Configurar planos GCP

O CSPM fundamental é incluído gratuitamente com o Defender para Nuvem. Ele fornece gerenciamento de postura de segurança e proteção contra ameaças para seus recursos do GCP. No entanto, para obter o valor total do Defender CSPM, você precisa habilitar o plano do Defender CSPM, que vem com custos adicionais. Para obter mais informações sobre os custos, consulte a página de preços do Defender para Nuvem.

Saiba mais sobre o CSPM e as diferenças entre os planos.

Pré-requisitos

• O Proprietário da Assinatura deve habilitar o plano.
• Para habilitar os recursos de CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem), a conta de ID do Entra usada para o processo de integração deve ter a função de administrador de aplicativos ou diretório do Administrador de Aplicativos na Nuvem para seu locatário (ou direitos de administrador equivalentes para criar registros de aplicativo). Esse requisito só é necessário durante o processo de integração.

Configuração

Para configurar o plano do CSPM do Defender:

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. Vá para as configurações de Ambiente.

4. Selecione o conector GCP relevante.

5. Localize a linha do Defender CSPM e selecione Configurações.

   

6. Alterne as opções para Ativar ou Desativar, dependendo de sua necessidade. Para obter o valor total do Defender CSPM, ative todas as chaves para On.

   

7. Clique em Salvar.

8. Continue a partir da etapa 8 das instruções em Conectar seu projeto do GCP.

O Defender para Servidores traz detecção de ameaças e defesas avançadas para suas instâncias de VM (máquina virtual) GCP. Para ter visibilidade total do conteúdo de segurança do Defender para Servidores, conecte suas instâncias de VM do GCP ao Azure Arc.

Pré-requisitos

• Azure Arc para servidores instalado em suas instâncias de VM.

Use o processo de provisionamento automático para instalar o Azure Arc em suas instâncias de VM. O provisionamento automático está habilitado por padrão no processo de integração e exige permissões de Proprietário na assinatura. O processo de provisionamento automático do Azure Arc usa o agente de configuração do sistema operacional nos computadores GCP.

O processo de provisionamento automático do Azure Arc utiliza o gerenciador de VMs no GCP para impor políticas em suas VMs por meio do agente de Configuração do SO. Uma VM que tem um agente de configuração do sistema operacional ativo incorre em um custo de acordo com o GCP. Para ver como esse custo pode afetar sua conta, confira a documentação técnica do GCP.

O Defender para Servidores não instala o agente de configuração do sistema operacional em uma VM que não o tem instalado. No entanto, o Defender para Servidores habilita a comunicação entre o agente OS Config e o serviço OS Config se o agente já estiver instalado, mas não estiver comunicando com o serviço. Essa comunicação pode alterar o agente de configuração do sistema operacional de inactive para active e resultará em custos adicionais.

Alternativamente, você pode conectar manualmente suas instâncias de VM ao Azure Arc para servidores. As instâncias em projetos com o plano do Defender para servidores habilitado que não estão conectados ao Azure Arc são exibidas pela recomendação de que As instâncias de VM do GCP devem ser conectadas ao Azure Arc. Selecione a opção Corrigir na recomendação para instalar o Azure Arc nos computadores selecionados.

Os respectivos servidores do Azure Arc para máquinas virtuais do GCP que não existem mais (e os respectivos servidores do Azure Arc com status de Desconectado ou Expirado) serão removidos após sete dias. Esse processo remove entidades irrelevantes do Azure Arc para garantir que apenas servidores do Azure Arc relacionados a instâncias existentes sejam exibidos.

Verifique se você cumpriu os requisitos de rede do Azure Arc.

Habilite estas outras extensões nas máquinas conectadas ao Azure Arc:

• Defender para Ponto de Extremidade
• Uma solução de avaliação de vulnerabilidade (Gerenciamento de Vulnerabilidades do Microsoft Defender ou Qualys)

O Microsoft Defender para servidores atribui tags aos recursos do GCP do seu Azure Arc para gerenciar o processo de provisionamento automático. Para que o Defender para servidores possa gerenciar seus recursos, você precisa ter estas marcas atribuídas corretamente aos seus recursos: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId e ProjectNumber.

Configuração

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. Vá para as configurações de Ambiente.

4. Selecione o conector GCP relevante.

5. Localize a linha Defender para Servidores e selecione Configurações.

   

6. Alterne as opções para Ativar ou Desativar, dependendo de sua necessidade.

   

   Se o agente do Azure Arc for Desativado, você precisará seguir o processo de instalação manual mencionado acima.

7. Clique em Salvar.

8. Continue a partir da etapa 8 das instruções em Conectar seu projeto do GCP.

O Defender para Bancos de Dados traz proteção avançada contra ameaças para suas instâncias de SQL de Nuvem do GCP. O Defender para Bancos de Dados fornece avaliações de vulnerabilidade e recursos avançados de detecção de ameaças para suas instâncias de VM GCP conectadas ao Azure Arc.

Configuração

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. Vá para as configurações de Ambiente.

4. Selecione o conector GCP relevante.

5. Localize a linha Defender para Bancos de Dados e selecione Configurações.

   

6. Alterne as opções para Ativar ou Desativar, dependendo de sua necessidade.

   

   Se o Azure Arc estiver Desativado, você precisará seguir o processo de instalação manual mencionado anteriormente.

7. Clique em Salvar.

8. Continue a partir da etapa 8 das instruções em Conectar seu projeto do GCP.

O Defender para Contêineres oferece detecção de ameaças e defesas avançadas para seus clusters GCP Google Kubernetes Engine (GKE) Standard. Para obter o valor de segurança completo do Defender para contêineres e proteger totalmente os clusters do GCP, verifique se você tem os seguintes requisitos configurados.

• Logs de auditoria do Kubernetes para o Defender para Nuvem: habilitado por padrão. Essa configuração está disponível apenas no nível de projeto do GCP. Ela fornece a coleta sem agente dos dados do log de auditoria por meio do GCP Cloud Logging para o back-back do Defender para Nuvem para análise posterior. O Defender para contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Defender, alterne a configuração para Ativar.

  Observação

  Se você desabilitar essa configuração, o Threat detection (control plane) recurso será desabilitado. Saiba mais sobre a disponibilidade dos recursos.

• Provisionar automaticamente o sensor do Defender para o Azure Arc e Provisionar automaticamente a extensão do Azure Policy para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters do GKE de três maneiras:

  • Habilite o provisionamento automático do Microsoft Defender para contêineres no nível do projeto, conforme explicado nas instruções desta seção. Use este método.
  • Use as recomendações do Defender para Nuvem para instalação por cluster. Eles aparecem na página de recomendações do Defender para Nuvem. Saiba como implantar a solução em clusters específicos.
  • Instale manualmente o Kubernetes habilitado para Arc e extensões.

• O recurso de acesso à API K8S fornece a descoberta baseada em API dos clusters do Kubernetes. Para habilitar, defina o alternador de acesso à API K8S como Ativado.

• O recurso de acesso ao Registro fornece gerenciamento de vulnerabilidades para imagens armazenadas no GCR (Registro de Contêiner do Google) e GAR (Registro de Artefatos do Google), além de imagens que estão sendo executadas em seus clusters GKE. Para habilitar, defina a opção de acesso ao Registro como Ligado.

Configuração

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. Vá para as configurações de Ambiente.

4. Selecione o conector GCP relevante.

5. Localize a linha Defender para Contêineres e selecione Configurações.

   

6. Alterne as opções para Ativar ou Desativar, dependendo de sua necessidade.

   

7. Clique em Salvar.

8. Continue a partir da etapa 8 das instruções em Conectar seu projeto do GCP.