Google Cloud Platform (GCP) プロジェクトを Microsoft Defender for Cloud に接続すると、Defender for Cloud ではエージェントレス マシン スキャンを使用して、仮想マシン (VM) の脆弱性を特定します。 その後、Defender for Cloud では、修復のガイダンスと共に、セキュリティに関する推奨事項とアラートが提供されます。
GCP プロジェクトに接続してから 24 時間以内にエージェントレス スキャンの結果が表示されない場合は、 Compute Storage resource use restrictions (Compute Engine disks, images, and snapshots) GCP 組織ポリシーによって Defender for Cloud が必要なリソースにアクセスできなくなる可能性があります。
この記事では、Defender for Cloud が VM を正常にスキャンできるように、この問題を特定して解決する方法について説明します。
[前提条件]
GCP プロジェクトが Microsoft Defender for Cloud にオンボードされている必要があります。
GCP プロジェクトへのアクセス。
関連する Azure サブスクリプションの共同作成者レベルのアクセス許可。
組織のポリシーを管理する
組織のポリシーを構成することで、Defender for Cloud が GCP プロジェクトでアクセスできるリソースを制御できます。
GCP プロジェクトにサインインします。
組織>関連する GCP プロジェクトに移動します。
IAM & Admin>Organization Policies に移動します
Compute Storage resource use restrictions (Compute Engine disks, images, and snapshots)ポリシーを検索します。[ ポリシーの管理] を選択します。
ポリシーの種類を [許可] に変更します。
許可リストで、
under:organizations/517615557103を追加します。保存 を選択します。
Defender for Cloud は、API 呼び出しを使用してエージェントレス ディスク スキャンをトリガーします。 エージェントレス スキャンの結果が生成されると、次の API 呼び出しの後にすべてが機能します。この呼び出しが発生するまでに最大 24 時間かかります。