Как Defender for Cloud Apps помогает защитить среду Google Workspace

Google Workspace позволяет пользователям обмениваться документами в организации и партнерами. Однако он также может предоставлять конфиденциальные данные внешним пользователям или сделать его общедоступным через общие ссылки. Эти риски могут возникать от вредоносных субъектов или от сотрудников, которые не знают об опасности. Google Workspace также имеет большую стороннюю экосистему приложений. Эти приложения могут поставить организацию под угрозу от вредоносных приложений или приложений с слишком большим количеством разрешений.

При подключении Google Workspace к Defender for Cloud Apps вы получите более высокую видимость действий пользователей. Вы также получаете обнаружение угроз с помощью машинного обучения, оповещения о защите данных (например, о внешнем доступе), средства автоматического устранения и обнаружение угроз со стороны сторонних приложений.

Основные угрозы для среды Google Workspace

Подключение Google Workspace к Defender for Cloud Apps помогает устранить следующие угрозы:

  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Недостаточная осведомленность о безопасности
  • Вредоносные сторонние приложения и надстройки Google
  • Вредоносная программа
  • Программа-вымогатель
  • Неуправляемый перенос собственного устройства (BYOD)

Как Defender for Cloud Apps помогает защитить среду

Используйте Defender for Cloud Apps с Google Workspace для:

Управление безопасностью SaaS для Рабочей области Google

Подключите Google Workspace, чтобы получать рекомендации по безопасности в Оценка безопасности (Майкрософт). После подключения выберите "Рекомендуемые действия " в "Оценка безопасности". Затем отфильтруйте по продукту Google = Workspace , чтобы просмотреть результаты.

Google Workspace поддерживает рекомендацию по безопасности для включения применения MFA.

Дополнительные сведения см. в разделе:

Управление Рабочей областью Google с помощью встроенных политик и шаблонов политик

Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:

Important

Политики файлов удаляются 6 января 2027 г. Чтобы обеспечить защиту данных на основе файлов для этого приложения, перейдите на политики DLP Microsoft Purview или политики автоматической маркировки.

Тип Имя
Встроенная политика обнаружения аномалий Действия с анонимных IP-адресов.
Активность из необычной страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполненное удалённым пользователем (требуется Microsoft Entra ID как поставщик удостоверений)
Обнаружение вредоносных программ
Многократные неудачные попытки входа.
Необычные административные действия
Шаблон политики действий Вход с опасного IP-адреса
Шаблон политики файлов Обнаружить файл, к которому предоставлен общий доступ для несанкционированного домена
Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты
Обнаружение файлов с помощью PII,PCI/PHI

Дополнительные сведения о создании политик см. в разделе Создание политики.

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Google Workspace для устранения обнаруженных угроз:

Тип Действие
Управление данными — Применить метку конфиденциальности Защита информации Microsoft Purview
— предоставление разрешения на чтение домену
— Сделать файл или папку на Google Диске частными
— Сокращение общего доступа к файлу или папке
— Удаление участника совместной работы из файла
— Удалить метку конфиденциальности Защита информации Microsoft Purview
— Удаление внешних участников совместной работы в файле или папке
— удаление возможности редактора файлов для общего доступа
— удаление общего доступа к файлу или папке
— Потребовать от пользователя сбросить пароль для аккаунта Google
— Отправить владельцам файлов дайджест нарушений DLP
— Отправлять уведомление о нарушении политики DLP последнему пользователю, редактировавшему файл
— Передача прав владения файлом
— Файл в корзине
Управление пользователями — Приостановка пользователя
— уведомлять пользователя при предупреждении (через Microsoft Entra ID)
— требовать от пользователя повторного входа (через Microsoft Entra ID).
— Приостановить пользователя (через Microsoft Entra ID)
Управление приложениями OAuth — Отмена разрешения приложения OAuth

Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.

Защита Google Workspace в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение Google Workspace к Microsoft Defender for Cloud Apps

В следующих инструкциях описано, как подключить Microsoft Defender for Cloud Apps к существующей учетной записи Google Workspace с помощью API соединителя. Это подключение позволяет отслеживать использование Google Workspace и управлять ими.

Следующие действия по настройке соединителя рабочей области Google должны выполняться администратором Рабочей области Google. Подробные сведения о действиях по настройке в Google Workspace см. в документации по Google Workspace. Разработка в Google Workspace |Google для разработчиков

Примечание.

Defender for Cloud Apps не отображает действия загрузки файлов для Google Workspace.

Настройка Google Workspace

В качестве суперадминистратора Google Workspace выполните следующие действия, чтобы подготовить вашу среду.

  1. Войдите в Google Workspace в качестве супер Администратор.

  2. Создайте проект с именем Defender for Cloud Apps.

  3. Скопируйте номер проекта. Он потребуется позже.

  4. Включите следующие API:

    • API пакета SDK для Администратор
    • Google Drive API
  5. Создайте учетные данные для учетной записи службы со следующими сведениями:

    1. Имя: Defender for Cloud Apps

    2. Описание: соединитель API между Defender for Cloud Apps и учетной записью Google Workspace.

  6. Предоставьте этой учетной записи службы доступ к проекту.

  7. Скопируйте следующие сведения об учетной записи службы. Он понадобится вам позже

    • Электронная почта
    • Идентификатор клиента
  8. Создайте новый ключ. Скачайте и сохраните файл и пароль, необходимый для использования файла.

  9. В элементах управления API добавьте новый идентификатор клиента в поле Делегирование на уровне домена, используя скопированный выше идентификатор клиента.

  10. Добавьте следующие разрешения. Введите следующий список обязательных областей (скопируйте текст и вставьте его в поле Области OAuth ):

    
    https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user   ```
    
    
    

В консоли администратора Google включите доступ к сервису Google Диск для пользователя с ролью суперадминистратора, который будет использоваться для этого коннектора. Мы рекомендуем включить отображение состояния службы для всех пользователей.

Настройте Defender for Cloud Apps

Чтобы завершить подключение к рабочей области Google, выполните следующие действия в Defender for Cloud Apps.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  2. Выберите +Подключить приложение , а затем выберите Google Workspace в списке приложений.

    Снимок экрана, на котором показано, где найти соединитель приложения Google Workspace на портале Microsoft Defender.

  3. Чтобы указать данные для подключения Google Workspace, в разделе Соединители приложений выполните одно из следующих действий в зависимости от того, есть ли у вашей организации уже подключенный экземпляр GCP:

    Для организации в Google Workspace, у которой уже есть подключённый экземпляр GCP

    • В списке соединителей в конце строки, в которой отображается экземпляр GCP, выберите три точки и выберите Подключить экземпляр Google Workspace.

    Для организации Google Workspace, у которой ещё нет подключённого экземпляра Google Cloud Platform (GCP)

    • На странице Подключенные приложения выберите +Подключить приложение, а затем выберите Google Workspace.
  4. В окне Имя экземпляра присвойте соединителю имя. Нажмите кнопку Далее.

  5. В окне "Добавление ключа Google " введите идентификатор учетной записи службы, номер проекта, сертификат P12 и адрес электронной почты суперадминистраторов:

    Снимок экрана: конфигурация рабочей области Google в Defender for Cloud Apps.

    1. Введите идентификатор учетной записи службы, Email, скопированный ранее.

    2. Введите номер проекта (идентификатор приложения), скопированный ранее.

    3. Отправьте файл сертификата P12, сохраненный ранее.

    4. Введите адрес электронной почты суперадминистратора Google Workspace.

      Развертывание с использованием учетной записи, которая не является суперадминистратором Google Workspace, приведет к сбою при проверке API и не позволит Defender for Cloud Apps работать должным образом. Мы запрашиваем определённые области действия, поэтому даже для роли Super Admin возможности Defender for Cloud Apps остаются ограниченными.

    5. Если у вас есть учетная запись типа Google Workspace Business или Enterprise, установите флажок. Сведения о том, какие функции доступны в Defender for Cloud Apps для Google Workspace Business или Enterprise, см. в статье Включение действий мгновенной видимости, защиты и управления для приложений.

    6. Выберите Подключить Google Workspaces.

  6. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

После подключения к Google Workspace вы будете получать события за семь дней до подключения.

После подключения к Google Workspace Defender for Cloud Apps выполняет полное сканирование. В зависимости от количества файлов и пользователей, завершение полной проверки может занять некоторое время. Чтобы включить сканирование практически в режиме реального времени, файлы, в которых обнаружено действие, перемещаются в начало очереди сканирования. Например, файл, который редактируется, обновляется или предоставляется к общему доступу, проверяется сразу. Это не относится к файлам, которые не изменяются по своей природе. Например, файлы, которые открываются для просмотра, предварительно просматриваются, печатаются или экспортируются, сканируются при обычном сканировании.

Данные Управления безопасностью SaaS (SSPM) (предварительная версия) отображаются на портале Microsoft Defender на странице Оценка безопасности. Дополнительные сведения см. в статье Управление состоянием безопасности для приложений SaaS.

Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.