오류 감지기에서 Security Command Center 환경 구성의 문제를 가리키는 발견 항목을 생성합니다.
이러한 구성 문제로 인해 서비스(발견 항목 제공업체 또는 소스라고도 함)에서 발견 항목을 생성할 수 없습니다.
오류 발견 항목은 Security Command Center
보안 소스에서 생성되고 발견 항목 클래스 SCC errors
를 갖습니다.
이러한 오류 감지기에서는 일반적인 Security Command Center 구성 오류를 다루지만 전체 목록을 제공하는 것은 아닙니다. 오류 발견 항목이 없어도 Security Command Center 및 관련 서비스가 올바르게 구성되고 의도대로 작동한다는 보장은 없습니다. 이러한 오류 감지기에 다루지 않는 구성 오류 문제가 있는 것으로 의심된다면 문제 해결 및 오류 메시지를 참조하세요.
심각도 수준
오류 발견 항목에는 다음 심각도 수준 중 하나가 할당될 수 있습니다.
- 심각
오류로 인해 다음 문제 중 하나 이상이 발생하고 있음을 나타냅니다.
- 이 오류가 발생하면 서비스의 발견 항목이 모두 표시되지 않습니다.
- 이 오류가 발생하면 Security Command Center에서 심각도의 새 발견 항목을 생성하지 못합니다.
- 이 오류가 발생하면 공격 경로 시뮬레이션에서 공격 노출 점수와 공격 경로를 생성하지 못합니다.
- 높음
오류가 다음 문제 중 하나 이상을 일으킵니다.
- 일부 서비스 발견 항목을 보거나 내보낼 수 없습니다.
- 공격 경로 시뮬레이션의 경우 공격 노출 점수와 공격 경로가 불완전하거나 정확하지 않을 수 있습니다.
숨기기 동작
발견 항목 클래스 SCC errors
에 속한 발견 항목은 Security Command Center가 예상대로 작동하지 못하게 하는 문제를 보고합니다. 따라서 오류 발견 항목은 숨길 수 없습니다.
오류 감지기
다음 표에서는 오류 감지기와 감지기가 지원하는 애셋을 설명합니다. Google Cloud 콘솔의 Security Command Center 발견 항목 탭에서 발견 항목을 카테고리 이름 또는 발견 항목 클래스로 필터링할 수 있습니다.
이러한 발견 항목을 해결하려면 Security Command Center 오류 해결을 참조하세요.
다음 발견 항목 카테고리는 의도하지 않은 작업으로 인해 발생할 수 있는 오류를 나타냅니다.
카테고리 이름 | API 이름 | 요약 | 심각도 |
---|---|---|---|
API disabled |
API_DISABLED |
발견 항목 설명: 프로젝트에 필요한 API가 사용 중지되었습니다. 사용 중지된 서비스는 Security Command Center로 발견 항목을 보낼 수 없습니다. 가격 책정 등급: 프리미엄 또는 표준 지원되는 애셋 일괄 검사: 60시간 간격 |
심각 |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
발견 항목 설명: 리소스 가치 구성이 공격 경로 시뮬레이션에 대해 정의되어 있지만 환경의 리소스 인스턴스와 일치하지 않습니다. 시뮬레이션은 대신 가치가 높은 기본 리소스 세트를 사용합니다. 이 오류의 원인은 다음 중 하나일 수 있습니다.
가격 책정 등급: 프리미엄
지원되는 애셋 일괄 검사: 매번 공격 경로 시뮬레이션을 하기 전에 |
심각 |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
발견 항목 설명: 마지막 공격 경로 시뮬레이션에서 리소스 가치 구성에 의해 식별된 고가치 리소스 인스턴스의 수는 고가치 리소스 세트의 리소스 인스턴스 한도인 1,000개를 초과했습니다. 그 결과 Security Command Center에서 가치가 높은 리소스 세트에서 초과된 인스턴스 수가 제외되었습니다. 일치하는 인스턴스 총 수와 세트에서 제외된 인스턴스 총 수는 Google Cloud 콘솔의 제외된 리소스 인스턴스에 영향을 미치는 발견 항목에 대한 공격 노출 점수에는 리소스 인스턴스의 고가치 지정이 반영되지 않습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 일괄 검사: 매번 공격 경로 시뮬레이션을 하기 전에 |
높음 |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
발견 항목 설명: Container Registry 이미지 호스트인 Container Threat Detection DaemonSet를 배포하려고 하면 다음 오류가 발생합니다.
가격 책정 등급: 프리미엄
지원되는 애셋 일괄 스캔: 30분마다 |
심각 |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
발견 항목 설명: Kubernetes 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 서드 파티 허용 컨트롤러는 Container Threat Detection에 필요한 Kubernetes DaemonSet 객체의 배포를 방지합니다. Google Cloud 콘솔에서 볼 때 발견 항목 세부정보에는 Container Threat Detection에서 Container Threat Detection DaemonSet 객체를 배포하려고 할 때 Google Kubernetes Engine에서 반환된 오류 메시지가 포함됩니다. 가격 책정 등급: 프리미엄
지원되는 애셋 일괄 스캔: 30분마다 |
높음 |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
발견 항목 설명: Container Threat Detection에 필요한 권한이 서비스 계정에 없습니다. Container Threat Detection은 감지 계측을 사용 설정, 업그레이드 또는 사용 중지할 수 없으므로 제대로 작동하지 않을 수 있습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 일괄 스캔: 30분마다 |
심각 |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
발견 항목 설명: 클러스터의 GKE 기본 서비스 계정에 권한이 누락되어 Container Threat Detection에서 Google Kubernetes Engine 클러스터의 발견 항목을 생성할 수 없습니다. 그로 인해 클러스터에서 Container Threat Detection이 성공적으로 사용 설정되지 않습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 일괄 스캔: 매주 |
높음 |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
발견 항목 설명: Cloud Logging으로 지속적 내보내기에 구성된 프로젝트를 사용할 수 없습니다. Security Command Center는 Logging에 발견 항목을 전송할 수 없습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 일괄 스캔: 30분마다 |
높음 |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
발견 항목 설명: Security Health Analytics는 프로젝트의 특정 발견 항목을 생성할 수 없습니다. 프로젝트가 서비스 경계로 보호되며 Security Command Center 서비스 계정에 경계에 대한 액세스 권한이 없습니다. 가격 책정 등급: 프리미엄 또는 표준 지원되는 애셋 일괄 검사: 6시간 간격 |
높음 |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
발견 항목 설명: Security Command Center 서비스 계정에 제대로 작동하는 데 필요한 권한이 없습니다. 발견 항목이 생성되지 않습니다. 가격 책정 등급: 프리미엄 또는 표준 지원되는 애셋 일괄 스캔: 30분마다 |
심각 |
다음 단계
- Security Command Center 오류 해결 방법 알아보기
- 문제해결을 참조하세요.
- 오류 메시지 참조