Os detectores de erros geram descobertas que apontam para problemas na configuração do
ambiente do Security Command Center. Esses problemas de configuração impedem que os
serviços de detecção (também conhecidos como
provedores de descobertas) gerem descobertas. As descobertas de erro são
geradas pela fonte de segurança Security Command Center
e têm a classe de descoberta
SCC errors
.
Esta seleção de detectores de erros aborda as configurações incorretas do Security Command Center e não é uma lista completa. A ausência de descobertas de erro não garante que o Security Command Center e os serviços dele estejam configurados e funcionando corretamente. Se você suspeitar que tem problemas de configuração incorreta que não são cobertos por esses detectores de erros, consulte Solução de problemas e Mensagens de erro.
Níveis de gravidade
Uma descoberta de erros pode ter um dos seguintes níveis de gravidade:
- Crítica
Indica que o erro está causando um ou mais dos seguintes problemas:
- O erro impede que você visualize todas as descobertas de um serviço.
- O erro está impedindo que o Security Command Center gere novas descobertas de qualquer gravidade.
- O erro impede que simulações de caminho de ataque gerem pontuações de exposição a ataques e caminhos de ataque.
- Alta
Indica que o erro está causando um ou mais dos seguintes problemas:
- Não é possível visualizar ou exportar algumas das descobertas de um serviço.
- Para simulações de caminho de ataque, as pontuações de exposição a ataques e os caminhos de ataque podem estar incompletos ou imprecisos.
Comportamento de desativação do som
Observação:as descobertas que pertencem à classe SCC errors
informam problemas que impedem o funcionamento do Security Command Center. Por esse motivo, não é possível desativar o som das descobertas.
Detectores de erros
A tabela a seguir descreve os detectores de erros e os recursos compatíveis. É possível filtrar as descobertas por nome de categoria ou classe de descoberta na guia Descobertas do Security Command Center no Console do Google Cloud.
Para corrigir essas descobertas, consulte Como corrigir erros do Security Command Center.
As seguintes categorias de descoberta representam erros que podem ser causados por ações não intencionais.
Nome da categoria | Nome da API | Resumo | Gravidade |
---|---|---|---|
API disabled |
API_DISABLED |
Descrição da descoberta: uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center. Nível de preços: Premium ou Standard
Recursos compatíveis Verificações em lote: a cada 60 horas |
Crítica |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
Descrição da descoberta: as configurações de valor do recurso são definidas para simulações de caminho de ataque, mas elas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão usando o conjunto de recursos padrão de alto valor. Esse erro pode ter uma das seguintes causas:
Nível de preços: Premium
Recursos compatíveis Verificações em lote: antes de cada simulação de caminho de ataque. |
Crítica |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
Descrição da descoberta: na última simulação de caminho de ataque, o número de instâncias de recursos de alto valor, conforme identificado pelas configurações de valor do recurso, excederam o limite de 1.000 instâncias de recursos em um conjunto de recursos de alto valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor. O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta As pontuações de exposição a ataques em quaisquer descobertas que afetem instâncias de recursos excluídos não refletem a designação de alto valor das instâncias de recursos. Nível de preços: Premium
Recursos compatíveis Verificações em lote: antes de cada simulação de caminho de ataque. |
Alta |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
Descrição da descoberta:
o Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária
não pode ser extraída (transferida por download) de A tentativa de implantar o DaemonSet do Container Threat Detection resultou no seguinte erro:
Nível de preços: Premium
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Crítica |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
Descrição da descoberta:o Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão de terceiros está impedindo a implantação de um objeto DaemonSet do Kubernetes que o Container Threat Detection exige. Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection. Nível de preços: Premium
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Alta |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrição da descoberta: uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada. Nível de preços: Premium
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Crítica |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrição da descoberta: o Container Threat Detection não consegue gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que a detecção de ameaças do contêiner seja ativada no cluster. Nível de preços: Premium
Recursos compatíveis Verificações em lote: semanalmente |
Alta |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
Descrição da descoberta: o projeto configurado para a exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar as descobertas ao Logging. Nível de preços: Premium
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Alta |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
Descrição da descoberta: o Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro. Nível de preços: Premium ou Standard
Recursos compatíveis Verificações em lote: a cada seis horas |
Alta |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
Descrição da descoberta: a conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida. Nível de preços: Premium ou Standard
Recursos compatíveis Verificações em lote: a cada 30 minutos |
Crítica |
A seguir
- Saiba como corrigir erros do Security Command Center.
- Consulte a Solução de problemas.
- Consulte Mensagens de erro.