Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per il cloud offre la gestione del comportamento di sicurezza e la protezione dalle minacce per i carichi di lavoro in esecuzione in Google Cloud Platform (GCP).
Questo articolo illustra come connettere un progetto o un'organizzazione GCP a Microsoft Defender per il cloud in modo che Microsoft Defender per il cloud possa individuare le risorse, valutare il comportamento di sicurezza e visualizzare raccomandazioni e avvisi sulla sicurezza.
Architettura di autenticazione
Microsoft Defender per il cloud usa l'autenticazione federata per accedere in modo sicuro alle API GCP senza archiviare credenziali di lunga durata.
Durante l'onboarding, Defender per il cloud stabilisce un rapporto di fiducia con Google Cloud usando la federazione delle identità del workload e l'impersonificazione dell'account del servizio. L'accesso è limitato al progetto o all'organizzazione connessa e limitato alle autorizzazioni richieste dai piani di Defender abilitati.
Altre informazioni sull'architettura di autenticazione per i connettori GCP.
Prerequisiti
Prima di connettere il progetto GCP, assicurarsi di avere:
Una sottoscrizione di Microsoft Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenerne una gratuita.
Microsoft Defender per il cloud abilitato nella sottoscrizione di Azure.
Accesso a un progetto o a un'organizzazione GCP.
Autorizzazione a livello di collaboratore per la sottoscrizione di Azure pertinente.
Se si abilita CIEM come parte di Defender per CSPM, l'utente che esegue l'onboarding del connettore richiede anche il Ruolo di amministratore della sicurezza e l'autorizzazione Application.ReadWrite.All per il tenant.
Considerazioni sui costi
La connessione di progetti GCP a Microsoft Defender per il cloud e l'abilitazione dei piani di Defender possono comportare costi aggiuntivi.
Per altre informazioni sui prezzi di Defender per il cloud, vedere la pagina dei prezzi.
È anche possibile stimare i costi con il calcolatore dei costi di Defender per il cloud.
Mapping di progetto e sottoscrizione GCP
Quando si connettono progetti GCP alle sottoscrizioni di Azure, tenere presente quanto segue:
- I progetti GCP sono connessi a Microsoft Defender per il cloud a livello di progetto.
- È possibile connettere più progetti GCP a una singola sottoscrizione di Azure.
- È possibile connettere più progetti GCP tra più sottoscrizioni di Azure.
Altre informazioni sulla gerarchia delle risorse di Google Cloud.
Connettere un progetto GCP
Accedi al portale di Azure.
Cercare e selezionare Microsoft Defender per il cloud.
Passare a Defender per il cloud>Impostazioni ambiente.
Selezionare Aggiungi ambiente>Google Cloud Platform.
Selezionare la sottoscrizione in cui verrà creato il connettore di sicurezza.
Selezionare il gruppo di risorse in cui verrà creato il connettore di sicurezza.
Selezionare la posizione in cui verrà creato il connettore di sicurezza.
Selezionare un intervallo per analizzare l'ambiente GCP ogni 4, 6, 12 o 24 ore. Alcuni raccoglitori di dati funzionano con intervalli di scansione fissi e non sono influenzati dalle configurazioni di intervalli personalizzati.
Note
Gli agenti di raccolta dati seguenti usano un intervallo di analisi fisso:
Nome dell'agente di raccolta dati Intervallo di scansione ComputeInstance
ArtifactRegistryRepositoryPolicy
ArtifactRegistryImage
ContainerCluster
ComputeInstanceGroup
ComputeZonalInstanceGroupInstance
ComputeRegionalInstanceGroupManager
ComputeZonalInstanceGroupManager
ComputeGlobalInstanceTemplate1 ora Solo per l'organizzazione: Immettere l'ID dell'organizzazione GCP.
Solo organizzazione: Se necessario, immettere i numeri di progetto da escludere.
Solo per l'organizzazione: Se necessario, inserire gli ID delle cartelle da escludere.
Solo singolo progetto: Immettere il numero di progetto GCP.
Solo singolo progetto: Immettere l'ID progetto GCP.
Selezionare Avanti: Seleziona piani.
Note
Poiché l'agente di Log Analytics (noto anche come MMA) verrà ritirato in agosto 2024, tutte le funzionalità di Defender for Servers e le funzionalità di sicurezza che attualmente dipendono da esso, incluse quelle descritte in questa pagina, saranno disponibili tramite l'integrazione di Microsoft Defender per Endpoint o la scansione senza agente, prima della data di ritiro. Per altre informazioni sulla roadmap per ognuna delle funzionalità attualmente basate su Log Analytics Agent, vedere questo articolo.
Scegliere i piani di Defender da abilitare.
Note
Ogni piano potrebbe comportare addebiti. Altre informazioni sui prezzi di Defender per il cloud.
Selezionare Avanti: Configurare l'accesso.
Selezionare il tipo di autorizzazioni:
- Accesso predefinito: concede le autorizzazioni necessarie per le funzionalità correnti e future.
- Accesso con privilegi minimi: concede solo le autorizzazioni necessarie oggi. È possibile ricevere notifiche se è necessario un accesso aggiuntivo in un secondo momento.
Seguire le istruzioni visualizzate per configurare l'accesso tra Defender per il cloud e l'ambiente GCP.
Lo script
gcloudgenerato si basa sull'ambito e sui piani Defender selezionati. Eseguire lo script nell'ambiente GCP che si sta configurando.Lo script crea le risorse necessarie nell'ambiente GCP, tra cui:
- Pool di identità del carico di lavoro
- Provider di identità del carico di lavoro (per piano)
- Account di servizio
- Vincoli dei criteri a livello di progetto (l'account del servizio ha accesso solo al progetto specifico)
Note
Le API seguenti devono essere abilitate nel progetto in cui si esegue lo script di onboarding:
iam.googleapis.comsts.googleapis.comcloudresourcemanager.googleapis.comiamcredentials.googleapis.comcompute.googleapis.com
Quando si esegue l'onboarding a livello di organizzazione, abilitare queste API nel progetto di gestione.
Se queste API non sono abilitate, è possibile abilitarle durante l'onboarding eseguendo lo script di Cloud Shell GCP.
Selezionare Avanti: Esamina e genera.
Esaminare i dettagli del connettore.
Fare clic su Crea.
Defender per il cloud avvia l'analisi delle risorse GCP. Le raccomandazioni sulla sicurezza vengono visualizzate entro poche ore. Se è stato abilitato il provisioning automatico, Azure Arc e tutte le estensioni abilitate vengono installate automaticamente per ogni risorsa appena rilevata.
Aggiornare la configurazione del connettore GCP
Aggiornare la configurazione del connettore GCP quando cambiano le autorizzazioni o le risorse richieste da Defender per il cloud.
Aggiornare la configurazione nei casi seguenti:
- È stato abilitato un nuovo piano di Defender, ad esempio Defender CSPM, Defender per database o Defender per contenitori.
- Hai modificato la configurazione del piano, ad esempio abilitando il provisioning automatico o modificando l'ambito selezionato.
- Microsoft rilasciato uno script di onboarding aggiornato, ad esempio una versione che supporta nuove funzionalità, corregge i bug o aggiorna le autorizzazioni.
- Si verificano problemi di integrità del connettore correlati alle autorizzazioni mancanti o alle risorse GCP mancanti.
Per aggiornare la configurazione, torna al connettore GCP in Defender per il cloud, genera lo script gcloud più recente per l'ambito e i piani selezionati ed esegui di nuovo lo script nell'ambiente GCP di cui si sta effettuando l'onboarding.
Convalidare l'integrità del connettore
Per verificare che il connettore GCP funzioni correttamente:
Accedi al portale di Azure.
Passare a Defender per il cloud>Impostazioni ambiente.
Individuare il progetto GCP ed esaminare la colonna Stato connettività per verificare se la connessione è integra o presenta problemi.
Selezionare il valore visualizzato nella colonna Stato connettività per visualizzare altri dettagli.
Nella pagina Dei dettagli dell'ambiente sono elencati eventuali problemi di configurazione o autorizzazione rilevati che interessano la connessione al progetto GCP.
Se è presente un problema, è possibile selezionarlo per visualizzare una descrizione del problema e i passaggi consigliati per la correzione. In alcuni casi viene fornito uno script di correzione per risolvere il problema.
Altre informazioni sulla risoluzione dei problemi relativi ai connettori multicloud.
Visualizzare la copertura corrente
Defender per il cloud consente l'accesso alle cartelle di lavoro tramite cartelle di lavoro di Azure. Le cartelle di lavoro sono report personalizzabili che forniscono informazioni dettagliate sul comportamento di sicurezza.
La cartella di lavoro di copertura ti aiuta a comprendere la copertura attuale mostrando quali piani sono attivati sui tuoi abbonamenti e risorse.
Abilitare l'inserimento di GCP Cloud Logging (anteprima)
L'inserimento di GCP Cloud Logging migliora le informazioni dettagliate sulle identità e sulle autorizzazioni aggiungendo il contesto di attività per le valutazioni CIEM (Cloud Infrastructure Entitlement Management), raccomandazioni basate sui rischi e analisi del percorso di attacco.
Scopri di più sull'inserimento di GCP Cloud Logging con Pub/Sub (anteprima).
Passaggi successivi
- Configurare i piani di Defender per il cloud per i progetti GCP.
- Informazioni sull'architettura di autenticazione per i connettori GCP.
- Inserire Cloud Logging GCP con Pub/Sub (anteprima).
- Risolvere la policy di condivisione limitata del dominio.
- Risolvere i problemi relativi ai connettori multicloud.