Cette page fournit une liste de guides de référence et de techniques permettant de corriger les erreurs SCC.
Avant de commencer
Vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats, et pour accéder aux ressources Google Cloud ou les modifier. Si vous rencontrez les erreurs d'autorisation lors de l'accès à Security Command Center console Google Cloud, demandez de l'aide à votre administrateur. Pour apprendre sur les rôles, consultez la page Contrôle des accès. Pour résoudre les erreurs de ressources, consultez la documentation concernant les produits concernés.
Examiner les résultats dans la console Google Cloud
Les erreurs SCC sont des erreurs de configuration qui empêchent Security Command Center de fonctionner comme prévu. La source Security Command Center
génère ces résultats.
Si Security Command Center est configuré pour votre organisation ou projet, il génère des résultats d'erreurs lorsqu'il les détecte. Vous pouvez afficher les erreurs SCC dans Google Cloud Console.
Procédez comme suit pour examiner les résultats dans la console Google Cloud:
Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Sélectionnez votre projet ou votre organisation Google Cloud.
Dans la section Filtres rapides de la sous-section Nom à afficher de la source, sélectionnez Security Command Center.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous
Category
. Le volet de détails du résultat se développe pour afficher des informations, y compris les suivantes :- Résumé généré par IAPreview: Explication du problème détecté, générée dynamiquement
- Description: brève explication de l'erreur détectée
- Date et heure de l'événement: date et heure du résultat
- Resource display name (Nom à afficher pour la ressource) : la ressource concernée
- Étapes suivantes: Instructions pour résoudre l'erreur
- Nom canonique du résultat: identifiant unique du résultat
- Nom à afficher pour la source:
Security Command Center
Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Le volet affiche la définition JSON du résultat, dans laquelle vous pouvez inspecter tous les attributs du résultat.
Désactivation des erreurs SCC après correction
Après la correction d'un résultat SCC error
, Security Command Center
définit automatiquement l'état du résultat sur INACTIVE
lors de la prochaine analyse.
Combien de temps faut-il à Security Command Center pour définir l'état d'une action corrigée
pour INACTIVE
dépend du moment où vous corrigez le résultat et de la programmation
de l'analyse qui détecte l'erreur.
Pour en savoir plus sur la fréquence d'analyse d'un résultat SCC error
,
voir le résumé du résultat dans
Détecteurs d'erreurs.
Résoudre les erreurs SCC
Cette section fournit des instructions de résolution pour toutes les erreurs SCC.
API disabled
Nom de la catégorie dans l'API : API_DISABLED
L'un des services suivants est désactivé pour le projet :
Le service désactivé ne peut pas générer de résultats.
Pour corriger ce résultat, procédez comme suit :
- Examinez le résultat pour déterminer quelle API est désactivée.
Activez l'API :
Activez l'API Container Threat Detection.
Activez l'API Web Security Scanner.
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesAPS no resource value configs match any resources
Nom de la catégorie dans l'API : APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES
Configurations de valeurs de ressources sont définis pour les simulations de chemin d'attaque, mais ne correspondent à aucune d'instances Compute Engine dans votre environnement. Les simulations utilisent de ressources à forte valeur par défaut.
Les configurations des valeurs de ressources peuvent ne correspondre à aucune ressource pour qui sont identifiés dans la description du résultat Console Google Cloud:
- Aucune des configurations de valeurs de ressources ne correspond à des instances de ressources.
- Une ou plusieurs configurations de valeurs de ressources spécifiant
NONE
sont remplacées tous les ou une autre configuration valide. - Toutes les configurations de valeurs de ressources définies spécifient la valeur
NONE
.
Pour corriger ce résultat, procédez comme suit :
Accédez à la page Simulation du chemin d'attaque dans Security Command Center. Paramètres:
Sélectionnez votre organisation. La page Attack path simulation (Simulation du chemin d'attaque) s'ouvre. avec les configurations existantes affichées.
Dans la colonne Resource value (Valeur de la ressource) de la page Resource Values Configurations (Configurations de valeur de ressource). recherchez les valeurs
None
.Pour toute configuration spécifiant
None
, procédez comme suit:Cliquez sur le nom d'une configuration de valeur de ressource pour afficher le de configuration standard.
Si nécessaire, modifiez les spécifications des attributs de la ressource. afin de réduire le nombre d'instances de ressources correspondant à la configuration.
Si le problème n'est pas causé par une spécification
None
trop large, effectuer les opérations suivantes:Cliquez sur le nom de chaque configuration spécifiant la valeur
HIGH
.MEDIUM
ouLOW
pour afficher les spécifications des attributs de la ressource.Examinez et, si nécessaire, modifiez la configuration pour corriger le champ d'application, le type de ressource, le tag ou la spécification d'étiquette pour correspondre au ressources.
Si nécessaire, créez une configuration de valeur de ressource.
Vos modifications sont appliquées à la prochaine simulation de chemin d'attaque.
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesAPS resource value assignment limit exceeded
Nom de la catégorie dans l'API : APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED
Dans la dernière simulation du chemin d'attaque, le nombre d'instances de ressources à forte valeur, tel qu'identifié par le Configurations de valeurs de ressources dépasse la limite de 1 000 instances de ressources ensemble de ressources à forte valeur ajoutée. Par conséquent, Security Command Center a exclu d'instances de l'ensemble de ressources à forte valeur.
Pour corriger ce problème, vous pouvez essayer les actions suivantes:
- Utiliser des tags ou libellés afin de réduire le nombre de correspondances pour un type de ressource donné ou dans un champ d'application donné. Les tags ou libellés doivent être appliqués ressources instances avant de pouvoir être mises en correspondance avec une valeur de ressource configuration.
- Créez une configuration de valeur de ressource qui attribue un
valeur de ressource
de
NONE
à un sous-ensemble des ressources spécifiées dans une autre configuration. La spécification d'une valeurNONE
remplace toutes les autres configurations et exclut les instances ressources de votre ensemble de ressources à forte valeur. - Réduisez l'attribut de ressource de champ d'application. dans la configuration des valeurs de ressource.
- Supprimez les configurations de valeur de ressource qui attribuent la valeur
LOW
.
Pour obtenir des instructions sur la création, la modification ou la suppression d'une valeur de ressource consultez Définir et gérer votre ensemble de ressources à forte valeur.
éléments compatibles et paramètres d'analyse.
En savoir plus sur le type de résultatCIEM service account missing permissions
Nom de la catégorie dans l'API : CIEM_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Le compte de service utilisé par le service CIEM est manquant autorisations. Le CIEM ne peut pas générer une ou plusieurs catégories de résultats.
Pour résoudre ce problème, restaurez les rôles IAM requis sur le compte de service CIEM:
Dans la console Google Cloud, accédez à la page IAM.
Sélectionnez le compte de service CIEM de votre organisation. Le service identifiant de compte est une adresse e-mail au format suivant:
service-org-ORGANIZATION_ID@gcp-sa-ciem.iam.gserviceaccount.com
Remplacez ORGANIZATION_ID par l'ID numérique de votre organisation.
Si le compte de service n'est pas répertorié, cliquez sur ACCORDER L'ACCÈS au niveau de en haut de la page et saisissez le compte de service en tant que nouveau compte principal.
Attribuer le rôle d'agent de service CIEM (
roles/ciem.serviceAgent
) au compte de service. Si vous utilisez des rôles personnalisés, assurez-vous qu'ils incluent le paramètre les autorisations suivantes:cloudasset.assets.exportResource
cloudasset.assets.exportIamPolicy
Cliquez sur Enregistrer.
CIEM AWS CloudTrail configuration error
Nom de la catégorie dans l'API : AWS_CLOUDTRAIL_CONFIGURATION_ERROR
La totalité ou une partie des résultats de CIEM AWS ne sont pas envoyées à Security Command Center. Le flux AWS CloudTrail a échoué et ne peut pas récupérer des données en raison d'une erreur de configuration.
Trois causes peuvent être à l'origine de ce constat:
Flux AWS CloudTrail manquant
Pour résoudre ce problème, créez et configurez un flux dans la console Opérations de sécurité afin d'ingérer AWS CloudTrail. Définissez la paire clé-valeur Étiquette d'ingestion sur
CIEM
etTRUE
.Pour savoir comment créer un flux, consultez l'article Créer un flux flux dans la documentation Google SecOps.
Erreurs dans la configuration du flux
Assurez-vous d'avoir correctement configuré le flux.
Pour savoir comment configurer un flux, consultez la section Configurer un flux dans Google Security Operations pour ingérer AWS journaux dans la documentation Google SecOps.
Configuration AWS CloudTrail incomplète
Pour résoudre ce problème, configurez le bucket S3 dans votre AWS CloudTrail permettant de consigner à la fois les événements de données et les événements de gestion de tous les comptes sur lesquels vous prévoyez d'utiliser CIEM.
Pour configurer CloudTrail, consultez la page Configurer AWS CloudTrail (ou une autre service) dans la documentation Google SecOps.
GKE service account missing permissions
Nom de la catégorie dans l'API : GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche Container Threat Detection d'être correctement activé sur le cluster.
Pour corriger ce résultat, restaurez le compte de service GKE par défaut et vérifiez que le compte de service dispose du rôle Agent de service Kubernetes Engine (roles/container.serviceAgent
).
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesKTD blocked by admission controller
Nom de la catégorie dans l'API : KTD_BLOCKED_BY_ADMISSION_CONTROLLER
Impossible d'activer Container Threat Detection sur un cluster, car un serveur empêche le déploiement des ressources Objet DaemonSet Kubernetes.
Pour résoudre ce problème, assurez-vous que les contrôleurs d'admission qui s'exécutent sur le cluster, ce qui permet à Container Threat Detection de créer les des objets Kubernetes.
Vérifier le contrôleur d'admission
Vérifiez si le contrôleur d'admission de votre cluster refuse le le déploiement de l'objet DaemonSet de Container Threat Detection.
Dans la description du résultat dans les détails du résultat dans la console Google Cloud, consultez le message d'erreur de Kubernetes inclus. Le message d'erreur Kubernetes doit ressembler à ce qui suit:
generic::failed_precondition: incompatible admission webhook: admission webhook "example.webhook.sh" denied the request: [example-constraint] you must provide labels: {"example-required-label"}.
Dans les journaux d'audit Cloud pour les activités d'administration du projet contenant votre cluster, recherchez le message d'erreur affiché dans le champ Description des détails du résultat.
Si votre contrôleur d'admission fonctionne, mais refuse le déploiement de l'objet DaemonSet de Container Threat Detection, configurez votre admission pour permettre au agent de service pour Container Threat Detection pour gérer les objets de l'espace de noms
kube-system
.L'agent de service de Container Threat Detection doit pouvoir gérer à des objets Kubernetes spécifiques.
Pour en savoir plus sur l'utilisation de contrôleurs d'admission avec Container Threat Detection, consultez Contrôleurs d'admission et PodSecurityPolicy.
Confirmer la correction
Une fois l'erreur corrigée, Security Command Center tente automatiquement de activer Container Threat Detection. Une fois l'activation terminée, vous pouvez vérifier si Container Threat Detection est actif en procédant comme suit:
Accédez à la page Charges de travail de Kubernetes Engine dans la console.
Si nécessaire, sélectionnez Afficher les charges de travail du système.
Sur la page Charges de travail, filtrez d'abord les charges de travail par nom de cluster.
Recherchez la charge de travail
container-watcher
. Sicontainer-watcher
correspond à et que l'état affiché estOK
, Container Threat Detection est actif.
KTD image pull failure
Nom de la catégorie dans l'API : KTD_IMAGE_PULL_FAILURE
Impossible d'activer Container Threat Detection sur le cluster, car un
Impossible d'extraire (télécharger) l'image de conteneur à partir de gcr.io
,
l'hôte de l'image Container Registry.
L'extraction ou le téléchargement d'une image de conteneur peut échouer raisons possibles.
Vérifiez les éléments suivants :
- Assurez-vous que les paramètres de votre réseau VPC, DNS ou de pare-feu ne bloquent pas
un accès réseau du cluster à l'hôte d'image
gcr.io
. - Si le cluster est privé, assurez-vous que l'option Accès privé à Google
est activé pour autoriser l'accès à l'hôte d'image
gcr.io
. - Si les paramètres réseau ou l'accès privé à Google ne sont pas à l'origine du problème d'échec, consultez la documentation de dépannage de GKE pour ImagePullBackOff et ErrImagePull les erreurs.
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesKTD service account missing permissions
Nom de la catégorie dans l'API : KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Le compte de service Container Threat Detection identifié dans la Informations sur les résultats manquantes dans la console Google Cloud autorisations. Tous les résultats de Container Threat Detection ou certains d'entre eux ne le sont pas envoyées à Security Command Center.
Pour corriger ce résultat, procédez comme suit :
Accordez le Agent de service Container Threat Detection (
roles/containerthreatdetection.serviceAgent
) au rôle de service géré. Pour en savoir plus, consultez Accordez un seul rôle.Si vous souhaitez utiliser une méthode personnalisée , assurez-vous qu'il dispose des autorisations du rôle Agent de service Container Threat Detection.
Assurez-vous qu'il n'y a pas de refus IAM de service empêchant le compte de service d'utiliser n'importe quelle autorisation du rôle Agent de service Container Threat Detection. S'il y a est une règle de refus qui bloque l'accès, ajoutez le compte de service comme exception principal dans la règle de refus.
Pour en savoir plus sur le compte de service Container Threat Detection ainsi que le rôle et les autorisations requis, consultez
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesMisconfigured Cloud Logging Export
Nom de la catégorie dans l'API : MISCONFIGURED_CLOUD_LOGGING_EXPORT
Le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Par conséquent, Security Command Center ne peut pas envoyer de résultats à Logging.
Pour corriger ce résultat, effectuez l'une des opérations suivantes :
Si la période de récupération du projet n'est pas écoulée, restaurez le projet.
Si le projet a été définitivement supprimé, configurez un projet nouveau ou existant pour les exportations Logging.
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesVPC Service Controls Restriction
Nom de la catégorie dans l'API : VPC_SC_RESTRICTION
Security Health Analytics ne peut pas produire certains résultats pour un projet, car celui-ci est protégé par un périmètre de service. Vous devez accorder au compte de service Security Command Center un accès entrant au périmètre de service.
L'identifiant du compte de service est une adresse e-mail avec ce qui suit : format:
service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com
Remplacez les éléments suivants :
- RESOURCE_KEYWORD: le mot clé
org
ouproject
, en fonction de la ressource qui possède le compte de service - RESOURCE_ID: l'un des éléments suivants:
- L'ID de l'organisation si le compte de service appartient à l'organisation
- le <ph type="x-smartling-placeholder"></ph> numéro de projet si le compte de service appartient à un projet
Si vous disposez de comptes de service à la fois au niveau de l'organisation et au niveau du projet, appliquez la remédiation pour tous les deux.
Pour corriger ce résultat, procédez comme suit :
Étape 1 : Déterminer le périmètre de service qui bloque Security Health Analytics
- Obtenez l'ID unique de VPC Service Controls et l'ID de projet associé au résultat :
- Pour afficher les détails du résultat, cliquez sur son nom de catégorie.
- Dans le champ Description, copiez la valeur unique de VPC Service Controls
ID", par exemple,
5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ
- Dans le champ Chemin d'accès à la ressource, copiez l'ID du projet.
Obtenez l'ID de la règle d'accès et le nom du périmètre de service :
Dans Google Cloud Console, accédez à la page Explorateur de journaux.
Dans la barre d'outils, sélectionnez le projet associé au résultat.
Dans la zone de recherche, saisissez l'identifiant unique de l'erreur.
Si l'erreur n'apparaît pas dans les résultats de la requête, étendez la chronologie dans l'histogramme, puis réexécutez la requête.
Cliquez sur l'erreur qui s'affiche.
Cliquez sur Développer les champs imbriqués.
Copiez la valeur du champ
servicePerimeterName
. La valeur a le format suivant :accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER
Dans cet exemple, le nom de ressource complet du périmètre de service est
accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured
.- ACCESS_POLICY correspond à l'ID de la règle d'accès (par exemple,
540107806624
). - SERVICE_PERIMETER correspond au nom du périmètre de service (par exemple,
vpc_sc_misconfigured
).
- ACCESS_POLICY correspond à l'ID de la règle d'accès (par exemple,
Pour obtenir le nom à afficher correspondant à l'ID de la règle d'accès, utilisez la gcloud CLI.
Si vous ne pouvez pas effectuer de requêtes au niveau de l'organisation, contactez votre administrateur pour effectuer cette étape.
gcloud access-context-manager policies list --organization ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID numérique de votre organisation.
Un résultat semblable aux lignes suivantes doit s'afficher :
NAME ORGANIZATION SCOPES TITLE ETAG 540107806624 549441802605 default policy 2a9a7e30cbc14371 352948212018 549441802605 projects/393598488212 another_policy d7b47a9ecebd4659
Le nom à afficher est le titre qui correspond à l'ID de règle d'accès. Prenez note du nom à afficher de la règle d'accès et du nom du périmètre de service. Vous en aurez besoin dans la section suivante.
Étape 2 : Créer une règle d'entrée accordant l'accès au projet
Pour utiliser cette section, vous devez disposer d'un accès au niveau de l'organisation VPC Service Controls. Si vous ne disposez pas d'un accès au niveau de l'organisation, demandez à votre d'effectuer ces étapes.
Dans les étapes suivantes, vous créez une règle d'entrée sur le périmètre de service que vous avez identifié à l'étape 1.
Pour accorder à un compte de service un accès entrant à un périmètre de service, procédez comme suit : ces étapes.
Accédez à VPC Service Controls.
Dans la barre d'outils, sélectionnez votre organisation Google Cloud.
Dans la liste déroulante, sélectionnez la règle d'accès contenant le périmètre de service auquel vous souhaitez accorder l'accès.
Les périmètres de service associés à la règle d'accès apparaissent dans la liste.
Cliquez sur le nom du périmètre de service.
Cliquez sur
Modifier le périmètre.Dans le menu de navigation, cliquez sur Règle d'entrée.
Cliquez sur Add rule (Ajouter une règle).
Configurez la règle comme suit :
Attributs "FROM" du client API
- Pour Source, sélectionnez Toutes les sources.
- Pour Identité, sélectionnez Identités sélectionnées.
- Dans le champ Ajouter un utilisateur/compte de service, cliquez sur Sélectionner.
- Saisissez l'adresse e-mail du compte de service. Si vous avez à la fois des comptes de service au niveau de l'organisation et du projet, ajoutez-les tous les deux.
- Cliquez sur Enregistrer.
Attributs "TO" des services/ressources GCP
Pour Projet, sélectionnez Tous les projets ou sélectionnez le projet spécifié dans le résultat.
Pour Services, sélectionnez Tous les services ou les options suivantes : services individuels dont Security Health Analytics a besoin:
- API BigQuery
- API Binary Authorization
- API Cloud Logging
- API Cloud Monitoring
- API Compute Engine
- API Kubernetes Engine
Si un périmètre de service restreint l'accès à un service requis, Security Health Analytics ne peut pas produire de résultats pour ce service.
Dans le menu de navigation, cliquez sur Enregistrer.
Pour plus d'informations, consultez la section Configurer les règles d'entrée et de sortie.
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesSecurity Command Center service account missing permissions
Nom de la catégorie dans l'API : SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Agent de service de Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement.
L'identifiant du compte de service est une adresse e-mail avec ce qui suit : format:
service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com
Remplacez les éléments suivants :
- RESOURCE_KEYWORD: le mot clé
org
ouproject
, en fonction de la ressource qui possède le compte de service - RESOURCE_ID: l'un des éléments suivants:
- L'ID de l'organisation si le compte de service appartient à l'organisation
- le <ph type="x-smartling-placeholder"></ph> numéro de projet si le compte de service appartient à un projet
Si vous disposez de comptes de service à la fois au niveau de l'organisation et au niveau du projet, appliquez la remédiation pour tous les deux.
Pour corriger ce résultat, procédez comme suit :
Accorder l'autorisation à l'agent de service du centre de sécurité (
roles/securitycenter.serviceAgent
) au compte de service.Pour en savoir plus, consultez la section Accorder rôle.
Si vous souhaitez utiliser une méthode personnalisée , assurez-vous qu'il dispose des autorisations du service du centre de sécurité d'agent.
Assurez-vous qu'il n'y a pas de refus IAM de service empêchant le compte de service d'utiliser n'importe laquelle des autorisations dans les rôles requis. S'il y a est une règle de refus qui bloque l'accès, ajoutez le compte de service comme exception principal dans la règle de refus.
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesÉtape suivante
Apprenez-en plus sur les erreurs Security Command Center.