  1. Переключение на уровень проекта.

  2. Выберите Учетные записи служб.

  3. Создайте закрытый ключ JSON.

    Примечание.

    Вам потребуется JSON-файл, скачанный на устройство позже.

Получение идентификатора организации

Запишите идентификатор организации. Он понадобится вам позже. Дополнительные сведения см. в разделе Получение идентификатора организации.

Подключение аудита Google Cloud Platform к Defender for Cloud Apps

В этой процедуре описывается добавление сведений о подключении GCP для подключения аудита Google Cloud Platform к Defender for Cloud Apps.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  2. На странице Соединители приложений , чтобы указать учетные данные соединителя GCP, выполните одно из следующих действий.

    Примечание.

    Мы рекомендуем подключить свой экземпляр Google Workspace для унифицированного управления пользователями и контроля. Это рекомендуется, даже если вы не используете продукты Google Workspace, а управление пользователями GCP осуществляется через систему управления пользователями Google Workspace.

Для нового соединителя

  1. Выберите +Подключить приложение, а затем — Google Cloud Platform.

    Снимок экрана, на котором показано, где найти соединитель приложения Google Cloud Platform на портале Defender.

  2. В следующем окне укажите имя соединителя и нажмите кнопку Далее.

    Снимок экрана, на котором показано, куда добавить имя экземпляра на портале Defender.

  3. На странице Ввод сведений выполните указанные ниже действия и нажмите кнопку Отправить.

    1. В поле Идентификатор организации введите организацию, о ней вы записали ранее.
    2. В поле Файл закрытого ключа перейдите к скачанном ранее JSON-файлу.

    Снимок экрана, на котором показано, где ввести идентификатор организации и файл закрытого ключа на портале Defender.

Для существующего соединителя

  1. В списке соединителей в строке, в которой отображается соединитель GCP, выберите Изменить параметры.

  2. На странице Ввод сведений выполните указанные ниже действия и нажмите кнопку Отправить.

    1. В поле Идентификатор организации введите организацию, о ней вы записали ранее.
    2. В поле Файл закрытого ключа перейдите к скачанном ранее JSON-файлу.

    Снимок экрана, на котором показано, где ввести идентификатор организации и файл закрытого ключа на портале Defender.

  3. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

    Примечание.

    Defender for Cloud Apps создаст агрегированный приемник экспорта (на уровне организации), тему Pub/Sub и подписку Pub/Sub, используя учетную запись службы интеграции в проекте интеграции.

    Агрегированный приемник для экспорта используется для агрегации журналов на уровне организации GCP, а созданная тема Pub/Sub используется как место назначения. Defender for Cloud Apps подписывается на этот раздел с помощью подписки Pub/Sub, созданной для получения журналов действий администратора в организации GCP.

Дальнейшие действия

Используйте следующие ресурсы, чтобы узнать больше об управлении подключениями к облачным приложениям и их устранении.