Security Command Center のエラーの概要

エラー検出機能により、Security Command Center 環境の構成上の問題を示す検出結果が生成されます。このような構成上の問題が存在すると、サービス(検索プロバイダまたはソース)は検出結果を生成できません。エラーの検出結果は Security Command Center セキュリティ ソースによって生成され、検出クラスが SCC errors に設定されます。

このようなエラー検出機能は、一般的な Security Command Center の構成ミスに対処することを目的としたものであり、すべてのエラーを網羅している訳ではありません。エラーの検出結果が生成されない場合でも、Security Command Center とそのサービスが意図したとおりに構成され、動作しているとは限りません。これらのエラー検出機能で検出されない構成の問題があると思われる場合は、トラブルシューティングエラー メッセージをご覧ください。

重大度レベル

エラーの検出結果には、次のいずれかの重大度レベルが設定されています。

重大

エラーによって、以下の問題が 1 つ以上発生していることを示します。

  • このエラーにより、サービスのすべての検出結果を確認できない。
  • このエラーにより、Security Command Center は重大度に関係なく、新しい検出結果を生成できない。
  • このエラーにより、攻撃パスのシミュレーションで攻撃の発生可能性スコアと攻撃パスを生成できない。

エラーによって、以下の問題が 1 つ以上発生していることを示します。

  • サービスの検出結果の一部を表示またはエクスポートできない。
  • 攻撃パス シミュレーションで、攻撃の発生可能性スコアと攻撃パスが不完全または不正確になる場合がある。

ミュート動作

検出結果クラス SCC errors に属する検出結果により、Security Command Center が想定どおりに機能しない問題が報告されます。この理由の場合、エラーの検出結果をミュートできません。

エラー検出機能

次の表に、エラー検出機能とその機能によってサポートされるアセットを示します。Google Cloud コンソールの [Security Command Center] の [検出] タブで、検出結果をカテゴリ名または検出クラスでフィルタできます。

これらの検出結果の修正方法については、Security Command Center のエラーの修正をご覧ください。

次の検出結果のカテゴリは、意図しないアクションが原因の可能性があるエラーを示します。

意図しないアクション
カテゴリ名 API 名 概要 重大度
API disabled API_DISABLED

検出結果の説明: プロジェクトに必要な API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

バッチスキャン: 60 時間ごと

この問題を修正する

重大
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

検出結果の説明: リソース値の構成は、攻撃パス シミュレーション用に定義されていますが、環境内のリソース インスタンスと一致しません。シミュレーションでは、代わりにデフォルトの高価値リソースセットが使用されます。

このエラーは、次のいずれかの原因が考えられます。

  • どのリソース値の構成も、どのリソース インスタンスとも一致しない。
  • NONE を指定する 1 つ以上のリソース値の構成が、他のすべての有効な構成をオーバーライドする。
  • 定義済みのすべてのリソース値の構成で、NONE の値が指定されている。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organizations

バッチスキャン: すべての攻撃パス シミュレーションの前。

この問題を修正する

重大
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

検出結果の説明: 最後の攻撃パス シミュレーションで、リソース値の構成で識別される高価値リソースのインスタンス数が、高価値リソースセットに含まれる 1,000 のリソース インスタンスの上限を超えています。その結果、Security Command Center は、高価値リソースセットから余分なインスタンス数を除外しました。

一致するインスタンスの合計数とセットから除外されたインスタンスの合計数は、Google Cloud コンソールの SCC Error の検出結果に記載されています。

除外されたリソース インスタンスに影響する検出結果に対する攻撃の発生可能性スコアは、リソース インスタンスの高価値の指定を反映していません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organizations

バッチスキャン: すべての攻撃パス シミュレーションの前。

この問題を修正する

Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

検出結果の説明: 必要なコンテナ イメージを gcr.ioContainer Registry イメージホスト)から pull(ダウンロード)できないため、クラスタで Container Threat Detection を有効にできません。このイメージは、Container Threat Detection に必要な Container Threat Detection DaemonSet をデプロイするために必要です。

Container Threat Detection DaemonSet をデプロイしようとすると、次のエラーが発生します。

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

バッチスキャン: 30 分ごと

この問題を修正する

重大
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

検出結果の説明: Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッション コントローラにより、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイがブロックされています。

Google Cloud コンソールで表示した場合、検出結果の詳細には、Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラー メッセージが含まれます。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

バッチスキャン: 30 分ごと

この問題を修正する

Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

検出結果の説明: サービス アカウントに Container Threat Detection に必要な権限がありません。検出計測の有効化、アップグレード、または無効化ができないため、Container Threat Detection が正常に機能できなくなりました。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

バッチスキャン: 30 分ごと

この問題を修正する

重大
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

検出結果の説明: クラスタの GKE のデフォルト サービス アカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。このため、クラスタで Container Threat Detection を有効にできません。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

バッチスキャン: 毎週

この問題を修正する

Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

検出結果の説明: Cloud Logging への継続的なエクスポート用に構成されたプロジェクトを使用できません。Security Command Center は、検出結果を Logging に送信できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

バッチスキャン: 30 分ごと

この問題を修正する

VPC Service Controls Restriction VPC_SC_RESTRICTION

検出結果の説明: Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。プロジェクトがサービス境界で保護されており、Security Command Center のサービス アカウントがその境界にアクセスできません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

バッチスキャン: 6 時間ごと

この問題を修正する

Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

検出結果の説明: 正しく機能するために必要な権限が Security Command Center サービス アカウントにありません。検出結果は生成されません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット

バッチスキャン: 30 分ごと

この問題を修正する

重大

次のステップ