Como o Defender para Aplicativos de Nuvem ajuda a proteger seu ambiente do Google Cloud Platform (GCP)

  • Artigo

O Google Cloud Platform é um provedor de IaaS que permite à sua organização hospedar e gerenciar todas as cargas de trabalho na nuvem. Com os benefícios de aproveitar a infraestrutura na nuvem, os ativos mais críticos da organização podem estar expostos a ameaças. Os ativos expostos incluem instâncias de armazenamento com informações potencialmente confidenciais, recursos de computação que operam alguns dos seus aplicativos mais críticos, portas e redes virtuais privadas que permitem o acesso à sua organização.

Conectar o GCP ao Defender para Aplicativos de Nuvem ajuda a proteger seus ativos e detectar ameaças potenciais monitorando atividades administrativas e de login, notificando sobre possíveis ataques de força bruta, uso malicioso de uma conta de usuário privilegiada e exclusões incomuns de VMs.

Principais ameaças

  • Abuso de recursos de nuvem
  • Contas comprometidas e ameaças internas
  • Vazamento de dados
  • Configuração incorreta de recursos e controle de acesso insuficiente

Como o Defender para Aplicativos de Nuvem ajuda a proteger seu ambiente

Controle o GCP com políticas internas e modelos de política

Use os seguintes modelos de política internos para detectar e notificar sobre possíveis ameaças:

Tipo Nome
Política interna de detecção de anomalias Atividade de endereços IP anônimos
Atividade de país pouco frequente
Atividade de endereços IP suspeitos
Viagem impossível
Atividade executada pelo usuário encerrado (requer Microsoft Entra ID como IdP)
Várias tentativas de logon com falha
Atividades administrativas incomuns
Várias atividades de exclusão de VM
Várias atividades incomuns de criação de VM (preview)
Modelo de política de atividades Alterações nos recursos do mecanismo de computação
Alterações na configuração do StackDriver
Alterações nos recursos de armazenamento
Alterações na rede virtual privada
Logon de um endereço IP com risco

Para obter mais informações sobre como criar políticas, consulte Criar uma política.

Automatize os controles de governança

Além de monitorar possíveis ameaças, você pode aplicar e automatizar as seguintes ações de governança do GCP para corrigir as ameaças detectadas:

Tipo Ação
Governança de usuário - Exigir que o usuário redefina a senha do Google (requer uma instância do Google Workspace vinculada e conectada)
- Suspender usuário (requer instância do Google Workspace vinculada e conectada)
- Notificar o usuário sobre alerta (por meio do Microsoft Entra ID)
- Exigir que o usuário inicie a sessão novamente (via Microsoft Entra ID)
- Suspender usuário (via Microsoft Entra ID)

Para obter mais informações sobre como corrigir ameaças de aplicativos, confira Controlando aplicativos conectados.

Proteja o GCP em tempo real

Revise as nossas melhores práticas para proteger e colaborar com usuários externos e bloquear e proteger o download de dados confidenciais para dispositivos não gerenciados ou arriscados.

Conectar o Google Cloud Platform ao Microsoft Defender para Aplicativos de Nuvem

Esta seção fornece instruções para conectar o Microsoft Defender for Cloud Apps à sua conta existente do Google Cloud Platform (GCP) usando as APIs do conector. Essa conexão fornece visibilidade e controle sobre o uso do Box. Para obter informações sobre como o Defender para Aplicativos de Nuvem protege o GCP, consulte Proteger o GCP.

Recomendamos usar um projeto dedicado para a integração e restringir o acesso ao projeto para manter a integração estável e evitar exclusões ou modificações do processo de configuração.

Observação

As instruções para conectar o ambiente do GCP para fins de auditoria seguem as recomendações do Google para o consumo de logs agregados. A integração aproveita o Google StackDriver e consumirá recursos adicionais que podem afetar sua cobrança. Os recursos consumidos são:

A conexão de auditoria do Defender para Aplicativos de Nuvem importa apenas logs de auditoria de Atividades do Administrador; Os logs de auditoria de Acesso a Dados e Eventos do Sistema não são importados. Para obter mais informações sobre os logs do GCP, confira Cloud Audit Logs.

Pré-requisitos

O usuário de integração do GCP deve ter as seguintes permissões:

  • Edição do IAM e de administração – nível da organização
  • Criação e edição de projetos

Você pode conectar a Auditoria de segurança do GCP às suas conexões do Defender para Aplicativos de Nuvem para obter visibilidade e controle sobre o uso do aplicativo GCP.

Configure o Google Cloud Platform

Criar um projeto dedicado

Crie um projeto dedicado no GCP na sua organização para permitir o isolamento e a estabilidade da integração

  1. Inicie a sessão no portal do GCP usando sua conta de usuário de integração do GCP.

  2. Selecione Novo projeto para criar um projeto.

  3. Na tela Novo projeto, dê um nome ao projeto e selecione Create.

    Screenshot showing GCP create project dialog.

Habilitar recursos de

  1. Mude para o projeto dedicado.

  2. Acesse a guia Biblioteca.

  3. Pesquise e selecione Cloud Logging API e, na página da API, clique em ENABLE.

  4. Pesquise e selecione Cloud Pub/Sub API e, na página da API, clique em ENABLE.

    Observação

    Certifique-se de não selecionar Pub/Sub Lite API.

Criar uma conta de serviço dedicada para a integração da configuração de segurança

  1. Em IAM & admin, selecione Contas de serviço.

  2. Selecione CREATE SERVICE ACCOUNT para criar uma conta de serviço dedicada.

  3. Insira um nome de conta e, em seguida, selecione Criar.

  4. Especifique Role como Pub/Sub Admin e selecione Save.

    Screenshot showing GCP add IAM role.

  5. Copie o valor de Email. Isso será necessário mais tarde.

    Screenshot showing GCP service account dialog.

  6. Em IAM & admin, selecione IAM.

    1. Mude para o nível da organização.

    2. Selecione AICIONAR.

    3. No campo Novos membros, cole o valor do Email copiado anteriormente.

    4. Especifique a Role como Logs Configuration Writer e selecione Save.

      Screenshot showing add member dialog.

Criar uma chave privada para a conta de serviço dedicada

  1. Mude para o nível de projeto.

  2. Em IAM & admin, selecione Contas de serviço.

  3. Abra a conta de serviço dedicada e selecione Editar.

  4. Selecione em Criar chave de API.

  5. Na tela Criar chave privada, selecione JSON e depois CRIAR.

    Screenshot showing create private key dialog.

    Observação

    Você precisará do arquivo JSON que será baixado no seu dispositivo mais tarde.

Recuperar a ID da organização

Anote a ID da sua organização. Ela será necessária mais tarde. Para obter mais informações, consulte Gerenciar licenças na organização.

Screenshot showing organization ID dialog.

Conectar a auditoria do Google Cloud Platform ao Defender para Aplicativos de Nuvem

Este procedimento descreve como adicionar os detalhes da conexão do GCP para conectar a auditoria do Google Cloud Platform ao Defender for Cloud Apps.

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos conectados, selecione Conectores de aplicativos.

  2. Na página Conectores de aplicativos, siga um destes procedimentos para fornecer as credenciais do conector do GCP:

    Observação

    Recomendamos conectar sua instância do Google Workspace para obter governança e gerenciamento de usuários unificados. Isso é o recomendado, mesmo que você não use nenhum produto do Google Workspace e os usuários do GCP sejam gerenciados por meio do sistema de gerenciamento de usuários do Google Workspace.

    Para criar um conector

    1. Selecione +Conectar um aplicativo e Google Cloud Platform.

      Connect GCP.

    2. Na próxima janela, forneça um nome para o conector e selecione Avançar.

      GCP connector name.

    3. Na página Inserir detalhes, siga o procedimento a seguir e selecione Enviar.

      1. Na caixa ID da organização, insira a organização anotada anteriormente.
      2. Na caixa Arquivo da chave privada, navegue até o arquivo JSON baixado anteriormente.

      Connect GCP app security auditing for new connector.

    Para usar um conector existente

    1. Na lista de conectores, na linha em que aparece o conector do GCP, selecione Editar configurações.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Na página Inserir detalhes, siga o procedimento a seguir e selecione Enviar.

      1. Na caixa ID da organização, insira a organização anotada anteriormente.
      2. Na caixa Arquivo da chave privada, navegue até o arquivo JSON baixado anteriormente.

      Connect GCP app security auditing for existing connector.

  3. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos conectados, selecione Conectores de aplicativos. Verifique se o status do Conector de Aplicativos conectado está como Conectado.

    Observação

    O Defender para Aplicativos de Nuvem criará um coletor de exportação agregado (nível de organização), um tópico Pub/Sub e uma assinatura Pub/Sub usando a conta de serviço de integração no projeto de integração.

    O coletor de exportação agregado é usado para agregar logs em toda a organização do GCP e o tópico do Pub/Sub criado é usado como destino. O Defender para Aplicativos de Nuvem assina este tópico por meio da assinatura Pub/Sub criada para recuperar os logs de atividade do administrador em toda a organização do GCP.

Se tiver problemas para conectar o aplicativo, confira Solução de problemas dos conectores de aplicativos.

Próximas etapas

Controlar aplicativos de nuvem com políticas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.