Google Workspace 是一款雲端檔案儲存和協作工具,讓使用者能夠以簡化且有效率的方式,在貴機構和合作夥伴之間共用文件。 使用 Google Workspace 不僅可能會在內部暴露您的敏感資料,還可能會暴露給外部協作者,甚至更糟的是透過共用連結公開這些資料。 此類事件可能是由惡意行為者或不知情的員工引起的。 Google Workspace 還提供大型第三方應用程式生態系統,以協助提高生產力。 使用這些應用程式可能會讓您的組織面臨惡意應用程式或使用具有過多權限的應用程式的風險。
將 Google Workspace 連結至 Defender for Cloud Apps 後,您可以深入瞭解使用者的活動、使用機器學習型異常偵測、資訊 (保護偵測 (例如偵測外部資訊共用) ) 提供威脅偵測、啟用自動補救控制項,以及偵測來自貴機構中已啟用的第三方應用程式的威脅。
主要威脅
- 帳戶受損和內部威脅
- 資料外洩
- 安全意識不足
- 惡意第三方應用程式和 Google 外掛程式
- 惡意程式碼
- 勒索軟體
- 非受管理自帶裝置 (BYOD)
Defender for Cloud Apps 如何協助保護您的環境
- 偵測雲端威脅、遭入侵的帳戶和惡意內部人員
- 探索、分類、標記和保護儲存在雲端中的控管和敏感性資料
- 探索和管理有權存取您環境的 OAuth 應用程式
- 針對儲存在雲端的資料強制執行 DLP 和合規性原則
- 限制共用資料的暴露程度,並強制執行共同作業原則
- 使用活動的稽核線索來啟動鑒識調查
SaaS 安全態勢管理
連線 Google Workspace 以自動取得 Microsoft 安全分數中的安全性建議。 在 [安全分數] 中,選取 [建議的動作] ,然後依 產品 = Google Workspace 進行篩選。
Google Workspace 支援 啟用 MFA 強制執行的安全性建議。
如需詳細資訊,請參閱:
使用內建政策和政策範本控管 Google Workspace
您可以使用下列內建原則範本來偵測潛在威脅並通知您:
| 類型 | 姓名 |
|---|---|
| 內建異常偵測原則 |
來自匿名 IP 位址的活動 來自不常使用國家/地區的活動。 來自可疑 IP 位址的活動 不可能的移動 終止使用者 (執行的活動需要Microsoft Entra ID 作為 IdP) 惡意程式碼偵測 多次失敗的登入嘗試 異常的行政活動 |
| 活動原則範本 | 從有風險的 IP 位址登入 |
| 檔案原則範本 | 偵測與未經授權的網域共用的檔案 偵測與個人電子郵件地址共用的檔案 偵測具有 PII/PCI/PHI 的檔案 |
如需有關建立政策的詳細資訊,請參閱 建立政策。
自動化治理控制
除了監控潛在威脅之外,您還可以套用及自動化下列 Google Workspace 控管動作,以補救偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 資料管理 | - 套用 Microsoft Purview 資訊保護敏感度標籤 - 授予網域的讀取權限 - 將 Google 雲端硬碟中的檔案/資料夾設為私有 - 減少對檔案/資料夾的公開存取 - 從檔案中移除協作者 - 移除 Microsoft Purview 資訊保護敏感度標籤 - 刪除文件/文件夾上的外部協作者 - 移除檔案編輯器的共用功能 - 移除檔案/資料夾的公開存取權 - 要求使用者重設 Google 密碼 - 將 DLP 違規摘要傳送給檔案擁有者 - 將 DLP 違規傳送至最後一個檔案編輯器 - 轉移檔案擁有權 - 垃圾文件 |
| 使用者治理 | - 暫停使用者 - 通過Microsoft Entra ID) 通知用戶發出警報 ( - 要求使用者透過Microsoft Entra ID 重新登入 () - 透過Microsoft Entra ID 暫停使用者 () |
| OAuth 應用程式控管 | - 撤銷 OAuth 應用程式權限 |
如需補救應用程式威脅的詳細資訊,請參閱 控管連線的應用程式。
即時保護 Google Workspace
檢閱我們保護 外部使用者並與之協作 的最佳做法,以及 封鎖和保護將敏感資料下載到未受管理或有風險的裝置。
將 Google Workspace 連線至 Microsoft Defender for Cloud Apps
本節提供使用連接器 API 將 Microsoft Defender for Cloud Apps 連線到現有 Google Workspace 帳戶的指示。 透過此連線,您可以查看並控管 Google Workspace 的使用情況。 如需 Defender for Cloud Apps 如何保護 Google Workspace 的相關資訊,請參閱 保護 Google Workspace。
注意事項
Google Workspace 的檔案下載活動不會顯示在 Defender for Cloud Apps 中。
設定 Google Workspace
以 Google Workspace 超級管理員身分登入 https://console.cloud.google.com。
選取頂端功能區中的專案下拉式清單,然後選取 [ 新增專案 ] 以啟動新專案。
在 [新增專案] 頁面中,為您的專案命名,如下所示:Defender for Cloud Apps,然後選取 [建立]。
建立專案之後,請從頂端功能區選取已建立的專案。 複製 專案編號,您稍後會需要它。
在導覽功能表中,移至 API & Services>程式庫。 啟用下列 API, (如果 API 未列) ,則使用搜尋列:
- 管理員 SDK API
- Google 雲端硬碟 API
在導覽功能表中,移至 API & 服務>認證 ,然後執行下列步驟:
選取 [建立認證]。
選取 [服務帳戶]。
服務帳戶詳細資料:將名稱提供為 Defender for Cloud Apps,並將描述提供為從 Defender for Cloud Apps 到 Google 工作區帳戶的 API 連接器。
選取 [建立並繼續]。
在授與此服務帳戶存取專案下,針對角色選取專案>編輯器,然後選取完成。
在導覽功能表中,返回 API & 服務>認證。
在 「服務帳戶」下,選取鉛筆圖示,找出並編輯您先前建立的服務帳戶。
複製電子郵件地址。 以便後續步驟使用。
從頂端功能區導覽至 KEYS 。
從 [新增金鑰 ] 功能表中,選取 [建立新金鑰]。
選取 [P12],然後選取 [建立]。 儲存下載的檔案和使用該檔案所需的密碼。
在導覽功能表中,前往 IAM & 管理員>服務帳戶。 複製指派給您建立的服務帳戶的 用戶端 ID - 您稍後會需要它。
移至 admin.google.com ,然後在導覽功能表中移至 [安全性>存取和資料控制>API 控制項]。 然後執行下列動作:
在 [ 網域範圍委派 ] 底下,選取 [ 管理網域範圍委派]。
選取 新增。
- 在 [用戶端識別碼] 方塊中,輸入您先前複製的 用戶端識別碼 。
- 在 [OAuth 範圍] 方塊中,輸入下列必要範圍清單 (複製文字並將其貼到方塊) :
https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user ```選取 [授權]。
重要事項
為了讓 Google 連接器正常運作,請為將用於連接器的超級管理員使用者啟用 Google 雲端硬碟。
- 導覽至 admin.google.com
- 選取應用程式 -> Google Workspace -> 雲端硬碟和文件
- 為用來上線連接器的超級管理員使用者開啟服務狀態。 我們建議為所有使用者啟用服務狀態。
設定Defender for Cloud Apps
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [連線的應用程式] 底下,選取 [應用程式連接器]。
若要提供 Google Workspace 連線詳細資料,請在 [應用程式連接器] 底下執行下列其中一項:
如果 Google Workspace 機構已連結 GCP 執行個體
- 在連接器清單中,在顯示 GCP 執行個體的資料列結尾,選取三個點,然後選取 [ 連線 Google Workspace 執行個體]。
對於尚未連線GCP執行個體的Google Workspace機構
- 在 [ 已連線的應用程式 ] 頁面中,選取 [+連線應用程式],然後選取 [Google Workspace]。
在 [執行個體名稱] 視窗中,為您的連接器命名。 然後選取 [下一步]。
在 「新增 Google」金鑰中,填寫下列資訊:
輸入 Service account ID,即您先前複製的 Email。
輸入您先前複製的 專案編號 (應用程式 ID) 。
上傳您先前儲存的 P12 憑證 檔案。
輸入 Google Workspace 超級管理員的電子郵件地址。
使用非 Google Workspace 超級管理員的帳戶進行部署,會導致 API 測試失敗,而且不允許 Defender for Cloud Apps 正常運作。 我們要求特定範圍,因此即使身為超級管理員,Defender for Cloud Apps 仍會受到限制。
如果您有 Google Workspace Business 或 Enterprise 帳戶,請勾選核取方塊。 如需適用於 Google Workspace 商務版或企業版 Defender for Cloud Apps 中可用的功能相關資訊,請參閱為您的應用程式啟用即時可見度、保護和治理動作。
選取 [連結 Google Workspaces]。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [連線的應用程式] 底下,選取 [應用程式連接器]。 請確定已連線的應用程式連接器狀態為 [已連線]。
連結 Google Workspace 後,您會在連線前 7 天內收到活動。
連線 Google Workspace 之後,Defender for Cloud Apps 會執行完整掃描。 根據您擁有的檔案和使用者數量,完成完整掃描可能需要一段時間。 若要啟用近乎即時的掃描,偵測到活動的檔案會移至掃描佇列的開頭。 例如,會立即掃描已編輯、更新或共用的檔案。 這不適用於未固有修改的檔案。 例如,在一般掃描期間會掃描檢視、預覽、列印或匯出的檔案。
SaaS 安全性狀態管理 (SSPM) 資料 (預覽) 會顯示在 Microsoft Defender 入口網站的 [安全分數] 頁面上。 如需詳細資訊,請參閱 SaaS 應用程式的安全性狀態管理。
如果您連線應用程式有任何問題,請參閱 疑難排解應用程式連接器。
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。