Security Command Center のエラーの概要

エラー検出機能により、Security Command Center 環境の構成上の問題を示す検出結果が生成されます。このような構成上の問題が存在すると、サービス（検索プロバイダまたはソース）は検出結果を生成できません。エラーの検出結果は Security Command Center セキュリティソースによって生成され、検出クラスが SCC errors に設定されます。

このようなエラー検出機能は、一般的な Security Command Center の構成ミスに対処することを目的としたものであり、すべてのエラーを網羅している訳ではありません。エラーの検出結果が生成されない場合でも、Security Command Center とそのサービスが意図したとおりに構成され、動作しているとは限りません。これらのエラー検出機能で検出されない構成の問題があると思われる場合は、トラブルシューティングとエラーメッセージをご覧ください。

重大度レベル

エラーの検出結果には、次のいずれかの重大度レベルが設定されています。

重大

エラーによって、以下の問題が 1 つ以上発生していることを示します。

このエラーにより、サービスのすべての検出結果を確認できない。
このエラーにより、Security Command Center は重大度に関係なく、新しい検出結果を生成できない。
このエラーにより、攻撃パスのシミュレーションで攻撃の発生可能性スコアと攻撃パスを生成できない。

高

エラーによって、以下の問題が 1 つ以上発生していることを示します。

サービスの検出結果の一部を表示またはエクスポートできない。
攻撃パスシミュレーションで、攻撃の発生可能性スコアと攻撃パスが不完全または不正確になる場合がある。

ミュート動作

検出結果クラス SCC errors に属する検出結果により、Security Command Center が想定どおりに機能しない問題が報告されます。この理由の場合、エラーの検出結果をミュートできません。

エラー検出機能

次の表に、エラー検出機能とその機能によってサポートされるアセットを示します。Google Cloud コンソールの [Security Command Center] の [検出] タブで、検出結果をカテゴリ名または検出クラスでフィルタできます。

これらの検出結果の修正方法については、Security Command Center のエラーの修正をご覧ください。

次の検出結果のカテゴリは、意図しないアクションが原因の可能性があるエラーを示します。

意図しないアクション
カテゴリ名	API 名	概要	重大度
`API disabled`	`API_DISABLED`	検出結果の説明: プロジェクトに必要な API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Project バッチスキャン: 60 時間ごとこの問題を修正する	重大
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	検出結果の説明: リソース値の構成は、攻撃パスシミュレーション用に定義されていますが、環境内のリソースインスタンスと一致しません。シミュレーションでは、代わりにデフォルトの高価値リソースセットが使用されます。このエラーは、次のいずれかの原因が考えられます。どのリソース値の構成も、どのリソースインスタンスとも一致しない。 `NONE` を指定する 1 つ以上のリソース値の構成が、他のすべての有効な構成をオーバーライドする。定義済みのすべてのリソース値の構成で、`NONE` の値が指定されている。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organizations バッチスキャン: すべての攻撃パスシミュレーションの前。この問題を修正する	重大
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	検出結果の説明: 最後の攻撃パスシミュレーションで、リソース値の構成で識別される高価値リソースのインスタンス数が、高価値リソースセットに含まれる 1,000 のリソースインスタンスの上限を超えています。その結果、Security Command Center は、高価値リソースセットから余分なインスタンス数を除外しました。一致するインスタンスの合計数とセットから除外されたインスタンスの合計数は、Google Cloud コンソールの `SCC Error` の検出結果に記載されています。除外されたリソースインスタンスに影響する検出結果に対する攻撃の発生可能性スコアは、リソースインスタンスの高価値の指定を反映していません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organizations バッチスキャン: すべての攻撃パスシミュレーションの前。この問題を修正する	高
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	検出結果の説明: 必要なコンテナイメージを `gcr.io`（Container Registry イメージホスト）から pull（ダウンロード）できないため、クラスタで Container Threat Detection を有効にできません。このイメージは、Container Threat Detection に必要な Container Threat Detection DaemonSet をデプロイするために必要です。 Container Threat Detection DaemonSet をデプロイしようとすると、次のエラーが発生します。 `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` 料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster バッチスキャン: 30 分ごとこの問題を修正する	重大
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	検出結果の説明: Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッションコントローラにより、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイがブロックされています。 Google Cloud コンソールで表示した場合、検出結果の詳細には、Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラーメッセージが含まれます。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster バッチスキャン: 30 分ごとこの問題を修正する	高
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	検出結果の説明: サービスアカウントに Container Threat Detection に必要な権限がありません。検出計測の有効化、アップグレード、または無効化ができないため、Container Threat Detection が正常に機能できなくなりました。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project バッチスキャン: 30 分ごとこの問題を修正する	重大
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	検出結果の説明: クラスタの GKE のデフォルトサービスアカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。このため、クラスタで Container Threat Detection を有効にできません。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster バッチスキャン: 毎週この問題を修正する	高
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	検出結果の説明: Cloud Logging への継続的なエクスポート用に構成されたプロジェクトを使用できません。Security Command Center は、検出結果を Logging に送信できません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization バッチスキャン: 30 分ごとこの問題を修正する	高
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	検出結果の説明: Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。プロジェクトがサービス境界で保護されており、Security Command Center のサービスアカウントがその境界にアクセスできません。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Project バッチスキャン: 6 時間ごとこの問題を修正する	高
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	検出結果の説明: 正しく機能するために必要な権限が Security Command Center サービスアカウントにありません。検出結果は生成されません。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project バッチスキャン: 30 分ごとこの問題を修正する	重大

次のステップ

Security Command Center のエラーを修正する方法を確認する。
トラブルシューティングをご覧ください。
エラーメッセージをご覧ください。