Google Cloud Platform (GCP) Virtual Private Cloud (VPC) サービス コントロールは、機密性の高いリソースを分離して保護する境界を定義することで、セキュリティの追加レイヤーを提供します。 各境界には 1 つ以上のプロジェクトを含めることができるので、定義された境界外から Google サービスへのアクセスが制限されます。
これらの保護された環境内のリソースを Microsoft Defender for Cloud でスキャンできるようにするには、Defender for Cloud サービス アカウントが境界内で動作できるようにするイングレス ポリシーとエグレス ポリシーを構成する必要があります。 この構成により、境界の制限の整合性を損なうことなくセキュリティ スキャンを実行できます。
Defender for Cloud アカウントで VPC サービス コントロールに問題が発生しているかどうかがわからない場合は、 GCP ログ エクスプローラー を確認して確認できます。
[前提条件]
Microsoft Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料でのサインアップができます。
Azure サブスクリプションでの Microsoft Defender for Cloud のセットアップ。
関連する Azure サブスクリプションの共同作成者レベルのアクセス許可。
イングレス ポリシーとエグレス ポリシーを追加する
GCP の各 VPC サービスコントロール境界は、1 つ以上のプロジェクトを保護します。 Defender for Cloud が関連するプロジェクトをスキャンできるように、Google サービスを制限する境界を構成します。
GCP プロジェクトにサインインします。
Security>VPC サービス コントロールに移動します。
[編集] を選択します。
イングレス ポリシーで、次のサービス アカウントを追加します。
serviceAccount:mdc-agentless-scanning@guardians-prod-diskscanning.iam.gserviceaccount.comserviceAccount:microsoft-defender-cspm@eu-secure-vm-project.iam.gserviceaccount.com
注
GCP プロジェクトが MDC に接続されたときに microsoft-defender-cspm サービス アカウント名が変更された場合は、必ず正しい名前でサービス アカウントを編集してください。 この名前は、GCP プロジェクトの IAM と管理者のアクセス許可 に移動することで確認できます。
エグレス ポリシーで、次のサービス アカウントを追加します。
serviceAccount:mdc-agentless-scanning@guardians-prod-diskscanning.iam.gserviceaccount.com
保存 を選択します。
Defender for Cloud は、API 呼び出しを使用してエージェントレス ディスク スキャンをトリガーします。 エージェントレス スキャンの結果が生成されると、次の API 呼び出しの後にすべてが機能します。この呼び出しが発生するまでに最大 24 時間かかります。