エラー検出機能により、Security Command Center 環境の構成上の問題を示す検出結果が生成されます。 このような構成上の問題のために、検出サービス(別名、検出プロバイダ)が検出結果を生成できなくなります。エラーの検出結果は Security Command Center
セキュリティ ソースによって生成され、検出クラスが SCC errors
に設定されます。
このようなエラー検出ツールを選択するのは、一般的な Security Command Center の構成ミスに対処するためのものであり、すべてを網羅している訳ではありません。エラーが検出されなくても、Security Command Center とそのサービスが、意図したとおりに構成され、動作しているとは限りません。これらのエラー検出ツールでカバーできない構成ミスの問題があると思われる場合は、トラブルシューティングとエラー メッセージをご覧ください。
重大度レベル
エラーの検出結果の重大度レベルは、次のいずれかです。
- 重大
エラーによって、以下の問題が 1 つ以上発生していることを示します。
- このエラーにより、サービスのすべての検出結果を確認できない。
- このエラーにより、Security Command Center は重大度に関係なく、新しい検出結果を生成できない。
- このエラーにより、攻撃パスのシミュレーションで攻撃の発生可能性スコアと攻撃パスを生成できない。
- 高
エラーによって、以下の問題が 1 つ以上発生していることを示します。
- サービスの検出結果の一部を表示またはエクスポートできない。
- 攻撃パス シミュレーションで、攻撃の発生可能性スコアと攻撃パスが不完全または不正確になる場合がある。
ミュート動作
検出結果クラス SCC errors
に属する検出結果により、Security Command Center が想定どおりに機能しない問題が報告されます。この理由の場合、エラーの検出結果をミュートできません。
エラー検出ツール
次の表に、エラー検出ツールとそのツールがサポートするアセットを示します。Google Cloud コンソールの [Security Command Center] の [検出] タブで、検出結果をカテゴリ名または検出クラスでフィルタできます。
これらの検出結果の修正方法については、Security Command Center のエラーの修正をご覧ください。
次の検出結果のカテゴリは、意図しないアクションが原因の可能性があるエラーを示します。
カテゴリ名 | API 名 | 概要 | 重大度 |
---|---|---|---|
API disabled |
API_DISABLED |
検出結果の説明: プロジェクトに必要な API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット バッチスキャン: 60 時間ごと |
重大 |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
検出結果の説明: リソース値の構成は、攻撃パス シミュレーション用に定義されていますが、環境内のリソース インスタンスと一致しません。シミュレーションでは、代わりにデフォルトの高価値リソースセットが使用されます。 このエラーは、次のいずれかの原因が考えられます。
料金ティア: プレミアム
サポートされているアセット バッチスキャン: すべての攻撃パス シミュレーションの前。 |
重大 |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
検出結果の説明: 最後の攻撃パス シミュレーションで、リソース値の構成で識別される高価値リソースのインスタンス数が、高価値リソースセットに含まれる 1,000 のリソース インスタンスの上限を超えています。その結果、Security Command Center は、高価値リソースセットから余分なインスタンス数を除外しました。 一致するインスタンスの合計数とセットから除外されたインスタンスの合計数は、Google Cloud コンソールの 除外されたリソース インスタンスに影響する検出結果に対する攻撃の発生可能性スコアは、リソース インスタンスの高価値の指定を反映していません。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: すべての攻撃パス シミュレーションの前。 |
高 |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
検出結果の説明: 必要なコンテナ イメージを Container Threat Detection DaemonSet をデプロイしようとすると、次のエラーが発生します。
料金ティア: プレミアム
サポートされているアセット バッチスキャン: 30 分ごと |
重大 |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
検出結果の説明: Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッション コントローラが、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイを防ぎます。 Google Cloud コンソールで表示した場合、検出結果の詳細には、Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラー メッセージが含まれます。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: 30 分ごと |
高 |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
検出結果の説明: サービス アカウントに Container Threat Detection に必要な権限がありません。検出の計測を有効化、アップグレード、または無効化できないため、Container Threat Detection が正しく機能できなくなりました。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: 30 分ごと |
重大 |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
検出結果の説明: クラスタのGKE のデフォルトのサービス アカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。これにより、クラスタで Container Threat Detection を有効にできません。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: 毎週 |
高 |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
検出結果の説明: Cloud Logging への継続的なエクスポート用に構成されたプロジェクトを使用できません。Security Command Center は、検出結果を Logging に送信できません。 料金ティア: プレミアム
サポートされているアセット バッチスキャン: 30 分ごと |
高 |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
検出結果の説明: Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。そのプロジェクトはサービス境界で保護されており、Security Command Center のサービス アカウントはその境界にアクセスできません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット バッチスキャン: 6 時間ごと |
高 |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
検出結果の説明: Security Command Center サービス アカウントに、正しく機能するために必要な権限がありません。検出結果は生成されません。 料金ティア: プレミアムまたはスタンダード サポートされているアセット バッチスキャン: 30 分ごと |
重大 |
次のステップ
- Security Command Center のエラーを修正する方法を確認する。
- トラブルシューティングをご覧ください。
- エラー メッセージをご覧ください。