Como Defender for Cloud Apps ajuda a proteger o seu ambiente do Google Workspace

O Google Workspace permite que os seus utilizadores partilhem documentos por toda a sua organização e com parceiros. No entanto, também pode expor dados sensíveis a utilizadores externos ou torná-los públicos através de links partilhados. Estes riscos podem vir de agentes maliciosos ou de colaboradores que desconhecem o perigo. O Google Workspace também tem um grande ecossistema de aplicações de terceiros. Estas aplicações podem colocar a sua organização em risco devido a aplicações maliciosas ou com permissões a mais.

Quando liga o Google Workspace ao Defender for Cloud Apps, obtém melhor visibilidade sobre a atividade dos utilizadores. Também tem deteção de ameaças através de aprendizagem automática, alertas de proteção de dados (como partilha externa), controlos automáticos de remediação e deteção de ameaças provenientes de aplicações de terceiros.

Principais ameaças ao seu ambiente Google Workspace

Ligar o Google Workspace ao Defender for Cloud Apps ajuda-o a enfrentar as seguintes ameaças:

  • Contas comprometidas e ameaças internas
  • Fuga de dados
  • Consciencialização insuficiente para a segurança
  • Aplicações maliciosas de terceiros e complementos do Google
  • Malware
  • Ransomware
  • Dispositivo pessoal não gerido (BYOD)

Como Defender for Cloud Apps ajuda a proteger o seu ambiente

Utilize o Defender for Cloud Apps com o Google Workspace para:

Gestão da postura de segurança SaaS do Google Workspace

Ligue o Google Workspace para obter dicas de segurança no Classificação de Segurança da Microsoft. Depois de se ligar, selecione Ações Recomendadas no Secure Score. Depois filtra por Produto = no Google Workspace para ver os resultados.

O Google Workspace suporta uma recomendação de segurança para Permitir a aplicação da MFA.

Para mais informações, consulte:

Controlar o Google Workspace com políticas incorporadas e modelos de política

Pode utilizar os seguintes modelos de política incorporados para detetar e notificá-lo sobre potenciais ameaças:

Importante

As políticas de ficheiros serão descontinuadas a 6 de janeiro de 2027. Para manter a proteção de dados baseada em ficheiros para esta aplicação, migre para o Microsoft Purview DLP ou para políticas de rotulagem automática.

Tipo Name
Política de deteção de anomalias incorporada Atividade de endereços IP anónimos
Atividade de país pouco frequente
Atividade de endereços IP suspeitos
Viagem impossível
Atividade realizada pelo utilizador terminado (requer Microsoft Entra ID como IdP)
Deteção de software maligno
Várias tentativas de início de sessão falhadas
Atividades administrativas invulgares
Modelo de política de atividade Início de sessão a partir de um endereço IP arriscado
Modelo de política de ficheiros Detetar um ficheiro partilhado com um domínio não autorizado
Detetar um ficheiro partilhado com endereços de e-mail pessoais
Detetar ficheiros com PII/PCI/PHI

Para obter mais informações sobre como criar políticas, veja Criar uma política.

Automatizar controlos de governação

Além da monitorização de potenciais ameaças, pode aplicar e automatizar as seguintes ações de governação do Google Workspace para remediar ameaças detetadas:

Tipo Ação
Governação de dados - Aplicar a etiqueta de confidencialidade da Proteção de Informações do Microsoft Purview
- Conceder permissão de leitura ao domínio
- Tornar um ficheiro/pasta no Google Drive privado
- Reduzir o acesso público ao ficheiro/pasta
- Remover um colaborador de um ficheiro
- Remover a etiqueta de confidencialidade do Proteção de Informações do Microsoft Purview
- Remover colaboradores externos do ficheiro/da pasta
- Remover a capacidade de partilha do editor de ficheiros
- Remover o acesso público ao ficheiro/pasta
- Exigir que o utilizador reponha a palavra-passe para o Google
- Enviar resumo da violação de DLP aos proprietários de ficheiros
- Enviar violação de DLP para o último editor de ficheiros
- Transferir a propriedade do ficheiro
- Ficheiro de lixo
Governação de utilizadores - Suspender utilizador
- Notificar o utilizador em alerta (através de Microsoft Entra ID)
- Exigir que o utilizador inicie sessão novamente (através de Microsoft Entra ID)
- Suspender utilizador (através de Microsoft Entra ID)
Governação de aplicações OAuth - Revogar a permissão da aplicação OAuth

Para obter mais informações sobre como remediar ameaças a partir de aplicações, veja Governar aplicações ligadas.

Proteger o Google Workspace em tempo real

Reveja as nossas melhores práticas para proteger e colaborar com utilizadores externos e bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco.

Ligar o Google Workspace ao Microsoft Defender for Cloud Apps

As instruções seguintes descrevem como ligar o Microsoft Defender for Cloud Apps à sua conta Google Workspace existente usando as APIs de conector. Esta ligação dá-lhe visibilidade e controlo sobre a utilização do Google Workspace.

Os seguintes passos de configuração do conector do Google Workspace devem ser concluídos por um administrador do Google Workspace. Para informações detalhadas sobre os passos de configuração no Google Workspace, consulte a documentação do Google Workspace. Programar no Google Workspace |Google para Programadores

Nota

Defender for Cloud Apps não apresenta atividades de transferência de ficheiros para o Google Workspace.

Configurar a Área de Trabalho do Google

Enquanto Super Administração do Google Workspace, execute estes passos para preparar o seu ambiente.

  1. Inicie sessão no Google Workspace como superadministrador.

  2. Crie um novo projeto com o nome Defender for Cloud Apps.

  3. Copie o número do Projeto. Precisará dele mais tarde.

  4. Ative as seguintes APIs:

    • API do SDK de Administração
    • Google Drive API
  5. Crie Credenciais para uma conta de serviço com os seguintes detalhes:

    1. Nome: Defender for Cloud Apps

    2. Descrição: conector da API do Defender for Cloud Apps para uma conta do Google Workspace.

  6. Conceda a esta conta de serviço acesso ao projeto.

  7. Copie as seguintes informações da conta de serviço. Irá precisar dele mais tarde

    • Email
    • ID de Cliente
  8. Crie uma nova chave. Transfira e guarde o ficheiro e a palavra-passe necessárias para utilizar o ficheiro.

  9. Nos controlos de API, adicione um novo ID de Cliente na Delegação de Domínio Amplo com o ID de Cliente que copiou acima.

  10. Adicione as seguintes autorizações. Introduza a seguinte lista de âmbitos necessários (copie o texto e cole-o na caixa Âmbitos de OAuth ):

    
    https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user   ```
    
    
    

Na consola de administração do Google, ative o estado de serviço do Google Drive para o utilizador Super Admin que será usado pelo conector. Recomendamos que ative o estado do serviço para todos os utilizadores.

Configurar Defender for Cloud Apps

Execute os seguintes passos no Defender for Cloud Apps para completar a ligação ao Google Workspace:

  1. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações.

  2. Selecione +Ligar uma aplicação e, em seguida, selecione Google Workspace na lista de aplicações.

    Captura de ecrã que mostra onde encontrar o conector de aplicações do Google Workspace no portal do Microsoft Defender.

  3. Para fornecer os detalhes da ligação ao Google Workspace, em conectores de aplicação, faça uma das seguintes ações dependendo se a sua organização já tem uma instância GCP ligada:

    Para uma organização do Google Workspace que já tem uma instância do GCP ligada

    • Na lista de conectores, no final da linha em que aparece a instância do GCP, selecione os três pontos e, em seguida, selecione Associar instância do Google Workspace.

    Para uma organização do Google Workspace que ainda não tem uma instância do GCP ligada

    • Na página Aplicações ligadas , selecione +Ligar uma aplicação e, em seguida, selecione Google Workspace.
  4. Na janela Nome da instância, atribua um nome ao conector. Em seguida, selecione Seguinte.

  5. Na janela Adicionar chave do Google, insira o ID da conta de serviço, o número do projeto, o certificado P12 e o endereço de e-mail do Super Admin:

    Captura de ecrã a mostrar a Configuração da Área de Trabalho do Google no Defender for Cloud Apps.

    1. Introduza o ID da conta de serviço, o Email que copiou anteriormente.

    2. Introduza o Número do projeto (ID da Aplicação) que copiou anteriormente.

    3. Carregue o ficheiro de Certificado P12 que guardou anteriormente.

    4. Introduza o endereço de e-mail do seu superadministrador do Google Workspace.

      A implementação com uma conta que não seja um superadministrador do Google Workspace resultará na falha do teste da API e não permite que o Defender for Cloud Apps funcione corretamente. Pedimos âmbitos de permissão específicos, pelo que, mesmo como Super Admin, o Defender for Cloud Apps continua a estar limitado.

    5. Se tiver uma conta do Google Workspace Business ou Enterprise, selecione a caixa de verificação. Para obter informações sobre que funcionalidades estão disponíveis no Defender for Cloud Apps para o Google Workspace Business ou Enterprise, consulte Ativar a visibilidade instantânea, proteção e ações de governação para as suas aplicações.

    6. Selecione Ligar áreas de trabalho do Google.

  6. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações. Certifique-se de que o estado do Conector de Aplicações ligado está Ligado.

Depois de ligar a conta do Google Workspace, receberá eventos dos sete dias anteriores à ligação.

Depois de ligar o Google Workspace, Defender for Cloud Apps efetua uma análise completa. Consoante o número de ficheiros e utilizadores que tiver, a conclusão da análise completa pode demorar algum tempo. Para ativar a análise quase em tempo real, os ficheiros nos quais a atividade é detetada são movidos para o início da fila de análise. Por exemplo, um ficheiro que é editado, atualizado ou partilhado é analisado imediatamente. Isto não se aplica a ficheiros que não são modificados inerentemente. Por exemplo, os ficheiros visualizados, pré-visualizados, impressos ou exportados são analisados durante a análise normal.

Os dados da gestão da postura de segurança de SaaS (SSPM) (Pré-visualização) são apresentados no portal do Microsoft Defender na página Pontuação de Segurança. Para obter mais informações, veja Gestão da postura de segurança para aplicações SaaS.

Se tiver problemas ao ligar a aplicação, veja Resolução de Problemas dos Conectores de Aplicações.