Security Command Center 오류 개요

오류 감지기에서 Security Command Center 환경 구성의 문제를 가리키는 발견 항목을 생성합니다. 이러한 구성 문제로 인해 서비스(발견 항목 제공업체 또는 소스라고도 함)에서 발견 항목을 생성할 수 없습니다. 오류 발견 항목은 Security Command Center 보안 소스에서 생성되고 발견 항목 클래스 SCC errors를 갖습니다.

이러한 오류 감지기에서는 일반적인 Security Command Center 구성 오류를 다루지만 전체 목록을 제공하는 것은 아닙니다. 오류 발견 항목이 없어도 Security Command Center 및 관련 서비스가 올바르게 구성되고 의도대로 작동한다는 보장은 없습니다. 이러한 오류 감지기에 다루지 않는 구성 오류 문제가 있는 것으로 의심된다면 문제 해결오류 메시지를 참조하세요.

심각도 수준

오류 발견 항목에는 다음 심각도 수준 중 하나가 할당될 수 있습니다.

심각

오류로 인해 다음 문제 중 하나 이상이 발생하고 있음을 나타냅니다.

  • 이 오류가 발생하면 서비스의 발견 항목이 모두 표시되지 않습니다.
  • 이 오류가 발생하면 Security Command Center에서 심각도의 새 발견 항목을 생성하지 못합니다.
  • 이 오류가 발생하면 공격 경로 시뮬레이션에서 공격 노출 점수와 공격 경로를 생성하지 못합니다.
높음

오류가 다음 문제 중 하나 이상을 일으킵니다.

  • 일부 서비스 발견 항목을 보거나 내보낼 수 없습니다.
  • 공격 경로 시뮬레이션의 경우 공격 노출 점수와 공격 경로가 불완전하거나 정확하지 않을 수 있습니다.

숨기기 동작

발견 항목 클래스 SCC errors에 속한 발견 항목은 Security Command Center가 예상대로 작동하지 못하게 하는 문제를 보고합니다. 따라서 오류 발견 항목은 숨길 수 없습니다.

오류 감지기

다음 표에서는 오류 감지기와 감지기가 지원하는 애셋을 설명합니다. Google Cloud 콘솔의 Security Command Center 발견 항목 탭에서 발견 항목을 카테고리 이름 또는 발견 항목 클래스로 필터링할 수 있습니다.

이러한 발견 항목을 해결하려면 Security Command Center 오류 해결을 참조하세요.

다음 발견 항목 카테고리는 의도하지 않은 작업으로 인해 발생할 수 있는 오류를 나타냅니다.

부적절한 작업
카테고리 이름 API 이름 요약 심각도
API disabled API_DISABLED

발견 항목 설명: 프로젝트에 필요한 API가 사용 중지되었습니다. 사용 중지된 서비스는 Security Command Center로 발견 항목을 보낼 수 없습니다.

가격 책정 등급: 프리미엄 또는 표준

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

일괄 검사: 60시간 간격

이 발견 항목 수정

심각
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

발견 항목 설명: 리소스 가치 구성이 공격 경로 시뮬레이션에 대해 정의되어 있지만 환경의 리소스 인스턴스와 일치하지 않습니다. 시뮬레이션은 대신 가치가 높은 기본 리소스 세트를 사용합니다.

이 오류의 원인은 다음 중 하나일 수 있습니다.

  • 리소스 가치 구성 중에 리소스 인스턴스와 일치하는 구성이 없습니다.
  • NONE을 지정하는 하나 이상의 리소스 가치 구성이 다른 모든 유효한 구성을 재정의합니다.
  • 정의된 모든 리소스 가치 구성은 NONE 값을 지정합니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organizations

일괄 검사: 매번 공격 경로 시뮬레이션을 하기 전에

이 발견 항목 수정

심각
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

발견 항목 설명: 마지막 공격 경로 시뮬레이션에서 리소스 가치 구성에 의해 식별된 고가치 리소스 인스턴스의 수는 고가치 리소스 세트의 리소스 인스턴스 한도인 1,000개를 초과했습니다. 그 결과 Security Command Center에서 가치가 높은 리소스 세트에서 초과된 인스턴스 수가 제외되었습니다.

일치하는 인스턴스 총 수와 세트에서 제외된 인스턴스 총 수는 Google Cloud 콘솔의 SCC Error 발견 항목에서 확인할 수 있습니다.

제외된 리소스 인스턴스에 영향을 미치는 발견 항목에 대한 공격 노출 점수에는 리소스 인스턴스의 고가치 지정이 반영되지 않습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organizations

일괄 검사: 매번 공격 경로 시뮬레이션을 하기 전에

이 발견 항목 수정

높음
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

발견 항목 설명: Container Registry 이미지 호스트인 gcr.io에서 필요한 컨테이너 이미지를 가져오거나 다운로드할 수 없으므로 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 이 이미지는 Container Threat Detection에 필요한 Container Threat Detection DaemonSet를 배포하는 데 필요합니다.

Container Threat Detection DaemonSet를 배포하려고 하면 다음 오류가 발생합니다.

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

일괄 스캔: 30분마다

이 발견 항목 수정

심각
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

발견 항목 설명: Kubernetes 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 서드 파티 허용 컨트롤러는 Container Threat Detection에 필요한 Kubernetes DaemonSet 객체의 배포를 방지합니다.

Google Cloud 콘솔에서 볼 때 발견 항목 세부정보에는 Container Threat Detection에서 Container Threat Detection DaemonSet 객체를 배포하려고 할 때 Google Kubernetes Engine에서 반환된 오류 메시지가 포함됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

일괄 스캔: 30분마다

이 발견 항목 수정

높음
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

발견 항목 설명: Container Threat Detection에 필요한 권한이 서비스 계정에 없습니다. Container Threat Detection은 감지 계측을 사용 설정, 업그레이드 또는 사용 중지할 수 없으므로 제대로 작동하지 않을 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

일괄 스캔: 30분마다

이 발견 항목 수정

심각
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

발견 항목 설명: 클러스터의 GKE 기본 서비스 계정에 권한이 누락되어 Container Threat Detection에서 Google Kubernetes Engine 클러스터의 발견 항목을 생성할 수 없습니다. 그로 인해 클러스터에서 Container Threat Detection이 성공적으로 사용 설정되지 않습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

일괄 스캔: 매주

이 발견 항목 수정

높음
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

발견 항목 설명: Cloud Logging으로 지속적 내보내기에 구성된 프로젝트를 사용할 수 없습니다. Security Command Center는 Logging에 발견 항목을 전송할 수 없습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization

일괄 스캔: 30분마다

이 발견 항목 수정

높음
VPC Service Controls Restriction VPC_SC_RESTRICTION

발견 항목 설명: Security Health Analytics는 프로젝트의 특정 발견 항목을 생성할 수 없습니다. 프로젝트가 서비스 경계로 보호되며 Security Command Center 서비스 계정에 경계에 대한 액세스 권한이 없습니다.

가격 책정 등급: 프리미엄 또는 표준

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

일괄 검사: 6시간 간격

이 발견 항목 수정

높음
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

발견 항목 설명: Security Command Center 서비스 계정에 제대로 작동하는 데 필요한 권한이 없습니다. 발견 항목이 생성되지 않습니다.

가격 책정 등급: 프리미엄 또는 표준

지원되는 애셋

일괄 스캔: 30분마다

이 발견 항목 수정

심각

다음 단계