Defender for Cloud Apps如何帮助保护 Google Cloud Platform (GCP) 环境
Google Cloud Platform 是一个 IaaS 提供商,使组织能够在云中托管和管理其整个工作负载。 除了利用云中的基础结构的好处外,组织最关键的资产还可能面临威胁。 公开的资产包括具有潜在敏感信息的存储实例、运行某些最关键应用程序的计算资源、端口以及允许访问组织的虚拟专用网络。
将 GCP 连接到Defender for Cloud Apps可帮助你通过监视管理和登录活动、通知可能的暴力攻击、恶意使用特权用户帐户和异常删除 VM 来保护资产并检测潜在威胁。
主要威胁
- 滥用云资源
- 泄露的帐户和内部威胁
- 数据泄漏
- 资源配置错误和访问控制不足
Defender for Cloud Apps如何帮助保护环境
使用内置策略和策略模板控制 GCP
可以使用以下内置策略模板来检测潜在威胁并通知你:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 |
来自匿名 IP 地址的活动 来自不常见国家/地区的活动 来自可疑 IP 地址的活动 不可能旅行 终止的用户 (执行的活动需要作为 IdP) Microsoft Entra ID 多个失败登录尝试 异常管理活动 多个删除虚拟机活动 预览) (异常的多个 VM 创建活动 |
| 活动策略模板 | 对计算引擎资源的更改 对 StackDriver 配置的更改 对存储资源的更改 对虚拟专用网络的更改 从有风险的 IP 地址登录 |
有关创建策略的详细信息,请参阅 创建策略。
自动化治理控制
除了监视潜在威胁之外,还可以应用并自动执行以下 GCP 治理操作来修正检测到的威胁:
| 类型 | Action |
|---|---|
| 用户治理 | - 要求用户将密码重置为 Google (需要连接链接的 Google 工作区实例) - 挂起用户 (需要连接链接的 Google Workspace 实例) - 通过Microsoft Entra ID) 在警报 (通知用户 - 要求用户通过Microsoft Entra ID) 重新登录 ( - 通过Microsoft Entra ID) 暂停用户 ( |
有关修正来自应用的威胁的详细信息,请参阅 治理连接的应用。
实时保护 GCP
查看我们的最佳做法, 了解如何保护与外部用户协作 , 以及阻止和保护将敏感数据下载到非托管或有风险的设备。
将 Google Cloud Platform 连接到 Microsoft Defender for Cloud Apps
本部分提供有关使用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 Google Cloud Platform (GCP) 帐户的说明。 通过此连接,可以了解和控制 GCP 的使用。 有关Defender for Cloud Apps如何保护 GCP 的信息,请参阅保护 GCP。
建议使用专用项目进行集成,并限制对项目的访问,以保持稳定的集成并防止删除/修改设置过程。
注意
连接 GCP 环境进行审核的说明遵循 Google 关于使用聚合日志 的建议 。 该集成利用 Google StackDriver,并将消耗可能影响计费的其他资源。 消耗的资源包括:
Defender for Cloud Apps审核连接仅导入管理员活动审核日志;不会导入数据访问和系统事件审核日志。 有关 GCP 日志的详细信息,请参阅 云审核日志。
先决条件
集成 GCP 用户必须具有以下权限:
- IAM 和管理员编辑 - 组织级别
- 项目创建和编辑
可以将 GCP 安全审核连接到Defender for Cloud Apps连接,以便了解和控制 GCP 应用使用情况。
配置 Google Cloud Platform
创建专用项目
在组织的 GCP 中创建专用项目,以实现集成隔离和稳定性
使用集成的 GCP 用户帐户登录到 GCP 门户。
选择“ 创建项目” 以启动新项目。
在 “新建项目 ”屏幕中,为项目命名并选择“ 创建”。
启用所需的 API
切换到专用项目。
转到“ 库 ”选项卡。
搜索并选择“ 云日志记录 API”,然后在“API”页上,选择“ 启用”。
搜索并选择“ Cloud Pub/Sub API”,然后在“API”页上,选择“ 启用”。
注意
请确保不要选择 “发布/订阅精简版 API”。
为安全审核集成创建专用服务帐户
在 “IAM & 管理员”下,选择“ 服务帐户”。
选择“ 创建服务帐户” 以创建专用服务帐户。
输入帐户名称,然后选择“ 创建”。
将“角色”指定为发布/订阅管理员然后选择“保存”。
复制Email值,稍后将需要此值。
在 “IAM & 管理员”下,选择“ IAM”。
切换到组织级别。
选择“ 添加”。
在“新建成员”框中,粘贴之前复制的Email值。
指定 “角色 为 日志配置编写器 ”,然后选择“ 保存”。
为专用服务帐户创建私钥
切换到项目级别。
在 “IAM & 管理员”下,选择“ 服务帐户”。
打开专用服务帐户,然后选择 “编辑”。
选择“ 创建密钥”。
在 “创建私钥 ”屏幕中,选择“ JSON”,然后选择“ 创建”。
注意
稍后需要下载到设备的 JSON 文件。
检索组织 ID
请记下 你的组织 ID,稍后需要用到它。 有关详细信息,请参阅 获取组织 ID。
将 Google Cloud Platform 审核连接到 Defender for Cloud Apps
此过程介绍如何添加 GCP 连接详细信息,以将 Google Cloud Platform 审核连接到Defender for Cloud Apps。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。
在 “应用连接器 ”页中,若要提供 GCP 连接器凭据,请执行以下操作之一:
注意
建议连接 Google 工作区实例,以获得统一的用户管理和治理。 即使不使用任何 Google Workspace 产品,并且 GCP 用户通过 Google Workspace 用户管理系统进行管理,也建议这样做。
对于新连接器
选择 “+连接应用”,然后选择 “Google Cloud Platform”。
在下一个窗口中,提供连接器的名称,然后选择“ 下一步”。
在 “输入详细信息 ”页中,执行以下操作,然后选择“ 提交”。
- 在“ 组织 ID ”框中,输入之前记下的组织。
- 在 “私钥文件 ”框中,浏览到之前下载的 JSON 文件。
对于现有连接器
在连接器列表中,在显示 GCP 连接器的行上,选择 “编辑设置”。
在 “输入详细信息 ”页中,执行以下操作,然后选择“ 提交”。
- 在“ 组织 ID ”框中,输入之前记下的组织。
- 在 “私钥文件 ”框中,浏览到之前下载的 JSON 文件。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。
注意
Defender for Cloud Apps将使用集成项目中的集成服务帐户创建 (组织级别) 、发布/订阅主题和发布/订阅的聚合导出接收器。
聚合导出接收器用于聚合 GCP 组织中的日志,并且创建的发布/订阅主题用作目标。 Defender for Cloud Apps通过为检索 GCP 组织中的管理员活动日志而创建的 Pub/Sub 订阅订阅本主题。
如果连接应用时遇到任何问题,请参阅 应用连接器故障排除。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。