Conectar seu projeto do GCP ao Microsoft Defender para Nuvem

As cargas de trabalho geralmente abrangem várias plataformas de nuvem. Os serviços de segurança de nuvem devem fazer o mesmo. O Microsoft Defender para Nuvem ajuda proteger as cargas de trabalho no Google Cloud Platform (GCP), mas você precisa configurar a conexão entre elas e o Defender para Nuvem.

Esta captura de tela mostra as contas do GCP exibidas no painel de visão geral do Defender para Nuvem.

Captura de tela que mostra os projetos do GCP listados no painel de visão geral no Defender para Nuvem.

Design de autorização do GCP

O processo de autenticação entre Microsoft Defender para Nuvem e GCP é um processo de autenticação federada.

Quando você integra o Defender para Nuvem, o modelo do GCloud é usado para criar os seguintes recursos como parte do processo de autenticação:

  • Pool de identidades e provedores de carga de trabalho

  • Contas de serviço e associações de política

O processo de autenticação funciona da seguinte maneira:

Um diagrama do processo de autenticação do conector GCP do Defender para Nuvem.

  1. O serviço de GPSN do Microsoft Defender para Nuvem adquire um token do Microsoft Entra. O token é assinado pelo Microsoft Entra ID com o algoritmo RS256 e é válido por uma hora.

  2. O token do Microsoft Entra é trocado pelo token STS do Google.

  3. O STS do Google valida o token junto ao provedor de identidade da carga de trabalho. O token do Microsoft Entra é enviado ao STS do Google que valida o token com o provedor de identidade de carga de trabalho. Em seguida, ocorre a validação de audiência e o token é assinado. Em seguida, um token STS do Google é retornado ao serviço CSPM do Defender para Nuvem.

  4. O serviço de GPSN do Microsoft Defender para Nuvem usa o token STS do Google para representar a conta do serviço. O CSPM do Defender para Nuvem recebe as credenciais da conta de serviço que são usadas para verificar o projeto.

Pré-requisitos

Para concluir os procedimentos deste artigo, você precisa:

  • Uma assinatura do Microsoft Azure. Se não tiver uma assinatura do Azure, você poderá inscrever-se gratuitamente.

  • Configurar o Microsoft Defender para Nuvem na sua assinatura do Azure.

  • Acesso a um projeto do GCP.

  • Permissão de nível de colaborador para a assinatura do Azure relevante.

Você pode saber mais sobre os preços do Defender para Nuvem na página de preços.

Ao conectar seus projetos do GCP a assinaturas específicas do Azure, considere a hierarquia de recursos do Google Cloud e estas diretrizes:

  • Você pode conectar seus projetos do GCP ao Microsoft Defender para Nuvem no nível do projeto.
  • Você pode conectar vários projetos a uma assinatura do Azure.
  • Você pode conectar vários projetos a várias assinaturas do Azure.

Conecte seu projeto do GCP

Há quatro partes no processo de integração que ocorrem quando você cria a conexão de segurança entre seu projeto GCP e Microsoft Defender para Nuvem.

Detalhes do projeto

Na primeira seção, você precisa adicionar as propriedades básicas da conexão entre seu projeto do GCP e o Defender para Nuvem.

Captura de tela da página de detalhes da organização do processo de integração do projeto GCP.

Aqui você nomeia seu conector, seleciona um grupo de assinatura e recursos, que é usado para criar um recurso de modelo do ARM chamado conector de segurança. O conector de segurança representa um recurso de configuração que contém as configurações de projetos.

Você também seleciona um local e adiciona a ID da organização para seu projeto.

Você também pode definir um intervalo de verificação entre 1 e 24 horas.

Alguns coletores de dados são executados com intervalos de varredura fixos e não são afetados por configurações de intervalo customizadas. A tabela a seguir mostra os intervalos de varredura fixos para cada coletor de dados excluído:

Nome do coletor de dados Intervalo de verificação
ComputeInstance
ArtifactRegistryRepositoryPolicy
ArtifactRegistryImage
ContainerCluster
ComputeInstanceGroup
ComputeZonalInstanceGroupInstance
ComputeRegionalInstanceGroupManager
ComputeZonalInstanceGroupManager
ComputeGlobalInstanceTemplate
1 hora

Ao integrar uma organização, você também pode optar por excluir números de projeto e IDs de pasta.

Selecionar planos para o seu projeto

Depois de inserir os detalhes da sua organização, você poderá selecionar quais planos habilitar.

Captura de tela dos planos disponíveis que você pode habilitar para seu projeto GCP.

A partir daqui, você pode decidir quais recursos deseja proteger com base no valor de segurança que deseja receber.

Configurar o acesso para seu projeto

Após selecionar os planos que quer habilitar e os recursos que quer proteger, você precisará configurar o acesso entre o Defender para Nuvem e seu projeto do GCP.

Captura de tela mostrando as opções de implantação e instruções para configurar o acesso.

Nesta etapa, você encontrará o script do GCloud que precisa ser executado no projeto do GCP que será integrado. O script do GCloud é gerado com base nos planos que você selecionou para integrar.

O script do GCloud cria todos os recursos necessários em seu ambiente GCP para que o Defender para Nuvem possa operar e fornecer os seguintes valores de segurança:

  • Pool de identidades de carga de trabalho
  • Provedor de identidade de carga de trabalho (por plano)
  • Contas de serviço
  • Vinculações de política no nível do projeto (a conta de serviço tem acesso apenas ao projeto específico)

Revisar e gerar o conector para o seu projeto

A etapa final para integração é examinar todas as seleções e criar o conector.

Captura de tela da tela examinar e gerar com todas suas seleções listadas.

Observação

As seguintes APIs devem ser habilitadas para descobrir os recursos do GCP e permitir que o processo de autenticação ocorra:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.comSe essas APIs não estiverem habilitadas no momento, poderá ativá-las durante o processo de integração através da execução do script do GCloud.

Depois que o conector é criado, uma varredura é iniciada no seu ambiente do GCP. Novas recomendações são exibidas no Defender para Nuvem após até 6 horas. Se você habilitou o provisionamento automático, o Azure Arc e todas as extensões habilitadas serão instalados automaticamente para cada recurso recém-detectado.

Conectar sua organização do GCP

Semelhante à integração de um único projeto, ao integrar uma organização GCP, o Defender para Nuvem cria um conector de segurança para cada projeto na organização (a menos que projetos específicos tenham sido excluídos).

Detalhes da organização

Na primeira seção, você precisa adicionar as propriedades básicas da conexão entre sua organização do GCP e o Defender para Nuvem.

Captura de tela da página de detalhes da organização do processo de integração da organização GCP.

Aqui você nomeia seu conector, seleciona uma assinatura e um grupo de recursos que será usado para criar um recurso de modelo do ARM chamado conector de segurança. O conector de segurança representa um recurso de configuração que contém as configurações de projetos.

Você também seleciona um local e adiciona a ID da organização para seu projeto.

Ao integrar uma organização, você também pode optar por excluir números de projeto e IDs de pasta.

Selecionar planos para a sua organização

Depois de inserir os detalhes da sua organização, você poderá selecionar quais planos habilitar.

Captura de tela dos planos disponíveis que você pode ativar para sua organização do GCP.

A partir daqui, você pode decidir quais recursos deseja proteger com base no valor de segurança que deseja receber.

Configurar o acesso para a sua organização

Após selecionar os planos, se quiser habilitar os recursos que quer proteger você vai precisar configurar o acesso entre o Defender para Nuvem e sua organização do GCP.

Captura de tela da tela Configurar acesso entre o Defender for Cloud e sua organização do GCP.

Quando você integra uma organização, há uma seção que inclui os detalhes do projeto de gerenciamento. Semelhante a outros projetos do GCP, a organização também é considerada um projeto e é utilizada pelo Defender para Nuvem para criar todos os recursos necessários para conectar a organização ao Defender para Nuvem.

Na seção detalhes do projeto de gerenciamento, você tem a opção de:

  • Dedicando um projeto de gerenciamento para o Defender para Nuvem a ser incluído no script do GCloud.
  • Forneça os detalhes de um projeto já existente a ser usado como o projeto de gerenciamento com o Defender para Nuvem.

Você precisa decidir qual é a sua melhor opção para a arquitetura da sua organização. É recomendável criar um projeto dedicado para o Defender para Nuvem.

O script do GCloud é gerado com base nos planos que você selecionou para integrar. O script cria todos os recursos necessários no seu ambiente do GCP para que o Defender para Nuvem possa operar e fornecer os seguintes benefícios de segurança:

  • Pool de identidades de carga de trabalho
  • Provedor de identidade de carga de trabalho para cada plano
  • Função personalizada para conceder acesso ao Defender para Nuvem para descobrir e obter o projeto na organização integrada
  • Uma conta de serviço para cada plano
  • Uma conta de serviço para o serviço de provisionamento automático
  • Associações de política no nível da organização para cada conta de serviço
  • Habilitação de APIs no nível do projeto de gerenciamento

Algumas das APIs não estão em uso direto com o projeto de gerenciamento. Em vez disso, as APIs são autenticadas por meio desse projeto e usam uma das APIs de um outro projeto. A API deve ser habilitada no projeto de gerenciamento.

Revisar e gerar o conector para a sua organização

A etapa final para integração é examinar todas as seleções e criar o conector.

Captura de tela da tela examinar e gerar com todas suas seleções listadas para sua organização.

Observação

As seguintes APIs devem ser habilitadas para descobrir os recursos do GCP e permitir que o processo de autenticação ocorra:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.comSe essas APIs não estiverem habilitadas no momento, poderá ativá-las durante o processo de integração através da execução do script do GCloud.

Depois que o conector é criado, uma varredura é iniciada no seu ambiente do GCP. Novas recomendações são exibidas no Defender para Nuvem após até 6 horas. Se você habilitou o provisionamento automático, o Azure Arc e todas as extensões habilitadas serão instalados automaticamente para cada recurso recém-detectado.

Opcional: configurar planos selecionados

Por padrão, todos os planos estão Ativados. É possível desativar os planos que não são necessários.

Captura de tela que mostra a alternância ativada para todos os planos.

Configurar o plano do Defender para servidores

O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças às suas instâncias de máquina virtual (VM) do GCP. Para ter visibilidade total do conteúdo de segurança do Microsoft Defender para servidores, conecte suas instâncias de VM do GCP ao Azure Arc. Se você escolher o plano do Microsoft Defender para servidores, será necessário:

Recomendamos utilizar o processo de provisionamento automático para instalar o Azure Arc nas suas instâncias de VM. O provisionamento automático está habilitado por padrão no processo de integração e exige permissões de Proprietário na assinatura. O processo de provisionamento automático do Azure Arc utiliza o agente de Configuração do SO na extremidade do GCP. Saiba mais sobre a disponibilidade do agente de configuração do sistema operacional em computadores com o GCP.

O processo de provisionamento automático do Azure Arc utiliza o gerenciador de VMs no GCP para impor políticas em suas VMs por meio do agente de Configuração do SO. Uma VM que tem um agente de configuração do sistema operacional ativo incorre em um custo de acordo com o GCP. Para ver como esse custo pode afetar sua conta, confira a documentação técnica do GCP.

O Microsoft Defender para servidores não instala o agente de Configuração do SO em uma VM que não o tenha instalado. No entanto, o Microsoft Defender para servidores permite a comunicação entre o agente de configuração do sistema operacional e o serviço de configuração do sistema operacional se o agente já estiver instalado, mas não se comunicar com o serviço. Essa comunicação pode alterar o agente de configuração do sistema operacional de inactive para active e resultará em custos adicionais.

Alternativamente, você pode conectar manualmente suas instâncias de VM ao Azure Arc para servidores. As instâncias em projetos com o plano do Defender para servidores habilitado que não estão conectados ao Azure Arc são exibidas pela recomendação de que as instâncias de VM do GCP devem ser conectadas ao Azure Arc. Selecione a opção Corrigir na recomendação para instalar o Azure Arc nos computadores selecionados.

Os respectivos servidores do Azure Arc para máquinas virtuais do GCP que não existem mais (e os respectivos servidores do Azure Arc com status de Desconectado ou Expirado) serão removidos após sete dias. Esse processo remove entidades irrelevantes do Azure ARC, garantindo que somente servidores do Azure Arc relacionados a instâncias existentes sejam exibidos.

Verifique se você cumpriu os requisitos de rede do Azure Arc.

Habilite estas outras extensões nos computadores conectados ao Azure Arc:

  • Microsoft Defender para ponto de extremidade
  • Uma solução de avaliação de vulnerabilidade (Gerenciamento de Vulnerabilidades do Microsoft Defender ou Qualys)

O Microsoft Defender para servidores atribui tags aos recursos do GCP do seu Azure Arc para gerenciar o processo de provisionamento automático. Para que o Defender para servidores possa gerenciar seus recursos, você precisa ter estas marcas atribuídas corretamente aos seus recursos: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId e ProjectNumber.

Para configurar o plano do Defender para servidores:

  1. Siga as etapas para conectar seu projeto GCP.

  2. Na tela Selecionar planos, selecione Configurar.

    Captura de tela que mostra o link para configurar o plano do Defender para servidores.

  3. No painel Configuração de provisionamento automático, ative ou desative as alternâncias, dependendo de sua necessidade.

    Captura de tela que mostra as alternâncias do plano do Defender para servidores.

    Se o agente do Azure Arc for Desativado, você precisará seguir o processo de instalação manual mencionado acima.

  4. Selecione Salvar.

  5. Continue a partir da etapa 8 das instruções em Conectar seu projeto do GCP.

Configurar o plano do Defender para bancos de dados

Para ter visibilidade total do conteúdo de segurança do Microsoft Defender para bancos de dados, conecte suas instâncias de VM do GCP ao Azure Arc.

Para configurar o plano do Defender para bancos de dados:

  1. Siga as etapas para conectar seu projeto GCP.

  2. Na guia Selecionar planos, em Bancos de Dados, selecione Configurações.

  3. No painel de Configuração do plano, ative ou desative no botão de alternância, dependendo da sua necessidade.

    Captura de tela que mostra as alternâncias do plano do Defender para bancos de dados.

    Se o Azure Arc estiver Desativado, você precisará seguir o processo de instalação manual mencionado anteriormente.

  4. Selecione Salvar.

  5. Continue a partir da etapa 8 das instruções em Conectar seu projeto do GCP.

Configurar o plano do Defender para contêineres

O Microsoft Defender para contêineres traz detecção de ameaças e defesas avançadas para seus clusters Standard do Mecanismo de Kubernetes do Google (GKE) do GCP. Para obter o valor de segurança completo do Defender para contêineres e proteger totalmente os clusters do GCP, verifique se você tem os seguintes requisitos configurados.

Observação

  • Logs de auditoria do Kubernetes para o Defender para Nuvem: habilitado por padrão. Essa configuração está disponível apenas no nível de projeto do GCP. Ela fornece a coleta sem agente dos dados do log de auditoria por meio do registrar em log na nuvem do GCP para o back-back do Microsoft Defender para Nuvem para análise posterior. O Defender para contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativar.

    Observação

    Se você desabilitar essa configuração, o recurso Threat detection (control plane) será desabilitado. Saiba mais sobre a disponibilidade dos recursos.

  • Provisionar automaticamente o sensor do Defender para o Azure Arc e Provisionar automaticamente a extensão do Azure Policy para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters do GKE de três maneiras:

  • A descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar o recurso de Descoberta sem agente para o Kubernetes, alterne a configuração para Ativar.

  • A Avaliação de vulnerabilidade de contêiner sem agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no Registro de Contêiner do Google (GCR) e no Registro de Artefatos do Google (GAR) e imagens em execução em seus clusters do GKE. Para habilitar o recurso de avaliação de vulnerabilidade de contêiner sem agente, alterne a configuração para Ativar.

Para configurar o plano do Defender para contêineres:

  1. Siga as etapas para Conectar seu projeto do GCP.

  2. Na tela Selecionar planos, selecione Configurar. Em seguida, no painel de configuração do Defender para contêineres, ative as alternâncias.

    Captura de tela da página de configurações de ambiente do Defender para Nuvem mostrando as configurações do plano de contêineres.

  3. Selecione Salvar.

  4. Continue a partir da etapa 8 das instruções em Conectar seu projeto do GCP.

Configurar o plano do GPSN do Defender

Se você escolher o plano do CSPM Microsoft Defender, precisará:

  • Uma assinatura do Microsoft Azure. Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.
  • Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.
  • Para ter acesso a todos os recursos disponíveis no plano de CSPM, o plano deve ser habilitado pelo Proprietário da Assinatura.
  • Para habilitar os recursos CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem), a conta do Entra ID usada para o processo de integração precisa ter a função de administrador de aplicativos ou diretório do Administrador de Aplicativos na Nuvem para seu locatário (ou direitos de administrador equivalentes para criar registros de aplicativo). Esse requisito só é necessário durante o processo de integração.

Saiba mais sobre Como habilitar o CSPM do Defender.

Para configurar o plano do GPSN do Defender:

  1. Siga as etapas para Conectar seu projeto do GCP.

  2. Na tela Selecionar planos, selecione Configurar.

    Captura de tela que mostra o link para configurar o plano Defender CSPM.

  3. No painel de Configuração do plano, ative ou desative as alternâncias. Para obter o valor total do Defender CSPM, recomendamos ativar todas as alternâncias.

    Captura de tela que mostra alternadores para o Defender CSPM.

  4. Selecione Salvar.

  5. Continue a partir da etapa 8 das instruções em Conectar seu projeto do GCP.

Monitorar os recursos do GCP

A página de recomendações de segurança do Microsoft Defender para Nuvem exibe seus recursos do GCP juntamente com seus recursos do Azure e do AWS para uma verdadeira exibição multinuvem.

Para exibir todas as recomendações ativas dos seus recursos por tipo de recurso, use a página de estoque de ativos do Defender para Nuvem e filtre pelo tipo de recurso do GCP no qual você está interessado.

Captura de tela das opções do GCP do filtro de tipo de recurso da página de inventário de ativos.

Observação

Como o agente do Log Analytics (também conhecido como MMA) está definido para ser desativado em agosto de 2024, todos os recursos do Defender para servidores que atualmente dependem dele, incluindo os descritos nesta página, estarão disponíveis pela Integração do Ponto de Extremidade do Microsoft Defender ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro de cada recurso que atualmente depende do Agente do Log Analytics, consulte este comunicado.

Integrar ao Microsoft Defender XDR

Quando você habilita o Defender para Nuvem, os alertas do Defender para Nuvem são integrados automaticamente ao portal do Microsoft Defender. Não são necessárias outras etapas.

A integração entre o Microsoft Defender para Nuvem e o Microsoft Defender XDR traz seus ambientes de nuvem para o Microsoft Defender XDR. Com os alertas do Defender para Nuvem e correlações de nuvem integrados ao Microsoft Defender XDR, as equipes do SOC agora podem acessar todas as informações de segurança de uma única interface.

Saiba mais sobre os alertas do Defender para Nuvem no Microsoft Defender XDR.

Próximas etapas

Conectar seu projeto do GCP faz parte da experiência de várias nuvens disponível no Microsoft Defender para Nuvem: