Présentation des erreurs de Security Command Center

Les détecteurs d'erreurs génèrent des résultats qui pointent vers des problèmes de configuration de votre environnement Security Command Center. Ces problèmes de configuration empêchent services de détection (également appelés recherche de fournisseurs) de générer des résultats. Les erreurs détectées sont généré par la source de sécurité Security Command Center et obtenir le résultat SCC errors.

Cette sélection de détecteurs d'erreurs corrige les erreurs de configuration courantes de Security Command Center et n'est pas exhaustive. L'absence de résultats d'erreur ne garantit pas que Security Command Center et ses services sont correctement configurés et fonctionnent comme prévu. Si vous pensez que vous rencontrez des problèmes de configuration qui ne sont pas couverts par ces détecteurs d'erreurs, consultez les pages Dépannage et Messages d'erreur.

Niveaux de gravité

Un résultat d'erreur peut avoir l'un des niveaux de gravité suivants :

Critique

Indique que l'erreur est à l'origine d'un ou plusieurs des problèmes suivants:

  • L'erreur vous empêche de voir tous les résultats d'un service.
  • Cette erreur empêche Security Command Center de générer les résultats, quelle que soit leur gravité.
  • L'erreur empêche les simulations de chemin d'attaque de générer les scores d'exposition aux attaques et les chemins d'attaque.
Élevée

Indique que l'erreur est à l'origine d'un ou plusieurs des problèmes suivants:

  • Vous ne pouvez pas afficher ni exporter certains résultats d'un service.
  • Pour les simulations de chemin d'attaque, les scores d'exposition aux attaques les chemins d'attaque peuvent être incomplets ou inexacts.

Ignorer un comportement

Les résultats appartenant à la classe de résultat SCC errors signalent des problèmes qui empêchent Security Command Center de fonctionner comme prévu. Par conséquent, les résultats d'erreurs ne peuvent pas être ignorés.

Détecteurs d'erreurs

Le tableau suivant décrit les détecteurs d'erreurs et les éléments compatibles. Vous pouvez filtrer les résultats par nom de catégorie ou classe de résultat dans l'onglet Résultats de Security Command Center dans Google Cloud Console.

Pour corriger ces résultats, consultez la page Corriger les erreurs Security Command Center.

Les catégories de résultats suivantes représentent des erreurs potentiellement causées par des actions involontaires.

Actions involontaires
Nom de la catégorie Nom de l'API Résumé Gravité
API disabled API_DISABLED

Description du résultat : Une API requise est désactivée pour le projet. Le service désactivé ne peut pas envoyer de résultats à Security Command Center.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 60 heures

Corriger ce résultat

Critique
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Description du résultat : des configurations de valeurs de ressources sont définies pour les simulations de chemins d'attaque, mais elles ne correspondent à aucune instance de ressource de votre environnement. Les simulations utilisent plutôt l'ensemble de ressources à forte valeur par défaut.

Cette erreur peut avoir l'une des causes suivantes:

  • Aucune des configurations de valeurs de ressources ne correspond à des instances de ressources.
  • Une ou plusieurs configurations de valeurs de ressources spécifiant NONE sont remplacées tous les ou une autre configuration valide.
  • Toutes les configurations de valeurs de ressources définies spécifient la valeur NONE.

Niveau de tarification : Premium

Composants compatibles
cloudresourcemanager.googleapis.com/Organizations

Analyses par lot: avant chaque simulation du chemin d'attaque.

Corriger ce résultat

Critique
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Description du résultat: Au cours des simulation du chemin d'attaque, le nombre d'instances de ressources à forte valeur, tel qu'identifié par le configurations de valeurs de ressources, a dépassé la limite de 1 000 instances de ressources ensemble de ressources. Par conséquent, Security Command Center a exclu le nombre excédentaire de l'ensemble de ressources à forte valeur.

Le nombre total d'instances correspondantes et le nombre total d'instances exclues de l'ensemble sont identifiés dans le résultat SCC Error du console Google Cloud.

Scores d'exposition au piratage pour tous les résultats qui affectent les ressources exclues ne reflètent pas la désignation à forte valeur des instances ressources.

Niveau de tarification : Premium

Composants compatibles
cloudresourcemanager.googleapis.com/Organizations

Analyses par lot: avant chaque simulation du chemin d'attaque.

Corriger ce résultat

Élevée
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Description du résultat: Impossible d'activer Container Threat Detection sur le cluster, car un conteneur image ne peut pas être extraite (téléchargée) à partir de gcr.io, la Hôte d'image Container Registry L'image est pour déployer le DaemonSet de Container Threat Detection requis par Container Threat Detection.

La tentative de déploiement du DaemonSet Container Threat Detection a entraîné l'erreur suivante:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Description du résultat: Vous ne pouvez pas activer Container Threat Detection sur un cluster Kubernetes. Admission tierce empêche le déploiement d'un objet Kubernetes DaemonSet Container Threat Detection requiert.

Dans la console Google Cloud, les détails des résultats incluent le message d'erreur renvoyé par Google Kubernetes Engine lorsque Container Threat Detection a tenté déployer un objet DaemonSet de Container Threat Detection.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Élevée
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Un compte de service ne dispose pas des autorisations requises par Container Threat Detection. Container Threat Detection peut cesser de fonctionner correctement, car l'instrumentation de détection ne peut pas être activée, mise à niveau ou désactivée.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Container Threat Detection ne peut pas générer de résultats pour un cluster Google Kubernetes Engine, car le compte de service GKE par défaut du cluster ne dispose pas des autorisations nécessaires. Cela empêche Container Threat Detection d'être correctement activé sur le cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Analyses par lot : toutes les semaines

Corriger ce résultat

High
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Description du résultat : le projet configuré pour l'exportation continue vers Cloud Logging n'est pas disponible. Security Command Center ne peut pas envoyer de résultats à Logging.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Élevé
VPC Service Controls Restriction VPC_SC_RESTRICTION

Description du résultat : Security Health Analytics ne peut pas produire certains résultats pour un projet. Le projet est protégé par un périmètre de service et le compte de service Security Command Center n'a pas accès au périmètre.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Analyses par lot : toutes les 6 heures

Corriger ce résultat

Élevé
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Description du résultat : Le compte de service Security Command Center ne dispose pas des autorisations nécessaires pour fonctionner correctement. Aucun résultat n'est produit.

Niveau de tarification : Premium ou Standard

Composants compatibles

Analyses par lot : toutes les 30 minutes

Corriger ce résultat

Critique

Étape suivante