Wie Defender for Cloud Apps Ihre Google Workspace-Umgebung schützt
Als Cloud-Tool zum Speichern und Zusammenarbeit von Dateien ermöglicht Google Workspace Es Ihren Benutzern, ihre Dokumente auf optimierte und effiziente Weise für Ihre organization und Partner freizugeben. Die Verwendung von Google Workspace kann Ihre vertraulichen Daten nicht nur intern, sondern auch für externe Mitarbeiter verfügbar machen oder noch schlimmer, sie über einen freigegebenen Link öffentlich verfügbar zu machen. Solche Vorfälle können durch böswillige Akteure oder durch unwissene Mitarbeiter verursacht werden. Google Workspace bietet auch ein großes App-Ökosystem von Drittanbietern, um die Produktivität zu steigern. Die Verwendung dieser Apps kann Ihre organization dem Risiko von schädlichen Apps oder der Verwendung von Apps mit übermäßigen Berechtigungen aussetzen.
Wenn Sie Google Workspace mit Defender for Cloud Apps verbinden, erhalten Sie bessere Einblicke in die Aktivitäten Ihrer Benutzer, bietet Bedrohungserkennung mithilfe von Machine Learning-basierten Anomalieerkennungen, Erkennungen zum Schutz von Informationen (z. B. erkennung externer Informationen), ermöglicht automatisierte Korrektursteuerungen und erkennt Bedrohungen durch aktivierte Apps von Drittanbietern in Ihrem organization.
Hauptbedrohungen
- Kompromittierte Konten und Insider-Bedrohungen
- Datenlecks
- Unzureichendes Sicherheitsbewusstsein
- Schädliche Drittanbieter-Apps und Google-Add-Ons
- Schadsoftware
- Ransomware
- Nicht verwaltetes Bring Your Own Device (BYOD)
Wie Defender for Cloud Apps ihre Umgebung schützt
- Erkennen von Cloudbedrohungen, kompromittierten Konten und böswilligen Insidern
- Ermitteln, Klassifizieren, Bezeichnen und Schützen regulierter und vertraulicher Daten, die in der Cloud gespeichert sind
- Ermitteln und Verwalten von OAuth-Apps, die Zugriff auf Ihre Umgebung haben
- Erzwingen von DLP- und Compliancerichtlinien für in der Cloud gespeicherte Daten
- Beschränken der Gefährdung freigegebener Daten und Erzwingen von Richtlinien für die Zusammenarbeit
- Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
SaaS-Sicherheitsstatusverwaltung
Verbinden Sie Google Workspace , um automatisch Sicherheitsempfehlungen in der Microsoft-Sicherheitsbewertung zu erhalten. Wählen Sie unter Sicherheitsbewertung die Option Empfohlene Aktionen aus, und filtern Sie nach Produkt = Google Workspace.
Google Workspace unterstützt Sicherheitsempfehlungen zum Aktivieren der MFA-Erzwingung.
Weitere Informationen finden Sie unter:
Steuern von Google Workspace mit integrierten Richtlinien und Richtlinienvorlagen
Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:
| Typ | Name |
|---|---|
| Integrierte Richtlinie zur Anomalieerkennung |
Aktivität von anonymen IP-Adressen Aktivität aus seltenen Ländern Aktivität von verdächtigen IP-Adressen Unmöglicher Ortswechsel Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra ID als IdP) Schadsoftwareerkennung Mehrere fehlgeschlagene Anmeldeversuche Ungewöhnliche administrative Aktivitäten |
| Aktivitätsrichtlinienvorlage | Anmeldung von einer riskanten IP-Adresse |
| Dateirichtlinienvorlage | Erkennen einer Datei, die für eine nicht autorisierte Domäne freigegeben wurde Erkennen einer Datei, die mit persönlichen E-Mail-Adressen geteilt wurde Erkennen von Dateien mit PII/PCI/PHI |
Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.
Automatisieren von Governancekontrollen
Zusätzlich zur Überwachung auf potenzielle Bedrohungen können Sie die folgenden Google Workspace-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:
| Typ | Aktion |
|---|---|
| Datengovernance | – Anwenden Microsoft Purview Information Protection Vertraulichkeitsbezeichnung – Erteilen der Leseberechtigung für die Domäne – Eine Datei/einen Ordner in Google Drive privat festlegen – Reduzieren des öffentlichen Zugriffs auf Datei/Ordner – Entfernen eines Mitarbeiters aus einer Datei – Entfernen Microsoft Purview Information Protection Vertraulichkeitsbezeichnung – Entfernen externer Projektmitarbeiter in Datei/Ordner - Entfernen der Freigabefähigkeit des Datei-Editors – Entfernen des öffentlichen Zugriffs auf Datei/Ordner – Benutzer zum Zurücksetzen des Kennworts auf Google auffordern – Senden eines DLP-Verstoßdigests an Dateibesitzer – Dlp-Verletzung an den letzten Datei-Editor senden - Übertragen des Dateibesitzes – Papierkorbdatei |
| Benutzergovernance | – Benutzer anhalten – Benutzer bei Warnung benachrichtigen (über Microsoft Entra ID) – Benutzer muss sich erneut anmelden (über Microsoft Entra ID) – Benutzer anhalten (über Microsoft Entra ID) |
| OAuth-App-Governance | – Widerrufen der OAuth-App-Berechtigung |
Weitere Informationen zum Beheben von Bedrohungen durch Apps finden Sie unter Steuern verbundener Apps.
Schützen von Google Workspace in Echtzeit
Überprüfen Sie unsere bewährten Methoden zum Schützen und Zusammenarbeiten mit externen Benutzern sowie zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.
Verbinden von Google Workspace mit Microsoft Defender for Cloud Apps
Dieser Abschnitt enthält Anweisungen zum Herstellen einer Verbindung Microsoft Defender for Cloud Apps mit Ihrem vorhandenen Google Workspace-Konto mithilfe der Connector-APIs. Diese Verbindung bietet Ihnen Einblick in die Verwendung von Google Workspace und kontrolle über die Nutzung von Google Workspace. Informationen dazu, wie Defender for Cloud Apps Google Workspace schützt, finden Sie unter Schützen von Google Workspace.
Hinweis
Dateidownloadaktivitäten für Google Workspace werden nicht in Defender for Cloud Apps angezeigt.
Konfigurieren von Google Workspace
Melden Sie sich als Google Workspace Super Admin bei anhttps://console.cloud.google.com.
Wählen Sie im oberen Menüband die Dropdownliste Projekt und dann Neues Projekt aus, um ein neues Projekt zu starten.
Benennen Sie Ihr Projekt auf der Seite Neues Projekt wie folgt: Defender for Cloud Apps, und wählen Sie Erstellen aus.
Nachdem das Projekt erstellt wurde, wählen Sie das erstellte Projekt im oberen Menüband aus. Kopieren Sie die Projektnummer. Sie benötigen sie später.
Navigieren Sie im Navigationsmenü zu APIs & Services>Library. Aktivieren Sie die folgenden APIs (verwenden Sie die Suchleiste, wenn die API nicht aufgeführt ist):
- Admin SDK-API
- Google Drive-API
Navigieren Sie im Navigationsmenü zu APIs &Dienstanmeldeinformationen>, und führen Sie die folgenden Schritte aus:
Wählen Sie CREATE CREDENTIALS (ANMELDEINFORMATIONEN ERSTELLEN) aus.
Wählen Sie Dienstkonto aus.
Dienstkontodetails: Geben Sie den Namen als Defender for Cloud Apps und eine Beschreibung als API-Connector aus Defender for Cloud Apps einem Google-Arbeitsbereichskonto an.
Wählen Sie ERSTELLEN UND FORTFAHREN AUS.
Wählen Sie unter Diesem Dienstkonto Zugriff auf das Projekt gewähren für Rolle die Option Projekt > Editor aus, und wählen Sie dann Fertig aus.
Kehren Sie im Navigationsmenü zu APIs & Services>Credentials zurück.
Suchen und bearbeiten Sie unter Dienstkonten das zuvor erstellte Dienstkonto, indem Sie auf das Stiftsymbol klicken.
Kopieren Sie die E-Mail-Adresse. Sie benötigen ihn später noch.
Navigieren Sie im oberen Menüband zu SCHLÜSSEL .
Wählen Sie im Menü SCHLÜSSEL HINZUFÜGEN die Option Neuen Schlüssel erstellen aus.
Wählen Sie P12 und dann ERSTELLEN aus. Speichern Sie die heruntergeladene Datei und das Kennwort, das für die Verwendung der Datei erforderlich ist.
Navigieren Sie im Navigationsmenü zu IAM & Admin>Servicekonten. Kopieren Sie die Client-ID , die dem soeben erstellten Dienstkonto zugewiesen ist. Sie benötigen sie später.
Wechseln Sie zu admin.google.com und im Navigationsmenü zu Sicherheitszugriff>undDatensteuerungs-API-Steuerelemente>. Gehen Sie dann wie folgt vor:
Wählen Sie unter Domänenweite Delegierungdie Option MANAGE DOMAIN WIDE DELEGATION aus.
Wählen Sie Neu hinzufügen aus.
Geben Sie im Feld Client-ID die Client-ID ein, die Sie zuvor kopiert haben.
Geben Sie im Feld OAuth-Bereiche die folgende Liste der erforderlichen Bereiche ein (kopieren Sie den Text, und fügen Sie ihn in das Feld ein):
https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user
Wählen Sie AUTORISIEREN aus.
Konfigurieren von Defender for Cloud Apps
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus.
Führen Sie unter App-Connectors eine der folgenden Aktionen aus, um die Details der Google Workspace-Verbindung anzugeben:
Für eine Google Workspace-organization, die bereits über eine verbundene GCP-instance
- Wählen Sie in der Liste der Connectors am Ende der Zeile, in der die GCP-instance angezeigt wird, die drei Punkte aus, und wählen Sie dann Google Workspace instance verbinden aus.
Für eine Google Workspace-organization, die noch nicht über eine verbundene GCP-instance
- Wählen Sie auf der Seite Verbundene Appsdie Option +App verbinden und dann Google Workspace aus.
Geben Sie ihrem Connector im Fenster Instanzname einen Namen. Wählen Sie dann Weiter aus.
Geben Sie unter Google-Schlüssel hinzufügen die folgenden Informationen ein:
Geben Sie die Dienstkonto-ID und die Email ein, die Sie zuvor kopiert haben.
Geben Sie die Projektnummer (App-ID) ein, die Sie zuvor kopiert haben.
Laden Sie die P12-Zertifikatdatei hoch, die Sie zuvor gespeichert haben.
Geben Sie die E-Mail-Adresse Ihres Google Workspace Super Admin ein.
Die Bereitstellung mit einem Konto, bei dem es sich nicht um ein Google Workspace Super Admin handelt, führt zu Fehlern im API-Test und lässt nicht zu, dass Defender for Cloud Apps ordnungsgemäß funktioniert. Wir fordern bestimmte Bereiche an, damit Defender for Cloud Apps auch als Super Admin noch begrenzt ist.
Wenn Sie über ein Google Workspace Business- oder Enterprise-Konto verfügen, aktivieren Sie das Kontrollkästchen. Informationen dazu, welche Features in Defender for Cloud Apps für Google Workspace Business oder Enterprise verfügbar sind, finden Sie unter Aktivieren von Sofortiger Sichtbarkeit, Schutz und Governance für Ihre Apps.
Wählen Sie Google Workspaces verbinden aus.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der status des verbundenen App-Connectors Verbunden ist.
Nachdem Sie eine Verbindung mit Google Workspace hergestellt haben, erhalten Sie sieben Tage vor der Verbindung Ereignisse.
Nach dem Herstellen einer Verbindung mit Google Workspace führt Defender for Cloud Apps eine vollständige Überprüfung durch. Je nachdem, wie viele Dateien und Benutzer Sie haben, kann das Abschließen der vollständigen Überprüfung eine Weile dauern. Um die Überprüfung nahezu in Echtzeit zu ermöglichen, werden Dateien, für die Aktivität erkannt wird, an den Anfang der Überprüfungswarteschlange verschoben. Beispielsweise wird eine Datei, die bearbeitet, aktualisiert oder freigegeben wird, sofort gescannt. Dies gilt nicht für Dateien, die nicht inhärent geändert werden. Beispielsweise werden Dateien, die angezeigt, in der Vorschau angezeigt, gedruckt oder exportiert werden, während der regulären Überprüfung gescannt.
SaaS Security Posture Management(SSPM)-Daten (Vorschau) werden im Microsoft Defender Portal auf der Seite Sicherheitsbewertung angezeigt. Weitere Informationen finden Sie unter Sicherheitsstatusverwaltung für SaaS-Apps.
Wenn Sie Probleme beim Herstellen einer Verbindung mit der App haben, finden Sie weitere Informationen unter Problembehandlung für App-Connectors.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.