Présentation des erreurs de Security Command Center

Les détecteurs d'erreurs génèrent des résultats qui pointent vers des problèmes de configuration de votre environnement Security Command Center. Ces problèmes de configuration empêchent les services (également appelés fournisseurs de résultats ou sources) de générer des résultats. Les résultats d'erreur sont générés par la source de sécurité Security Command Center et ont la classe de résultat SCC errors.

Cette sélection de détecteurs d'erreurs corrige les erreurs de configuration courantes de Security Command Center et n'est pas exhaustive. L'absence de résultats d'erreur ne garantit pas que Security Command Center et ses services sont correctement configurés et fonctionnent comme prévu. Si vous pensez que vous rencontrez des problèmes de configuration qui ne sont pas couverts par ces détecteurs d'erreurs, consultez les pages Dépannage et Messages d'erreur.

Niveaux de gravité

Un résultat d'erreur peut avoir l'un des niveaux de gravité suivants :

Critique

Indique que l'erreur est à l'origine d'un ou de plusieurs des problèmes suivants:

Cette erreur vous empêche d'afficher tous les résultats d'un service.
L'erreur empêche Security Command Center de générer de nouveaux résultats, quel que soit leur niveau de gravité.
Elle empêche les simulations de chemin d'attaque de générer des scores d'exposition aux attaques et des chemins d'attaque.

Élevée

Indique que l'erreur est à l'origine d'un ou de plusieurs des problèmes suivants:

Vous ne pouvez pas afficher ni exporter certains résultats d'un service.
Pour les simulations de chemin d'attaque, les scores d'exposition aux attaques et les chemins d'attaque peuvent être incomplets ou inexacts.

Ignorer un comportement

Les résultats appartenant à la classe de résultat SCC errors signalent des problèmes qui empêchent Security Command Center de fonctionner comme prévu. Par conséquent, les résultats d'erreurs ne peuvent pas être ignorés.

Détecteurs d'erreurs

Le tableau suivant décrit les détecteurs d'erreurs et les éléments compatibles. Vous pouvez filtrer les résultats par nom de catégorie ou classe de résultat dans l'onglet Résultats de Security Command Center dans Google Cloud Console.

Pour corriger ces résultats, consultez la page Corriger les erreurs Security Command Center.

Les catégories de résultats suivantes représentent des erreurs potentiellement causées par des actions involontaires.

Actions involontaires
Nom de la catégorie	Nom de l'API	Résumé	Gravité
`API disabled`	`API_DISABLED`	Description du résultat : Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center. Niveau de tarification:Premium ou Standard Éléments compatibles cloudresourcemanager.googleapis.com/Project Analyses par lot : toutes les 60 heures Corriger ce résultat	Critique
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Description du résultat:les configurations de valeurs de ressources sont définies pour les simulations de chemin d'attaque, mais elles ne correspondent à aucune instance de ressource de votre environnement. Les simulations utilisent à la place l'ensemble de ressources à forte valeur par défaut. Cette erreur peut avoir l'une des causes suivantes: Aucune des configurations de valeurs de ressources ne correspond à une instance de ressource. Une ou plusieurs configurations de valeurs de ressources qui spécifient `NONE` remplacent toutes les autres configurations valides. Toutes les configurations de valeurs de ressources définies spécifient la valeur `NONE`. Niveau de tarification:Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organizations Analyses par lot: avant chaque simulation de chemin d'attaque. Corriger ce résultat	Critique
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Description du résultat:dans la dernière simulation du chemin d'attaque, le nombre d'instances de ressources à forte valeur, tel qu'identifié par les configurations de valeurs de ressources, dépassait la limite de 1 000 instances de ressources dans un ensemble de ressources à forte valeur. Par conséquent, Security Command Center a exclu le nombre d'instances en trop de l'ensemble de ressources à forte valeur. Le nombre total d'instances correspondantes et le nombre total d'instances exclues de l'ensemble sont identifiés dans le résultat `SCC Error` de la console Google Cloud. Les scores d'exposition aux attaques de tous les résultats qui affectent les instances de ressources exclues ne reflètent pas la désignation à haute valeur ajoutée des instances de ressources. Niveau de tarification:Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organizations Analyses par lot: avant chaque simulation de chemin d'attaque. Corriger ce résultat	Élevée
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Description du résultat:Container Threat Detection ne peut pas être activé sur le cluster, car une image de conteneur requise ne peut pas être extraite (téléchargée) à partir de `gcr.io`, l'hôte d'image Container Registry. L'image est nécessaire pour déployer le DaemonSet Container Threat Detection requis par Container Threat Detection. La tentative de déploiement du DaemonSet de Container Threat Detection a généré l'erreur suivante: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Niveau de tarification:Premium Éléments compatibles container.googleapis.com/Cluster Analyses par lot : toutes les 30 minutes Corriger ce résultat	Critique
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Description du résultat:Container Threat Detection ne peut pas être activé sur un cluster Kubernetes. Un contrôleur d'admission tiers empêche le déploiement d'un objet DaemonSet Kubernetes requis par Container Threat Detection. Lorsqu'ils sont affichés dans la console Google Cloud, les détails du résultat incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté de déployer un objet DaemonSet de Container Threat Detection. Niveau de tarification:Premium Éléments compatibles container.googleapis.com/Cluster Analyses par lot : toutes les 30 minutes Corriger ce résultat	Élevée
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Description du résultat : Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ou désactivée. Niveau de tarification:Premium Éléments compatibles cloudresourcemanager.googleapis.com/Project Analyses par lot : toutes les 30 minutes Corriger ce résultat	Critique
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Description du résultat : Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche Container Threat Detection d'être correctement activé sur le cluster. Niveau de tarification:Premium Éléments compatibles container.googleapis.com/Cluster Analyses par lot : toutes les semaines Corriger ce résultat	High
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Description du résultat : le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer de résultats à Logging. Niveau de tarification:Premium Éléments compatibles cloudresourcemanager.googleapis.com/Organization Analyses par lot : toutes les 30 minutes Corriger ce résultat	Élevé
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Description du résultat : Security Health Analytics ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'a pas accès au périmètre. Niveau de tarification:Premium ou Standard Éléments compatibles cloudresourcemanager.googleapis.com/Project Analyses par lot : toutes les 6 heures Corriger ce résultat	Élevée
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Description du résultat : Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit. Niveau de tarification:Premium ou Standard Composants compatibles cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Analyses par lot : toutes les 30 minutes Corriger ce résultat	Critique

Étapes suivantes

Découvrez comment corriger les erreurs liées à Security Command Center.
Consultez la section Dépannage.
Consultez la page Messages d'erreur.