Connettere un progetto GCP a Microsoft Defender per il cloud

Microsoft Defender per il cloud offre la gestione del comportamento di sicurezza e la protezione dalle minacce per i carichi di lavoro in esecuzione in Google Cloud Platform (GCP).

Questo articolo illustra come connettere un progetto o un'organizzazione GCP a Microsoft Defender per il cloud in modo che Microsoft Defender per il cloud possa individuare le risorse, valutare il comportamento di sicurezza e visualizzare raccomandazioni e avvisi sulla sicurezza.

Architettura di autenticazione

Microsoft Defender per il cloud usa l'autenticazione federata per accedere in modo sicuro alle API GCP senza archiviare credenziali di lunga durata.

Durante l'onboarding, Defender per il cloud stabilisce un rapporto di fiducia con Google Cloud usando la federazione delle identità del workload e l'impersonificazione dell'account del servizio. L'accesso è limitato al progetto o all'organizzazione connessa e limitato alle autorizzazioni richieste dai piani di Defender abilitati.

Altre informazioni sull'architettura di autenticazione per i connettori GCP.

Prerequisiti

Prima di connettere il progetto GCP, assicurarsi di avere:

Considerazioni sui costi

La connessione di progetti GCP a Microsoft Defender per il cloud e l'abilitazione dei piani di Defender possono comportare costi aggiuntivi.

Per altre informazioni sui prezzi di Defender per il cloud, vedere la pagina dei prezzi.

È anche possibile stimare i costi con il calcolatore dei costi di Defender per il cloud.

Mapping di progetto e sottoscrizione GCP

Quando si connettono progetti GCP alle sottoscrizioni di Azure, tenere presente quanto segue:

  • I progetti GCP sono connessi a Microsoft Defender per il cloud a livello di progetto.
  • È possibile connettere più progetti GCP a una singola sottoscrizione di Azure.
  • È possibile connettere più progetti GCP tra più sottoscrizioni di Azure.

Altre informazioni sulla gerarchia delle risorse di Google Cloud.

Connettere un progetto GCP

  1. Accedi al portale di Azure.

  2. Cercare e selezionare Microsoft Defender per il cloud.

  3. Passare a Defender per il cloud>Impostazioni ambiente.

  4. Selezionare Aggiungi ambiente>Google Cloud Platform.

    Screenshot che mostra dove si trova l'opzione del connettore GCP.

  5. Selezionare la sottoscrizione in cui verrà creato il connettore di sicurezza.

  6. Selezionare il gruppo di risorse in cui verrà creato il connettore di sicurezza.

  7. Selezionare la posizione in cui verrà creato il connettore di sicurezza.

  8. Selezionare un intervallo per analizzare l'ambiente GCP ogni 4, 6, 12 o 24 ore. Alcuni raccoglitori di dati funzionano con intervalli di scansione fissi e non sono influenzati dalle configurazioni di intervalli personalizzati.

    Note

    Gli agenti di raccolta dati seguenti usano un intervallo di analisi fisso:

    Nome dell'agente di raccolta dati Intervallo di scansione
    ComputeInstance
    ArtifactRegistryRepositoryPolicy
    ArtifactRegistryImage
    ContainerCluster
    ComputeInstanceGroup
    ComputeZonalInstanceGroupInstance
    ComputeRegionalInstanceGroupManager
    ComputeZonalInstanceGroupManager
    ComputeGlobalInstanceTemplate
    1 ora
  9. Solo per l'organizzazione: Immettere l'ID dell'organizzazione GCP.

  10. Solo organizzazione: Se necessario, immettere i numeri di progetto da escludere.

  11. Solo per l'organizzazione: Se necessario, inserire gli ID delle cartelle da escludere.

  12. Solo singolo progetto: Immettere il numero di progetto GCP.

  13. Solo singolo progetto: Immettere l'ID progetto GCP.

  14. Selezionare Avanti: Seleziona piani.

    Note

    Poiché l'agente di Log Analytics (noto anche come MMA) verrà ritirato in agosto 2024, tutte le funzionalità di Defender for Servers e le funzionalità di sicurezza che attualmente dipendono da esso, incluse quelle descritte in questa pagina, saranno disponibili tramite l'integrazione di Microsoft Defender per Endpoint o la scansione senza agente, prima della data di ritiro. Per altre informazioni sulla roadmap per ognuna delle funzionalità attualmente basate su Log Analytics Agent, vedere questo articolo.

  15. Scegliere i piani di Defender da abilitare.

    Note

    Ogni piano potrebbe comportare addebiti. Altre informazioni sui prezzi di Defender per il cloud.

    Screenshot che mostra gli interruttori attivati per tutti i piani.

  16. Selezionare Avanti: Configurare l'accesso.

  17. Selezionare il tipo di autorizzazioni:

    • Accesso predefinito: concede le autorizzazioni necessarie per le funzionalità correnti e future.
    • Accesso con privilegi minimi: concede solo le autorizzazioni necessarie oggi. È possibile ricevere notifiche se è necessario un accesso aggiuntivo in un secondo momento.
  18. Seguire le istruzioni visualizzate per configurare l'accesso tra Defender per il cloud e l'ambiente GCP.

    Screenshot che mostra le opzioni di distribuzione e le istruzioni per la configurazione dell'accesso.

    Lo script gcloud generato si basa sull'ambito e sui piani Defender selezionati. Eseguire lo script nell'ambiente GCP che si sta configurando.

    Lo script crea le risorse necessarie nell'ambiente GCP, tra cui:

    • Pool di identità del carico di lavoro
    • Provider di identità del carico di lavoro (per piano)
    • Account di servizio
    • Vincoli dei criteri a livello di progetto (l'account del servizio ha accesso solo al progetto specifico)

    Note

    Le API seguenti devono essere abilitate nel progetto in cui si esegue lo script di onboarding:

    • iam.googleapis.com
    • sts.googleapis.com
    • cloudresourcemanager.googleapis.com
    • iamcredentials.googleapis.com
    • compute.googleapis.com

    Quando si esegue l'onboarding a livello di organizzazione, abilitare queste API nel progetto di gestione.

    Se queste API non sono abilitate, è possibile abilitarle durante l'onboarding eseguendo lo script di Cloud Shell GCP.

  19. Selezionare Avanti: Esamina e genera.

  20. Esaminare i dettagli del connettore.

    Screenshot della schermata di revisione e generazione con tutte le selezioni elencate.

  21. Fare clic su Crea.

Defender per il cloud avvia l'analisi delle risorse GCP. Le raccomandazioni sulla sicurezza vengono visualizzate entro poche ore. Se è stato abilitato il provisioning automatico, Azure Arc e tutte le estensioni abilitate vengono installate automaticamente per ogni risorsa appena rilevata.

Aggiornare la configurazione del connettore GCP

Aggiornare la configurazione del connettore GCP quando cambiano le autorizzazioni o le risorse richieste da Defender per il cloud.

Aggiornare la configurazione nei casi seguenti:

  • È stato abilitato un nuovo piano di Defender, ad esempio Defender CSPM, Defender per database o Defender per contenitori.
  • Hai modificato la configurazione del piano, ad esempio abilitando il provisioning automatico o modificando l'ambito selezionato.
  • Microsoft rilasciato uno script di onboarding aggiornato, ad esempio una versione che supporta nuove funzionalità, corregge i bug o aggiorna le autorizzazioni.
  • Si verificano problemi di integrità del connettore correlati alle autorizzazioni mancanti o alle risorse GCP mancanti.

Per aggiornare la configurazione, torna al connettore GCP in Defender per il cloud, genera lo script gcloud più recente per l'ambito e i piani selezionati ed esegui di nuovo lo script nell'ambiente GCP di cui si sta effettuando l'onboarding.

Convalidare l'integrità del connettore

Per verificare che il connettore GCP funzioni correttamente:

  1. Accedi al portale di Azure.

  2. Passare a Defender per il cloud>Impostazioni ambiente.

  3. Individuare il progetto GCP ed esaminare la colonna Stato connettività per verificare se la connessione è integra o presenta problemi.

  4. Selezionare il valore visualizzato nella colonna Stato connettività per visualizzare altri dettagli.

Nella pagina Dei dettagli dell'ambiente sono elencati eventuali problemi di configurazione o autorizzazione rilevati che interessano la connessione al progetto GCP.

Se è presente un problema, è possibile selezionarlo per visualizzare una descrizione del problema e i passaggi consigliati per la correzione. In alcuni casi viene fornito uno script di correzione per risolvere il problema.

Altre informazioni sulla risoluzione dei problemi relativi ai connettori multicloud.

Visualizzare la copertura corrente

Defender per il cloud consente l'accesso alle cartelle di lavoro tramite cartelle di lavoro di Azure. Le cartelle di lavoro sono report personalizzabili che forniscono informazioni dettagliate sul comportamento di sicurezza.

La cartella di lavoro di copertura ti aiuta a comprendere la copertura attuale mostrando quali piani sono attivati sui tuoi abbonamenti e risorse.

Abilitare l'inserimento di GCP Cloud Logging (anteprima)

L'inserimento di GCP Cloud Logging migliora le informazioni dettagliate sulle identità e sulle autorizzazioni aggiungendo il contesto di attività per le valutazioni CIEM (Cloud Infrastructure Entitlement Management), raccomandazioni basate sui rischi e analisi del percorso di attacco.

Scopri di più sull'inserimento di GCP Cloud Logging con Pub/Sub (anteprima).

Passaggi successivi