エラー検出機能により、Security Command Center 環境の構成上の問題を示す検出結果が生成されます。このような構成上の問題が存在すると、サービス(検索プロバイダまたはソース)は検出結果を生成できません。エラーの検出結果は Security Command Center
セキュリティ ソースによって生成され、検出クラスが SCC errors
に設定されます。
このようなエラー検出機能は、一般的な Security Command Center の構成ミスに対処することを目的としたものであり、すべてのエラーを網羅している訳ではありません。エラーの検出結果が生成されない場合でも、Security Command Center とそのサービスが意図したとおりに構成され、動作しているとは限りません。これらのエラー検出機能で検出されない構成の問題があると思われる場合は、トラブルシューティングとエラー メッセージをご覧ください。
重大度レベル
エラーの検出結果には、次のいずれかの重大度レベルが設定されています。
- 重大
エラーによって、以下の問題が 1 つ以上発生していることを示します。
- このエラーにより、サービスのすべての検出結果を確認できない。
- このエラーにより、Security Command Center は重大度に関係なく、新しい検出結果を生成できない。
- このエラーにより、攻撃パスのシミュレーションで攻撃の発生可能性スコアと攻撃パスを生成できない。
- 高
エラーによって、以下の問題が 1 つ以上発生していることを示します。
- サービスの検出結果の一部を表示またはエクスポートできない。
- 攻撃パス シミュレーションで、攻撃の発生可能性スコアと攻撃パスが不完全または不正確になる場合がある。
ミュート動作
検出結果クラス SCC errors
に属する検出結果により、Security Command Center が想定どおりに機能しない問題が報告されます。この理由の場合、エラーの検出結果をミュートできません。
エラー検出機能
次の表に、エラー検出機能とその機能によってサポートされるアセットを示します。Google Cloud コンソールの [Security Command Center] の [検出] タブで、検出結果をカテゴリ名または検出クラスでフィルタできます。
これらの検出結果の修正方法については、Security Command Center のエラーの修正をご覧ください。
次の検出結果のカテゴリは、意図しないアクションが原因の可能性があるエラーを示します。
カテゴリ名 | API 名 | 概要 | 重大度 |
---|---|---|---|
API disabled |
API_DISABLED |
検出結果の説明: プロジェクトに必要な API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット バッチスキャン: 60 時間ごと |
重大 |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
検出結果の説明: リソース値の構成は、攻撃パス シミュレーション用に定義されていますが、環境内のリソース インスタンスと一致しません。シミュレーションでは、代わりにデフォルトの高価値リソースセットが使用されます。 このエラーは、次のいずれかの原因が考えられます。
料金ティア: プレミアム
サポートされているアセット バッチスキャン: すべての攻撃パス シミュレーションの前。 |
重大 |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
検出結果の説明: 最後の攻撃パス シミュレーションで、リソース値の構成で識別される高価値リソースのインスタンス数が、高価値リソースセットに含まれる 1,000 のリソース インスタンスの上限を超えています。その結果、Security Command Center は、高価値リソースセットから余分なインスタンス数を除外しました。 一致するインスタンスの合計数とセットから除外されたインスタンスの合計数は、Google Cloud コンソールの 除外されたリソース インスタンスに影響する検出結果に対する攻撃の発生可能性スコアは、リソース インスタンスの高価値の指定を反映していません。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: すべての攻撃パス シミュレーションの前。 |
高 |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
検出結果の説明: 必要なコンテナ イメージを Container Threat Detection DaemonSet をデプロイしようとすると、次のエラーが発生します。
料金ティア: プレミアム
サポートされているアセット バッチスキャン: 30 分ごと |
重大 |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
検出結果の説明: Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッション コントローラにより、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイがブロックされています。 Google Cloud コンソールで表示した場合、検出結果の詳細には、Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラー メッセージが含まれます。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: 30 分ごと |
高 |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
検出結果の説明: サービス アカウントに Container Threat Detection に必要な権限がありません。検出計測の有効化、アップグレード、または無効化ができないため、Container Threat Detection が正常に機能できなくなりました。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: 30 分ごと |
重大 |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
検出結果の説明: クラスタの GKE のデフォルト サービス アカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。このため、クラスタで Container Threat Detection を有効にできません。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: 毎週 |
高 |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
検出結果の説明: Cloud Logging への継続的なエクスポート用に構成されたプロジェクトを使用できません。Security Command Center は、検出結果を Logging に送信できません。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: 30 分ごと |
高 |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
検出結果の説明: Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。プロジェクトがサービス境界で保護されており、Security Command Center のサービス アカウントがその境界にアクセスできません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット バッチスキャン: 6 時間ごと |
高 |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
検出結果の説明: 正しく機能するために必要な権限が Security Command Center サービス アカウントにありません。検出結果は生成されません。 料金ティア: プレミアムまたはスタンダード サポートされているアセット バッチスキャン: 30 分ごと |
重大 |
次のステップ
- Security Command Center のエラーを修正する方法を確認する。
- トラブルシューティングをご覧ください。
- エラー メッセージをご覧ください。