Security Command Center のエラーの概要

エラー検出機能により、Security Command Center 環境の構成上の問題を示す検出結果が生成されます。 このような構成上の問題のために、検出サービス(別名、検出プロバイダ)が検出結果を生成できなくなります。エラーの検出結果は Security Command Center セキュリティ ソースによって生成され、検出クラスが SCC errors に設定されます。

このようなエラー検出ツールを選択するのは、一般的な Security Command Center の構成ミスに対処するためのものであり、すべてを網羅している訳ではありません。エラーが検出されなくても、Security Command Center とそのサービスが、意図したとおりに構成され、動作しているとは限りません。これらのエラー検出ツールでカバーできない構成ミスの問題があると思われる場合は、トラブルシューティングエラー メッセージをご覧ください。

重大度レベル

エラーの検出結果の重大度レベルは、次のいずれかです。

重大

エラーによって、以下の問題が 1 つ以上発生していることを示します。

  • このエラーにより、サービスのすべての検出結果を確認できない。
  • このエラーにより、Security Command Center は重大度に関係なく、新しい検出結果を生成できない。
  • このエラーにより、攻撃パスのシミュレーションで攻撃の発生可能性スコアと攻撃パスを生成できない。

エラーによって、以下の問題が 1 つ以上発生していることを示します。

  • サービスの検出結果の一部を表示またはエクスポートできない。
  • 攻撃パス シミュレーションで、攻撃の発生可能性スコアと攻撃パスが不完全または不正確になる場合がある。

ミュート動作

検出結果クラス SCC errors に属する検出結果により、Security Command Center が想定どおりに機能しない問題が報告されます。この理由の場合、エラーの検出結果をミュートできません。

エラー検出ツール

次の表に、エラー検出ツールとそのツールがサポートするアセットを示します。Google Cloud コンソールの [Security Command Center] の [検出] タブで、検出結果をカテゴリ名または検出クラスでフィルタできます。

これらの検出結果の修正方法については、Security Command Center のエラーの修正をご覧ください。

次の検出結果のカテゴリは、意図しないアクションが原因の可能性があるエラーを示します。

意図しないアクション
カテゴリ名 API 名 概要 重大度
API disabled API_DISABLED

検出結果の説明: プロジェクトに必要な API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

バッチスキャン: 60 時間ごと

この問題を修正する

重大
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

検出結果の説明: リソース値の構成は、攻撃パス シミュレーション用に定義されていますが、環境内のリソース インスタンスと一致しません。シミュレーションでは、代わりにデフォルトの高価値リソースセットが使用されます。

このエラーは、次のいずれかの原因が考えられます。

  • どのリソース値の構成も、どのリソース インスタンスとも一致しない。
  • NONE を指定する 1 つ以上のリソース値の構成が、他のすべての有効な構成をオーバーライドする。
  • 定義済みのすべてのリソース値の構成で、NONE の値が指定されている。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organizations

バッチスキャン: すべての攻撃パス シミュレーションの前。

この問題を修正する

重大
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

検出結果の説明: 最後の攻撃パス シミュレーションで、リソース値の構成で識別される高価値リソースのインスタンス数が、高価値リソースセットに含まれる 1,000 のリソース インスタンスの上限を超えています。その結果、Security Command Center は、高価値リソースセットから余分なインスタンス数を除外しました。

一致するインスタンスの合計数とセットから除外されたインスタンスの合計数は、Google Cloud コンソールの SCC Error の検出結果に記載されています。

除外されたリソース インスタンスに影響する検出結果に対する攻撃の発生可能性スコアは、リソース インスタンスの高価値の指定を反映していません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organizations

バッチスキャン: すべての攻撃パス シミュレーションの前。

この問題を修正する

Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

検出結果の説明: 必要なコンテナ イメージを gcr.ioContainer Registry イメージホスト)から pull(ダウンロード)できないため、クラスタで Container Threat Detection を有効にできません。このイメージは、Container Threat Detection に必要な Container Threat Detection DaemonSet をデプロイするために必要です。

Container Threat Detection DaemonSet をデプロイしようとすると、次のエラーが発生します。

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

バッチスキャン: 30 分ごと

この問題を修正する

重大
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

検出結果の説明: Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッション コントローラが、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイを防ぎます。

Google Cloud コンソールで表示した場合、検出結果の詳細には、Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラー メッセージが含まれます。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

バッチスキャン: 30 分ごと

この問題を修正する

Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

検出結果の説明: サービス アカウントに Container Threat Detection に必要な権限がありません。検出の計測を有効化、アップグレード、または無効化できないため、Container Threat Detection が正しく機能できなくなりました。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

バッチスキャン: 30 分ごと

この問題を修正する

重大
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

検出結果の説明: クラスタのGKE のデフォルトのサービス アカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。これにより、クラスタで Container Threat Detection を有効にできません。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

バッチスキャン: 毎週

この問題を修正する

Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

検出結果の説明: Cloud Logging への継続的なエクスポート用に構成されたプロジェクトを使用できません。Security Command Center は、検出結果を Logging に送信できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

バッチスキャン: 30 分ごと

この問題を修正する

VPC Service Controls Restriction VPC_SC_RESTRICTION

検出結果の説明: Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。そのプロジェクトはサービス境界で保護されており、Security Command Center のサービス アカウントはその境界にアクセスできません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

バッチスキャン: 6 時間ごと

この問題を修正する

Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

検出結果の説明: Security Command Center サービス アカウントに、正しく機能するために必要な権限がありません。検出結果は生成されません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット

バッチスキャン: 30 分ごと

この問題を修正する

重大

次のステップ