Google Cloud Platform 是 IaaS 供應商,可讓您的組織在雲端託管和管理整個工作負載。 除了利用雲端基礎結構的好處外,您組織最關鍵的資產可能會面臨威脅。 公開的資產包括具有潛在敏感資訊的儲存執行個體、操作某些最關鍵應用程式的運算資源、連接埠,以及可存取組織的虛擬私人網路。
將 GCP 連線到適用於 Defender for Cloud Apps 可協助您監視管理和登入活動、通知可能的暴力密碼破解攻擊、惡意使用特殊許可權使用者帳戶,以及異常刪除 VM,以保護資產並偵測潛在威脅。
主要威脅
- 濫用雲端資源
- 帳戶受損和內部威脅
- 資料外洩
- 資源配置錯誤,存取控制不足
Defender for Cloud Apps 如何協助保護您的環境
使用內建原則和原則範本控制 GCP
您可以使用下列內建原則範本來偵測潛在威脅並通知您:
| 類型 | 姓名 |
|---|---|
| 內建異常偵測原則 |
來自匿名 IP 位址的活動 來自不常使用國家/地區的活動。 來自可疑 IP 位址的活動 不可能的移動 終止使用者 (執行的活動需要Microsoft Entra ID 作為 IdP) 多次失敗的登入嘗試 異常的行政活動 多次刪除 VM 活動 預覽) (異常的多個 VM 建立活動 |
| 活動原則範本 | 計算引擎資源的變更 StackDriver 設定的變更 儲存資源的變更 虛擬專用網路的變更 從有風險的 IP 位址登入 |
如需有關建立政策的詳細資訊,請參閱 建立政策。
自動化治理控制
除了監控潛在威脅之外,您還可以套用並自動化下列 GCP 控管動作,以修復偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 使用者治理 | - 要求使用者重設 Google 密碼 (需要連線連結的 Google Workspace 執行個體) - 暫停使用者 (需要已連結的連結 Google Workspace 執行個體) - 通過Microsoft Entra ID) 通知用戶發出警報 ( - 要求使用者透過Microsoft Entra ID 重新登入 () - 透過Microsoft Entra ID 暫停使用者 () |
如需補救應用程式威脅的詳細資訊,請參閱 控管連線的應用程式。
即時保護 GCP
檢閱我們保護 外部使用者並與之協作 的最佳做法,以及 封鎖和保護將敏感資料下載到未受管理或有風險的裝置。
將 Google Cloud Platform 連線到 Microsoft Defender for Cloud Apps
本節提供使用聯結器 API 將Microsoft Defender for Cloud Apps連線至現有 Google Cloud Platform (GCP) 帳戶的指示。 此連線可讓您瞭解和控制 GCP 使用情況。 如需 Defender for Cloud Apps 如何保護 GCP 的相關資訊,請參閱 保護 GCP。
我們建議您使用專用專案進行整合,並限制對專案的存取,以維持穩定的整合並防止刪除/修改設定程序。
注意事項
連線 GCP 環境進行稽核的指示,請遵循 Google 關於 使用彙總記錄的建議。 該集成利用 Google StackDriver,並將消耗可能影響您的計費的額外資源。 消耗的資源是:
Defender for Cloud Apps 稽核連線只會匯入管理員活動稽核記錄;不會匯入資料存取和系統事件稽核日誌。 如需 GCP 記錄的詳細資訊,請參閱 Cloud 稽核記錄。
必要條件
整合的GCP使用者必須具有下列權限:
- IAM 和管理員編輯 — 組織層級
- 專案建立和編輯
您可以將 GCP 安全性稽核連線到適用於 Defender for Cloud Apps 的連線,以取得 GCP 應用程式使用情況的可見度和控制。
設定 Google Cloud Platform
建立專用專案
在組織下的 GCP 中建立專用專案,以啟用整合隔離和穩定性
使用整合的 GCP 使用者帳戶登入您的 GCP 入口網站。
選取 建立專案 以啟動新專案。
在 新增專案 畫面中,為您的專案命名,然後選取 建立。
啟用必要的 API
切換至專用專案。
轉到 “庫” 選項卡。
搜尋並選取 [Cloud Logging API],然後在 [API] 頁面上選取 [啟用]。
搜尋並選取 [Cloud Pub/Sub API],然後在 [API] 頁面上選取 [啟用]。
注意事項
請確定您未選取 Pub/Sub Lite API。
建立安全性稽核整合的專用服務帳戶
在 IAM & 管理員下,選取服務帳戶。
選取 [建立服務帳戶] 以建立專用服務帳戶。
輸入帳戶名稱,然後選取 [建立]。
將角色指定為 Pub/Sub 管理員,然後選取 儲存。
複製 Email 值,您稍後會需要此值。
在 IAM & 管理員下,選取 IAM。
切換到組織層級。
選取 [新增]。
在 [新增成員] 方塊中,貼上您先前複製的 Email 值。
將角色指定為記錄組態寫入器,然後選取儲存。
建立專用服務帳戶的私密金鑰
切換至專案層級。
在 IAM & 管理員下,選取服務帳戶。
開啟專用服務帳戶,然後選取 [編輯]。
選取 [建立金鑰]。
在 [建立私密金鑰 ] 畫面中,選取 [ JSON],然後選取 [建立]。
注意事項
您需要稍後下載到裝置的 JSON 檔案。
擷取您的組織 ID
記下您的 組織 ID,您稍後會需要它。 如需詳細資訊,請參閱 取得您的組織 ID。
將 Google Cloud Platform 稽核連線至 Defender for Cloud Apps
此程序說明如何新增 GCP 連線詳細數據,以將 Google Cloud Platform 稽核連線至適用於 Defender for Cloud Apps。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [連線的應用程式] 底下,選取 [應用程式連接器]。
在 [應用程式連接器 ] 頁面中,若要提供 GCP 連接器認證,請執行下列其中一項操作:
注意事項
建議您連結 Google Workspace 執行個體,以取得統一的使用者管理和控管功能。 即使您不使用任何 Google Workspace 產品,且 GCP 使用者是透過 Google Workspace 使用者管理系統進行管理,也建議您這樣做。
對於新連接器
選取 [+連線應用程式],然後選取 [Google Cloud Platform]。
在下一個視窗中,提供連接器的名稱,然後選取 [ 下一步]。
在 [輸入詳細資料] 頁面中,執行下列動作,然後選取 [提交]。
- 在 [組織 ID ] 方塊中,輸入您先前記下的組織。
- 在 私密金鑰檔案 方塊中,瀏覽至您先前下載的 JSON 檔案。
對於現有的連接器
在連接器清單中,在 GCP 連接器顯示的列上,選取 [編輯設定]。
在 [輸入詳細資料] 頁面中,執行下列動作,然後選取 [提交]。
- 在 [組織 ID ] 方塊中,輸入您先前記下的組織。
- 在 私密金鑰檔案 方塊中,瀏覽至您先前下載的 JSON 檔案。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [連線的應用程式] 底下,選取 [應用程式連接器]。 請確定已連線的應用程式連接器狀態為 [已連線]。
注意事項
Defender for Cloud Apps會使用整合專案中的整合服務帳戶,建立彙總匯出接收器 (組織層級) 、Pub/Sub 主題和 Pub/Sub 訂閱。
彙總匯出接收器用於彙總整個 GCP 組織的記錄,並使用建立的 Pub/Sub 主題作為目的地。 Defender for Cloud Apps 會透過建立的 Pub/Sub 訂用帳戶來訂閱此主題,以擷取整個 GCP 組織的系統管理員活動記錄。
如果您連線應用程式有任何問題,請參閱 疑難排解應用程式連接器。
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。