クイックスタート: GCP プロジェクトを Microsoft Defender for Cloud に接続する

通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。 Microsoft Defender for Cloud により、Azure、アマゾン ウェブ サービス (AWS)、および Google Cloud Platform (GCP) のワークロードが保護されます。

GCP ベースのリソースを保護するには、次のいずれかを使用して GCP プロジェクトを接続します:

  • ネイティブ クラウド コネクタ (推奨) - GCP アカウントへのエージェントレス接続を提供します。これを、GCP リソースをセキュリティで保護するための Microsoft Defender for Cloud の Defender プランで拡張できます:

  • クラシック クラウド コネクタ - GCP 環境への接続に Defender for Cloud で使用できるユーザーを作成するには、GCP プロジェクトの構成が必要です。 クラシック クラウド コネクタがある場合は、それらのコネクタを削除し、ネイティブ コネクタを使用してプロジェクトに再接続することをお勧めします。 クラシックとネイティブ コネクタの両方を使用すると、重複するレコメンデーションが生成される可能性があります。

Microsoft Defender for Cloud の概要ダッシュボードに GCP プロジェクトが表示されている状態のスクリーンショット。

可用性

側面 詳細
リリース状態: プレビュー
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
価格: CSPM プランは無料です。
Defender for SQL プランは、Azure リソースと同じ価格で課金されます。
Defender for Servers プランの料金は、Azure マシンの Microsoft Defender for Servers プランと同じ価格で請求されます。 GCO VM インスタンスに Azure Arc エージェントがデプロイされていない場合、そのマシンに対して課金されることはありません。
Defender for Containers プランは、プレビュー期間中は無料でご利用いただけます。 その後、Azure リソースと同じ価格で GCP に対して請求されます。
必要なロールとアクセス許可: 関連する Azure サブスクリプションの共同作成者
GCP 組織またはプロジェクトの所有者
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet、その他の Gov)

GCP プロジェクトに接続する

GCP プロジェクトを特定の Azure サブスクリプションに接続するときは、Google Cloud リソース階層と次のガイドラインを考慮してください。

  • プロジェクトレベルで GCP プロジェクトをクラウド用 Microsoft Defender に接続できます。
  • 複数のプロジェクトを 1 つの Azure サブスクリプションに接続できます。
  • 複数のプロジェクトを 1 つの Azure サブスクリプションに接続できます。

GCP クラウド コネクタを作成するには、次の手順に従います。

ネイティブ コネクタを使用してGCP プロジェクトを Defender for Cloud に接続するには、次のようにします:

  1. Azure portal にサインインします。

  2. [Defender for Cloud][環境設定] に移動します。

  3. [+ 環境の追加] を選択します。

  4. [Google Cloud Platform] を選択します。

    Google Cloud 環境ボタンの場所のスクリーンショット。

  5. すべての関連情報を入力します。

    すべての関連情報を入力する必要がある GCP コネクタの作成のスクリーンショット。

    (省略可能) [組織]を選択した場合、オンボーディング プロセス用の管理プロジェクトと組織のカスタム ロールが GCP プロジェクトに作成されます。 新しいプロジェクトのオンボードに対する自動プロビジョニングが有効になります。

  6. [次: プランを選択] を選択します。

  7. 接続先のプランを、[オン]に切り替えます。 既定では、必要なすべての前提条件とコンポーネントがプロビジョニングされます。 (オプション) 各プランを構成する方法について説明します。

    1. (コンテナーのみ) Defender for Containers プランのネットワーク要件を満たしていることを確認します。
  8. [次: アクセスの構成] を選択します。

  9. [コピー] を選択します。

    [コピー] ボタンの位置を示すスクリーンショット。

    注意

    GCP リソースを検出し、認証プロセスに対して、iam.googleapis.comsts.googleapis.comcloudresourcemanager.googleapis.comiamcredentials.googleapis.comcompute.googleapis.com の API を有効にする必要があります。 これらの API が有効になっていない場合は、オンボード プロセス中に GCloud スクリプトを実行して有効にします。

  10. [GCP Cloud Shell] を選択します。

  11. GCP Cloud Shell が開きます。

  12. Cloud Shell ターミナルにスクリプトを貼り付けて実行します。

  13. 次のリソースが作成されていることを確認します。

    CSPM Defender for Containers
    CSPM サービス アカウントの閲覧者ロール
    Microsoft Defender for Cloud の ID フェデレーション
    CSPM ID プール
    サーバー向け Microsoft Defender サービスアカウント (サーバー プランが有効になっている場合)
    サーバーのオンボードの Azure-Arc サービスアカウント (サーバーの自動プロビジョニングが有効になっている場合)
    Microsoft Defender for Containers のサービス アカウント ロール
    Microsoft Defender データ コレクターのサービス アカウント ロール
    Microsoft Defender for Cloud の ID プール

(サーバー/SQL のみ) Arc 自動プロビジョニングが有効になっている場合は、Cloud Shell スクリプトの末尾に表示される一意の数値 ID をコピーします。

コピーする一意の数値 ID を示すスクリーンショット。

GCP ポータルで一意の数値 ID を検索するには、[IAM と管理]>[サービス アカウント] に移動し、[名前] 列で Azure-Arc for servers onboarding を見つけ、一意の数値 ID 番号 (OAuth 2 クライアント ID) をコピーします。

  1. Microsoft Defender for Cloud portal に戻ります。

  2. (オプション) いずれかのリソースの名前を変更した場合は、該当するフィールドの名前を更新します。

  3. (サーバー/SQL のみ) サーバー オンボードの Azure-Arc を選択する

    画面の [サーバー オンボードの Azure-Arc] セクションを示すスクリーンショット。

    サービスアカウントの一意の ID を入力します。この ID は、GCP Cloud Shell を実行した後に自動的に生成されます。

  4. [次: 確認と更新] を選択します。

  5. 表示された情報が正しいことを確認します。

  6. [作成] を選択します。

コネクタを作成すると、GCP 環境でスキャンが開始されます。 新しい推奨事項は、最大 6 時間後に、Defender for Cloud に表示されます。 自動プロビジョニングを有効にした場合、検出された新しいリソースごとに Azure Arc および有効な拡張機能が自動的にインストールされます。

(オプション) 選択したプランの構成

既定では、全てのプランはOnです。 不要なプランを無効にすることができます。

すべてのプランが On に切り替わることを示すスクリーンショット。

サーバープランの構成

Microsoft Defender for server のセキュリティコンテンツをすべて表示するには、GCP VM インスタンスを Azure Arc に接続します。

Microsoft Defender for Servers を使用することで、お使いの GCP VM インスタンスに脅威検出および高度な防御を利用できるようになります。 Microsoft Defender サーバーのセキュリティ コンテンツを完全に可視化するには、次の要件が構成されていることを確認します。

  • サブスクリプションで有効になっている Microsoft Defender for Servers。 プランを有効にする方法については、「セキュリティ強化機能の有効化」の記事を参照してください。

  • VM インスタンスにインストールされている Azure Arc for servers。

    • (推奨) 自動プロビジョニング - オンボード プロセスでは自動プロビジョニングが既定で有効になっており、サブスクリプションに対する所有者のアクセス許可が必要です。 Arc 自動プロビジョニングプロセスでは、GCP end で OS config エージェントが使用されています。 詳細については、GCP マシンでの OS config エージェントの利用可能性に関する記事を参照してください。

    注意

    Arc 自動プロビジョニング プロセスでは、Google Cloud Platform 上の VM マネージャーを利用して、OS config エージェントを介して VM にポリシーを適用します。 アクティブな OS エージェントを使用する VM では、GCP に従ってコストが発生します。 これがアカウントに与える影響について確認するには、GCP の技術ドキュメントを参照してください。

    Microsoft Defender for Servers では、OS config エージェントがインストールされていない VM に、OS config エージェントがインストールされません。 ただし、Microsoft Defender for Servers では、OS config エージェントが既にインストールされているが OS config サービスと通信していない場合に、エージェントとサービスの間の通信が有効になります。

    これにより、OS config エージェントが inactive から active に変更され、追加コストが発生する可能性があります。

    • 手動インストール - VM インスタンスをサーバーの Azure Arc for servers に手動で接続できます。 Arc に接続されていない Defender for Servers プランが有効になっているプロジェクトのインスタンスは、"GCP VM インスタンスを Azure Arc に接続する必要があります" という推奨事項によって表示されます。 選択したマシンに Azure Arc をインストールするには、この推奨設定で提供されている [修正] オプションを使用します。
  • Azure Arc のネットワーク要件を満たしていることを確認します。

  • Arc に接続されたコンピューターでは、追加の拡張機能を有効にする必要があります。

    • Microsoft Defender for Endpoint

    • VA ソリューション (TVM/Qualys)

    • Arc コンピューター上の Log Analytics (LA) エージェント。 選択したワークスペースにセキュリティ ソリューションがインストールされていることを確認します。

      LA エージェントは現在、サブスクリプション レベルで構成されています。これにより、同じサブスクリプションにおけるすべてのマルチクラウド アカウントとプロジェクト (AWS と GCP の両方から) で、LA エージェントに関するサブスクリプション設定が継承されます。

    サブスクリプションで自動プロビジョニングを構成する方法について説明します。

    注意

    Defender for Servers では、自動プロビジョニング プロセスを管理するために、GCP リソースにタグを割り当てます。 Defender for Cloud でリソースを管理できるよう、CloudInstanceNameMDFCSecurityConnectorMachineIdProjectIdProjectNumber のタグが適切に割り当てられている必要があります。

   サーバープランを構成する:

  1. 手順に従って、 GCP プロジェクトを接続します。

  2. [プランの選択] 画面で、[構成の表示] を選択します。

    サーバー プランを構成するためにクリックする場所を示すスクリーンショット。

  3. [自動プロビジョニング] 画面で、必要に応じてスイッチをオンまたはオフに切り替えます。

    サーバー プランの切り替えスイッチを示すスクリーンショット。

    Note

    Azure Arc が [オフ] にされている場合は、前述の手動インストール プロセスに従う必要があります。

  4. [保存] を選択します。

  5. GCP プロジェクトを接続する」の手順の 8 から続けます。

データベース プランを構成する

Microsoft Defender for SQL のセキュリティ コンテンツをすべて表示するには、GCP VM インスタンスを Azure Arc に接続します。

Microsoft Defender for SQL を使用することで、お使いの GCP VM インスタンスで脅威検出と脆弱性評価を行うことができます。 Microsoft Defender for SQL のセキュリティ コンテンツをすべて表示するには、次の要件が構成されていることを確認します。

  • マシン上の Microsoft SQL サーバーのプランがサブスクリプションで有効になっている。 プランを有効にする方法については、「セキュリティ強化機能の有効化」の記事を参照してください。

  • VM インスタンスにインストールされている Azure Arc for servers。

    • (推奨) 自動プロビジョニング - オンボード プロセスでは自動プロビジョニングが既定で有効になっており、サブスクリプションに対する所有者のアクセス許可が必要です。 Arc 自動プロビジョニングプロセスでは、GCP end で OS config エージェントが使用されています。 詳細については、GCP マシンでの OS config エージェントの利用可能性に関する記事を参照してください。

    注意

    Arc 自動プロビジョニング プロセスでは、Google Cloud Platform 上の VM マネージャーを利用して、OS config エージェントを介して VM にポリシーを適用します。 アクティブな OS エージェントを使用する VM では、GCP に従ってコストが発生します。 これがアカウントに与える影響について確認するには、GCP の技術ドキュメントを参照してください。

    Microsoft Defender for Servers では、OS config エージェントがインストールされていない VM に、OS config エージェントがインストールされません。 ただし、Microsoft Defender for Servers では、OS config エージェントが既にインストールされているが OS config サービスと通信していない場合に、エージェントとサービスの間の通信が有効になります。

    これにより、OS config エージェントが inactive から active に変更され、追加コストが発生する可能性があります。

  • Arc に接続されたコンピューターでは、追加の拡張機能を有効にする必要があります。

    • マシン上の SQL サーバー。 このプランがサブスクリプションで有効になっていることを確認します。

    • Arc コンピューター上の Log Analytics (LA) エージェント。 選択したワークスペースにセキュリティ ソリューションがインストールされていることを確認します。

      マシン上の LA エージェントと SQL サーバーのプランは現在、サブスクリプション レベルで構成されています。これにより、同じサブスクリプションにおけるすべてのマルチクラウド アカウントとプロジェクト (AWS と GCP の両方から) でサブスクリプション設定が継承され、追加料金が発生する可能性があります。

    サブスクリプションで自動プロビジョニングを構成する方法について説明します。

    注意

    Defender for SQL では、自動プロビジョニング プロセスを管理するために、GCP リソースにタグを割り当てます。 Defender for Cloud でリソースを管理できるよう、CloudInstanceNameMDFCSecurityConnectorMachineIdProjectIdProjectNumber のタグが適切に割り当てられている必要があります。

  • SQL Server の自動検出および登録。 これらの設定を有効にすると、SQL サーバーの自動検出と登録が可能になり、SQL 資産のインベントリと管理が一元化されます。

データベース プランを構成するには:

  1. 手順に従って、 GCP プロジェクトを接続します。

  2. [プランの選択] 画面で、[構成] を選択します。

    データベース プランを構成するためにクリックする場所を示すスクリーンショット。

  3. [自動プロビジョニング] 画面で、必要に応じてスイッチをオンまたはオフに切り替えます。

    データベース プランの切り替えスイッチを示すスクリーンショット。

    Note

    Azure Arc が [オフ] にされている場合は、前述の手動インストール プロセスに従う必要があります。

  4. [保存] を選択します。

  5. GCP プロジェクトを接続する」の手順の 8 から続けます。

コンテナー計画を構成する

Microsoft Defender for Containers は、GCP GKE 標準クラスターに脅威検出と高度な防御機能を提供します。 Defender for Containers から完全なセキュリティの価値を引き出し、GCP クラスターを完全に保護するには、次の要件が構成されていることを確認します。

  • Defender for Cloud への Kubernetes 監査ログ - 既定で有効になっています。 この構成は、GCP プロジェクト レベルでのみ利用可能です。 これにより、詳細な分析のために、GCP Cloud Logging を使用して、Microsoft Defender for Cloud のバックエンドに監査ログ データをエージェントレスで収集できます。
  • Azure Arc 対応 Kubernetes、Defender 拡張機能、Azure Policy 拡張機能 - 既定で有効になっています。 GKE クラスターに、Azure Arc 対応 Kubernetes とその拡張機能をインストールするには、次の 3 つの方法があります。
    • (推奨) 以下の手順で説明されているように、プロジェクト レベルで Defender for Container の自動プロビジョニングを有効にします。
    • クラスターのインストールごとの Defender for Cloud の推奨事項、これは Microsoft Defender for Cloud の [推奨事項] ページに表示されます。 特定のクラスターにソリューションをデプロイする方法の詳細についてご確認ください。
    • Arc 対応 Kubernetes拡張機能の手動インストール。

Note

使用可能な構成オプションを無効にした場合、エージェントやコンポーネントはクラスターにデプロイされません。 詳細については、機能の可用性に関する情報を参照してください。

コンテナー計画を構成するには、次の手順を行います

  1. 手順に従って、 GCP プロジェクトを接続します。

  2. [プランの選択] 画面で、[構成] を選択します。

    コンテナー計画を構成するためにクリックする場所を示すスクリーンショット。

  3. [自動プロビジョニング] 画面で、スイッチを [オン] に切り替えます。

    コンテナー計画の切り替えスイッチを示すスクリーンショット。

  4. [保存] を選択します。

  5. GCP プロジェクトを接続する」の手順の 8 から続けます。

"'クラシック" コネクタを削除する

クラシック クラウド コネクタのエクスペリエンスで作成された既存のコネクタがある場合は、まずそれらを削除します。

  1. Azure portal にサインインします。

  2. [Defender for Cloud][環境設定] に移動します。

  3. 従来のコネクタ エクスペリエンスに戻るオプションを選択します。

    Defender for Cloud のクラシック クラウド コネクタ エクスペリエンスに切り替える。

  4. 各コネクタについて、行の最後にある 3 点ボタン [...] を選択し、[削除] を選択します。

可用性

側面 詳細
リリース状態: 一般公開 (GA)
価格: Microsoft Defender for Servers Plan 2 が必要
必要なロールとアクセス許可: 関連する Azure サブスクリプションの所有者または共同作成者
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet)

GCP プロジェクトに接続する

Defender for Cloud から監視する組織ごとにコネクタを作成します。

GCP プロジェクトを特定の Azure サブスクリプションに接続するときは、Google Cloud リソース階層と次のガイドラインを考慮してください。

  • GCP プロジェクトは、"組織" レベルで Defender for Cloud に接続できます
  • 複数の組織を 1 つの Azure サブスクリプションに接続できます
  • 複数の組織を複数の Azure サブスクリプションに接続できます
  • 組織を接続すると、その組織内のすべての "プロジェクト" が Defender for Cloud に追加されます

GCP クラウド コネクタを作成するには、次の手順に従います。

手順 1. Security Health Analytics を使用して GCP Security Command Center を設定する

組織内のすべての GCP プロジェクトについて、次のことも行う必要があります。

  1. GCP のドキュメントに記載されたこちらの手順を使用して、GCP Security Command Center を設定します。
  2. GCP のドキュメントに記載されたこちらの手順を使用して、Security Health Analytics を有効にします。
  3. Security Command Center にデータが流れていることを確認します。

セキュリティ構成のために GCP 環境に接続するための手順は、セキュリティ構成の推奨事項を利用するための Google の推奨事項に従っています。 統合では Google Security Command Center が活用され、課金に影響する可能性のある追加のリソースが消費されます。

Security Health Analytics を初めて有効にしたときは、データが使用可能になるまで数時間かかることがあります。

手順 2. GCP Security Command Center API を有効にする

  1. Google の Cloud Console API ライブラリから、Microsoft Defender for Cloud に接続する組織内の各プロジェクトを選択します。
  2. API ライブラリで、Security Command Center API を見つけて選択します。
  3. API のページで、 [有効にする] を選択します。

Security Command Center API の詳細については、こちらをご覧ください。

手順 3. セキュリティ構成統合用の専用サービス アカウントを作成する

  1. GCP コンソールで、必要なサービス アカウントを作成する組織のプロジェクトを選択します。

    注意

    このサービス アカウントは、組織レベルで追加されると、Security Command Center によって組織内の他のすべての有効なプロジェクトから収集されたデータへのアクセスに使用されます。

  2. ナビゲーション メニューの [IAM と管理] セクションで、[サービス アカウント] を選択します。

  3. [サービス アカウントを作成] を選択します。

  4. アカウント名を入力し、 [作成] を選択します。

  5. ロールとして [Defender for Cloud Admin Viewer](Defender for Cloud 管理者ビューアー) を指定し、 [続行] を選択します。

  6. [ユーザーにこのサービス アカウントへのアクセスを許可] セクションは省略可能です。 [完了] を選択します。

  7. 作成したサービス アカウントの [メール] の値をコピーし、後で使用できるように保存します。

  8. ナビゲーション メニューの [IAM と管理] セクションで、[IAM] を選択します。

    1. 組織レベルに切り替えます。
    2. [追加] を選択します。
    3. [新しいメンバー] フィールドに、先ほどコピーした [メール] の値を貼り付けます。
    4. ロールとして [Defender for Cloud Admin Viewer](Defender for Cloud 管理者ビューアー) を指定し、 [保存] を選択します。 関連する GCP のアクセス許可の設定。

手順 4. 専用サービス アカウントの秘密キーを作成する

  1. プロジェクト レベルに切り替えます。
  2. ナビゲーション メニューの [IAM と管理] セクションで、[サービス アカウント] を選択します。
  3. 専用サービス アカウントを開き、[編集] を選択します。
  4. [キー] セクションで、 [キーを追加][新しいキーの作成] の順に選択します。
  5. 秘密キーの作成画面で、[JSON] を選択し、[作成] を選択します。
  6. 後で使用するために、この JSON ファイルを保存します。

手順 5. GCP から Defender for Cloud に接続する

  1. Defender for Cloud のメニューから [環境設定] を開き、クラシック コネクタ エクスペリエンスに切り替えるオプションを選択します。

    Defender for Cloud のクラシック クラウド コネクタ エクスペリエンスに切り替える。

  2. [GCP プロジェクトを追加] を選択します。

  3. オンボード ページで、次の手順を実行します。

    1. 選択したサブスクリプションを検証します。
    2. [表示名] フィールドに、コネクタの表示名を入力します。
    3. [組織 ID] フィールドに、組織の ID を入力します。 不明な場合は、「組織の作成と管理」をご覧ください。
    4. [秘密キー ファイル] ボックスで、「手順 4. 専用サービス アカウントの秘密キーを作成する」でダウンロードした JSON ファイルを参照します。
  4. [次へ] を選択します

手順 6. 確認

コネクタが正常に作成され、GCP Security Command Center が正しく構成されたら、次のようになります。

  • Defender for Cloud の規制コンプライアンス ダッシュボードに GCP CIS 標準が表示されます。
  • GCP リソースへのセキュリティに関する推奨事項は、オンボードの完了後 5 から 10 分経過すると Defender for Cloud ポータルと規制コンプライアンス ダッシュボードに表示されます。Defender for Cloud の推奨事項ページの GCP リソースと推奨事項

GCP リソースを監視する

上記のように、Microsoft Defender for Cloud のセキュリティに関する推奨事項ページには、Azure および AWS リソースと共に GCP リソースが表示され、真のマルチクラウド ビューが実現します。

リソースの種類別に、リソースのアクティブな推奨事項をすべて表示するには、Defender for Cloud の資産インベントリ ページを使用し、関心のある GCP リソースの種類にフィルターを適用します。

GCP オプションを示す資産インベントリ ページのリソースの種類のフィルター

FAQ - Microsoft Defender for Cloud への GCP プロジェクトの接続

GCP リソースを Defender for Cloud に接続するための API はありますか?

はい。 REST API を使用して Defender for Cloud クラウド コネクタを作成、編集、または削除するには、Connectors API の詳細をご覧ください。

次のステップ

GCP プロジェクトの接続は、Microsoft Defender for Cloud で利用できるマルチクラウド エクスペリエンスの一部です。 関連情報については、次のページを参照してください。