Questa pagina fornisce un elenco di guide di riferimento e tecniche per correggere gli errori Errori SCC.
Prima di iniziare
Per visualizzare o modificare i ruoli IAM (Identity and Access Management) necessari, devi disporre di ruoli adeguati i risultati e accedere alle risorse Google Cloud o modificarle. Se riscontri errori di autorizzazione durante l'accesso a Security Command Center nel Nella console Google Cloud, rivolgiti all'amministratore per ricevere assistenza. Per ulteriori informazioni sui ruoli, vedi Controllo dell'accesso. Per risolvere gli errori delle risorse, leggi la documentazione relativa ai prodotti interessati.
Esamina i risultati nella console Google Cloud
Gli errori SCC sono
errori che impediscono a Security Command Center di funzionare come previsto. La
Security Command Center
origine genera questi risultati.
Finché Security Command Center è configurato per il tuo organizzazione o progetto, genera risultati di errore non appena li rileva. Puoi visualizzare gli errori SCC nella console Google Cloud.
Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, Seleziona Security Command Center.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto
Category
Il riquadro dei dettagli del risultato si espande per mostrare informazioni, tra cui:- Riepilogo creato con l'IAAnteprima: Una spiegazione generata dinamicamente del problema rilevato
- Descrizione: una breve spiegazione dell'errore rilevato
- Ora evento: quando si è verificato il risultato.
- Nome visualizzato della risorsa: la risorsa interessata
- Passaggi successivi: istruzioni su come risolvere l'errore.
- Nome canonico risultati: un identificatore univoco del risultato
- Nome visualizzato dell'origine:
Security Command Center
(Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su JSON .
Il riquadro mostra la definizione JSON del risultato, dove puoi ispezionare tutti gli attributi del risultato.
Disattivazione degli errori SCC dopo la correzione
Dopo aver corretto un risultato di SCC error
, Security Command Center
imposta automaticamente lo stato del risultato su INACTIVE
durante la scansione successiva.
Tempo necessario a Security Command Center per impostare lo stato di una correzione
Il risultato per INACTIVE
dipende da quando correggi il risultato e dalla pianificazione
della scansione che rileva l'errore.
Per informazioni sulla frequenza di scansione per un risultato SCC error
,
vedi il riepilogo del risultato in
Rilevatori di errori:
Correggere gli errori SCC
Questa sezione include le istruzioni per la correzione di tutti gli errori SCC.
API disabled
Nome categoria nell'API: API_DISABLED
Uno dei seguenti servizi è disabilitato per il progetto:
Il servizio disabilitato non può generare risultati.
Per correggere questo risultato:
- Esamina il risultato per determinare quale API è disabilitata.
Abilita l'API:
Abilita l'API Container Threat Detection.
Consente di attivare l'API Web Security Scanner.
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliAPS no resource value configs match any resources
Nome categoria nell'API: APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES
Configurazioni dei valori delle risorse sono definiti per le simulazioni del percorso di attacco, ma non corrispondono di risorse cloud nel tuo ambiente. Le simulazioni utilizzano di risorse di alto valore predefinito.
Le configurazioni dei valori delle risorse potrebbero non corrispondere a nessuna risorsa per il seguenti, che sono identificati nella descrizione del risultato Console Google Cloud:
- Nessuna delle configurazioni dei valori delle risorse corrisponde a nessuna istanza di risorsa.
- Una o più configurazioni dei valori delle risorse che specificano l'override di
NONE
ogni un'altra configurazione valida. - Tutte le configurazioni definite dei valori delle risorse specificano un valore
NONE
.
Per correggere questo risultato:
Vai alla pagina Simulazione del percorso di attacco in Security Command Center Impostazioni:
Seleziona la tua organizzazione. Si apre la pagina Simulazione del percorso di attacco con le configurazioni esistenti visualizzate.
Nella colonna Valore risorsa della sezione Configurazioni dei valori della risorsa dell'elenco, verifica i valori
None
.Per qualsiasi configurazione che ha specificato
None
, segui questi passaggi:Fai clic sul nome della configurazione di qualsiasi valore della risorsa per visualizzare specifiche della configurazione.
Se necessario, modifica le specifiche degli attributi della risorsa. per ridurre il numero di istanze di risorse corrispondenti alla configurazione.
Se il problema non è causato da una specifica
None
troppo ampia, segui questi passaggi:Fai clic sui nomi di ogni configurazione che specifica un valore
HIGH
.MEDIUM
oLOW
per visualizzare le specifiche degli attributi della risorsa.Rivedi e, se necessario, modifica la configurazione per correggere l'ambito, specifica del tipo di risorsa, del tag o dell'etichetta in modo che corrispondano Google Cloud.
Se necessario, crea una nuova configurazione per il valore delle risorse.
Le modifiche vengono applicate alla successiva simulazione del percorso di attacco.
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliAPS resource value assignment limit exceeded
Nome categoria nell'API: APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED
Nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dall' Configurazioni dei valori delle risorse, è stato superato il limite di 1000 istanze di risorse in un un set di risorse di alto valore. Di conseguenza, Security Command Center ha escluso le di istanze del set di risorse di alto valore.
Per correggere questo risultato, puoi provare le seguenti azioni:
- Utilizzare i tag o etichette per ridurre il numero di corrispondenze per un determinato tipo di risorsa o all'interno di un ambito specificato. I tag o le etichette devono essere applicati risorse prima che possano essere abbinate da un valore di risorsa configurazione.
- Crea una configurazione dei valori delle risorse che assegni un
valore delle risorse
di
NONE
a un sottoinsieme delle risorse specificate un'altra configurazione. L'indicazione del valoreNONE
sostituisce qualsiasi altra configurazione e esclude le istanze di risorse dal set di risorse di alto valore. - Riduci l'attributo risorsa ambito nella configurazione dei valori delle risorse.
- Elimina le configurazioni dei valori delle risorse che assegnano il valore
LOW
.
Per istruzioni su come creare, modificare o eliminare un valore di risorsa vedi Definire e gestire un set di risorse di alto valore.
asset e impostazioni di scansione supportati.
Scopri di più su questo tipo di risultatoCIEM service account missing permissions
Nome categoria nell'API: CIEM_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Manca l'account di servizio utilizzato dal servizio CIEM autorizzazioni aggiuntive. CIEM non può generare una o più categorie di esiti.
Per correggere questo risultato, ripristina i ruoli IAM richiesti nell'account di servizio CIEM:
Nella console Google Cloud, vai alla pagina IAM.
Seleziona l'account di servizio CIEM della tua organizzazione. Il servizio dell'account è un indirizzo email con il seguente formato:
service-org-ORGANIZATION_ID@gcp-sa-ciem.iam.gserviceaccount.com
Sostituisci ORGANIZATION_ID con l'ID numerico della tua organizzazione.
Se non vedi l'account di servizio in elenco, fai clic su CONCEDI L'ACCESSO nella nella parte superiore della pagina e inserisci l'account di servizio come nuova entità.
Concedi il ruolo di Agente di servizio CIEM (
roles/ciem.serviceAgent
) all'account di servizio. Se utilizzi ruoli personalizzati, assicurati che includano le seguenti autorizzazioni:cloudasset.assets.exportResource
cloudasset.assets.exportIamPolicy
Fai clic su Salva.
CIEM AWS CloudTrail configuration error
Nome categoria nell'API: AWS_CLOUDTRAIL_CONFIGURATION_ERROR
Tutti o alcuni risultati AWS di CIEM non vengono inviati a Security Command Center. Il feed AWS CloudTrail non è riuscito e non è possibile eseguirlo a causa di un errore di configurazione.
Le cause possibili di questo risultato sono tre:
Feed AWS CloudTrail mancante
Per risolvere il problema, crea e configura un feed nella console Security Operations per importare AWS Log di CloudTrail. Imposta la coppia chiave-valore Etichetta di importazione su
CIEM
eTRUE
.Per istruzioni sulla creazione di un feed, consulta la sezione Creare il feed feed nella documentazione di Google SecOps.
Errori nella configurazione del feed
Assicurati di aver configurato correttamente il feed.
Per configurare un feed, consulta Configurare il feed in Google Security Operations per importare AWS log nella documentazione di Google SecOps.
Configurazione incompleta di AWS CloudTrail
Per risolvere il problema, configura il bucket S3 in AWS CloudTrail per registrare sia eventi di dati sia eventi di gestione da tutti i servizi AWS in cui intendi utilizzare CIEM.
Per configurare CloudTrail, consulta Configurare AWS CloudTrail (o altro assistenza) nella documentazione di Google SecOps.
GKE service account missing permissions
Nome categoria nell'API: GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché Nel cluster manca l'account di servizio predefinito di GKE autorizzazioni aggiuntive. Questo impedisce che Container Threat Detection venga abilitato correttamente su nel cluster.
Per correggere questo risultato,
ripristinare l'account di servizio predefinito di GKE e confermare
che l'account di servizio disponga dell'agente di servizio Kubernetes Engine.
(roles/container.serviceAgent
).
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliKTD blocked by admission controller
Nome categoria nell'API: KTD_BLOCKED_BY_ADMISSION_CONTROLLER
Impossibile abilitare Container Threat Detection su un cluster a causa di ammissione impedisce il deployment dell'istanza richiesta Oggetto DaemonSet Kubernetes.
Per correggere questo risultato, assicurati che i controller di ammissione sono in esecuzione sul cluster per consentire a Container Threat Detection di creare oggetti Kubernetes.
Controllare il controller di ammissione
Verifica se il controller di ammissione nel cluster sta negando del deployment dell'oggetto Container Threat Detection DaemonSet.
Nella descrizione del risultato, nei dettagli del risultato Console Google Cloud, esamina il messaggio di errore di Kubernetes incluso. Il messaggio di errore di Kubernetes dovrebbe essere simile al seguente messaggio:
generic::failed_precondition: incompatible admission webhook: admission webhook "example.webhook.sh" denied the request: [example-constraint] you must provide labels: {"example-required-label"}.
Nell'attività di amministrazione di Cloud Audit Logs per il progetto che contiene il tuo cluster, cerca il messaggio di errore nel campo Description dei dettagli del risultato.
Se il controller di ammissione funziona, ma rifiuta il deployment dell'oggetto DaemonSet Container Threat Detection, configura il tuo per consentire agente di servizio per Container Threat Detection per gestire gli oggetti nello spazio dei nomi
kube-system
.L'agente di servizio per Container Threat Detection deve essere in grado di gestire di oggetti Kubernetes specifici.
Per ulteriori informazioni sull'utilizzo dei controller di ammissione con Per Container Threat Detection, consulta PodSecurityPolicy e Controller di ammissione.
Conferma la correzione
Una volta corretto l'errore, Security Command Center tenta automaticamente di abilitare Container Threat Detection. Dopo aver atteso il completamento dell'abilitazione, puoi verificare se Container Threat Detection è attivo seguendo questa procedura:
Vai alla pagina Carichi di lavoro di Kubernetes Engine nella console.
Se necessario, seleziona Mostra carichi di lavoro di sistema.
Nella pagina Carichi di lavoro, filtra innanzitutto i carichi di lavoro in base al nome del cluster.
Cerca il carico di lavoro
container-watcher
. Secontainer-watcher
è e il suo stato èOK
, Container Threat Detection è attivo.
KTD image pull failure
Nome categoria nell'API: KTD_IMAGE_PULL_FAILURE
Impossibile abilitare Container Threat Detection sul cluster perché è
l'immagine container non può essere estratta (scaricata) da gcr.io
,
nell'host dell'immagine Container Registry.
Il pull o il download di un'immagine container può non riuscire per uno qualsiasi dei possibili.
Verifica quanto segue:
- Assicurati che le impostazioni della rete VPC, del DNS o del firewall non blocchino
accesso alla rete dal cluster all'host dell'immagine
gcr.io
. - Se il cluster è privato, assicurati che l'accesso privato Google
è abilitato per consentire l'accesso all'host dell'immagine
gcr.io
. - Se le impostazioni di rete o l'accesso privato Google non sono la causa errore, consulta la documentazione sulla risoluzione dei problemi di GKE ImagePullBackOff ed ErrImagePull errori.
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliKTD service account missing permissions
Nome categoria nell'API: KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS
L'account di servizio Container Threat Detection identificato nel dettagli dei risultati nella console Google Cloud non sono obbligatori autorizzazioni aggiuntive. Tutti o alcuni risultati di Container Threat Detection non sono inviate a Security Command Center.
Per correggere questo risultato:
Concedi Agente di servizio Container Threat Detection (
roles/containerthreatdetection.serviceAgent
) al ruolo l'account di servizio. Per ulteriori informazioni, vedi Assegna un singolo ruolo.In alternativa, se vuoi utilizzare una versione personalizzata ruolo, assicurati che dispone delle autorizzazioni nel ruolo Agente di servizio Container Threat Detection.
Assicurati che non esistano rifiuti IAM policy che impediscono all'account di servizio di utilizzare qualsiasi autorizzazione nel ruolo Agente di servizio Container Threat Detection. Se ci sono è un criterio di negazione che blocca l'accesso, aggiungi l'account di servizio come eccezione o un'entità nel criterio di negazione.
Per ulteriori informazioni sull'account di servizio Container Threat Detection il ruolo e le autorizzazioni richiesti, consulta
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliMisconfigured Cloud Logging Export
Nome categoria nell'API: MISCONFIGURED_CLOUD_LOGGING_EXPORT
Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Di conseguenza, Security Command Center non può inviare risultati a Logging.
Per correggere questo risultato, esegui una delle seguenti operazioni:
Se il periodo di recupero del progetto non è trascorso, ripristinare il progetto mancante.
Se il progetto è stato eliminato definitivamente, configurare un progetto nuovo o esistente per le esportazioni di Logging.
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliVPC Service Controls Restriction
Nome categoria nell'API: VPC_SC_RESTRICTION
Security Health Analytics non è in grado di produrre determinati risultati per un progetto, è protetto da un perimetro di servizio. Devi concedere ai Accesso in entrata dell'account di servizio Security Command Center al perimetro di servizio.
L'identificatore dell'account di servizio è un indirizzo email con i seguenti dati: formato:
service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com
Sostituisci quanto segue:
- RESOURCE_KEYWORD: la parola chiave
org
oproject
, a seconda della risorsa proprietaria dell'account di servizio - RESOURCE_ID: uno dei seguenti valori:
- L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
- numero di progetto se l'account di servizio è di proprietà di un progetto
Se hai account di servizio sia a livello di organizzazione che di progetto, richiedi a entrambi.
Per correggere questo risultato, segui questi passaggi.
Passaggio 1: determina quale perimetro di servizio blocca Security Health Analytics
- Recupera l'ID univoco dei Controlli di servizio VPC e l'ID progetto associato al
risultato:
- Per visualizzare i dettagli del risultato, fai clic sul nome della relativa categoria.
- Nel campo Descrizione, copia il valore univoco dei Controlli di servizio VPC
ID, ad esempio
5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ
. - Nel campo Percorso risorsa, copia l'ID del progetto.
Ottieni l'ID criterio di accesso e il nome del perimetro di servizio:
Nella console Google Cloud, vai alla pagina Esplora log.
Nella barra degli strumenti, seleziona il progetto associato al risultato.
Nella casella di ricerca, inserisci l'ID univoco dell'errore.
Se l'errore non viene visualizzato nei risultati della query, estendi la sequenza temporale in l'istogramma ed esegui nuovamente la query.
Fai clic sull'errore che viene visualizzato.
Fai clic su Espandi campi nidificati.
Copia il valore del campo
servicePerimeterName
. Il valore contiene seguente formato:accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER
In questo esempio, il nome completo della risorsa del perimetro di servizio è
accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured
.- ACCESS_POLICY è l'ID criterio di accesso, ad esempio
540107806624
. - SERVICE_PERIMETER è il nome del perimetro di servizio,
ad esempio
vpc_sc_misconfigured
.
- ACCESS_POLICY è l'ID criterio di accesso, ad esempio
Per ottenere il nome visualizzato corrispondente all'ID criterio di accesso, utilizza con gcloud CLI.
Se non riesci a effettuare query a livello di organizzazione, rivolgiti all'amministratore per eseguire questo passaggio.
gcloud access-context-manager policies list --organization ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'ID numerico della tua organizzazione.
Viene visualizzato un output simile al seguente:
NAME ORGANIZATION SCOPES TITLE ETAG 540107806624 549441802605 default policy 2a9a7e30cbc14371 352948212018 549441802605 projects/393598488212 another_policy d7b47a9ecebd4659
Il nome visualizzato è il titolo che corrisponde all'ID del criterio di accesso. Prendi nota del nome visualizzato del criterio di accesso e della perimetro di servizio . Ti serviranno nella prossima sezione.
Passaggio 2: crea una regola in entrata che consenta l'accesso al progetto
Questa sezione richiede l'accesso a livello di organizzazione a Controlli di servizio VPC. Se non hai l'accesso a livello di organizzazione, chiedi al tuo amministratore di Google Cloud per eseguire questi passaggi.
Nei passaggi successivi, creerai una regola in entrata nel perimetro di servizio che hai identificato nel passaggio 1.
Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio: questi passaggi.
Vai a Controlli di servizio VPC.
Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.
Nell'elenco a discesa, seleziona il criterio di accesso che contiene il servizio a cui vuoi concedere l'accesso.
I perimetri di servizio associati al criterio di accesso sono visualizzati nella dall'elenco di lettura.
Fai clic sul nome del perimetro di servizio.
Fai clic su
Modifica perimetroNel menu di navigazione, fai clic su Criterio in entrata.
Fai clic su Aggiungi regola.
Configura la regola come segue:
Attributi FROM del client API
- In Origine, seleziona Tutte le fonti.
- In Identità, seleziona Identità selezionate.
- Nel campo Add User/Service Account (Aggiungi account utente/servizio), fai clic su Select (Seleziona).
- Inserisci l'indirizzo email dell'account di servizio. Se hai entrambi a livello di organizzazione e di progetto, aggiungili entrambi.
- Fai clic su Salva.
Attributi TO di servizi/risorse Google Cloud
Per Progetto, seleziona Tutti i progetti o seleziona il progetto specificato nel risultato.
In Servizi, seleziona Tutti i servizi oppure seleziona una delle seguenti opzioni singoli servizi richiesti da Security Health Analytics:
- API BigQuery
- API Binary Authorization
- API Cloud Logging
- API Cloud Monitoring
- API Compute Engine
- API Kubernetes Engine
Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per il servizio.
Nel menu di navigazione, fai clic su Salva.
Per ulteriori informazioni, consulta Configurazione dei criteri di traffico in entrata e in uscita.
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliSecurity Command Center service account missing permissions
Nome categoria nell'API: SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Agente di servizio di Security Command Center non abbia le autorizzazioni necessarie per funzionare correttamente.
L'identificatore dell'account di servizio è un indirizzo email con i seguenti dati: formato:
service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com
Sostituisci quanto segue:
- RESOURCE_KEYWORD: la parola chiave
org
oproject
, a seconda della risorsa proprietaria dell'account di servizio - RESOURCE_ID: uno dei seguenti valori:
- L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
- numero di progetto se l'account di servizio è di proprietà di un progetto
Se hai account di servizio sia a livello di organizzazione che di progetto, richiedi a entrambi.
Per correggere questo risultato:
Concedi all'agente di servizio Centro sicurezza (
roles/securitycenter.serviceAgent
) di servizio all'account di servizio.Per ulteriori informazioni, consulta l'articolo Concedere a un singolo ruolo.
In alternativa, se vuoi utilizzare una versione personalizzata ruolo, assicurati che dispone delle autorizzazioni nel servizio Centro sicurezza Agente.
Assicurati che non esistano rifiuti IAM policy che impediscono all'account di servizio di utilizzare delle autorizzazioni nei ruoli richiesti. Se ci sono è un criterio di negazione che blocca l'accesso, aggiungi l'account di servizio come eccezione o un'entità nel criterio di negazione.
asset supportati e sulle impostazioni di scansione di questo tipo di risultato.
Scopri di più sugliPassaggi successivi
Scopri di più sugli errori di Security Command Center.