Visão geral dos erros do Security Command Center

Os detectores de erros geram descobertas que apontam para problemas na configuração do ambiente do Security Command Center. Esses problemas de configuração impedem serviços de detecção, também conhecidos como como encontrar provedores) para gerar descobertas. As descobertas de erro são geradas pela origem de segurança Security Command Center e têm a descoberta classe SCC errors.

Esta seleção de detectores de erros aborda as configurações incorretas do Security Command Center e não é uma lista completa. A ausência de descobertas de erro não garante que o Security Command Center e os serviços dele estejam configurados e funcionando corretamente. Se você suspeitar que tem problemas de configuração incorreta que não são cobertos por esses detectores de erros, consulte Solução de problemas e Mensagens de erro.

Níveis de gravidade

Uma descoberta de erros pode ter um dos seguintes níveis de gravidade:

Crítica

Indica que o erro está causando um ou mais dos seguintes problemas:

  • O erro impede que você visualize todas as descobertas de um serviço.
  • O erro está impedindo que o Security Command Center gere novas descobertas de qualquer gravidade.
  • O erro impede que simulações de caminho de ataque gerem pontuações de exposição a ataques e caminhos de ataque.
Alta

Indica que o erro está causando um ou mais dos seguintes problemas:

  • Não é possível visualizar ou exportar algumas das descobertas de um serviço.
  • Para simulações de caminho de ataque, as pontuações de exposição a ataques e os caminhos de ataque podem estar incompletos ou imprecisos.

Comportamento de desativação do som

Observação:as descobertas que pertencem à classe SCC errors informam problemas que impedem o funcionamento do Security Command Center. Por esse motivo, não é possível desativar o som das descobertas.

Detectores de erros

A tabela a seguir descreve os detectores de erros e os recursos compatíveis. É possível filtrar as descobertas por nome de categoria ou classe de descoberta na guia Descobertas do Security Command Center no Console do Google Cloud.

Para corrigir essas descobertas, consulte Como corrigir erros do Security Command Center.

As seguintes categorias de descoberta representam erros que podem ser causados por ações não intencionais.

Ações acidentais
Nome da categoria Nome da API Resumo Gravidade
API disabled API_DISABLED

Descrição da descoberta: uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Verificações em lote: a cada 60 horas

Corrigir essa descoberta

Crítica
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descrição da descoberta: as configurações de valor do recurso são definidas para simulações de caminho de ataque, mas elas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão usando o conjunto de recursos padrão de alto valor.

Esse erro pode ter uma das seguintes causas:

  • Nenhuma das configurações de valor de recurso corresponde a nenhuma instância de recurso.
  • Uma ou mais configurações de valor de recurso que especificam NONE substituem todas as outras configurações válidas.
  • Todas as configurações de valor de recurso definidas especificam um valor de NONE.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organizations

Verificações em lote: antes de cada simulação de caminho de ataque.

Corrigir essa descoberta

Crítica
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descrição da descoberta: na última simulação de caminho de ataque, o número de instâncias de recursos de alto valor, conforme identificado pelas configurações de valor do recurso, excederam o limite de 1.000 instâncias de recursos em um conjunto de recursos de alto valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor.

O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta SCC Error no console do Google Cloud.

As pontuações de exposição a ataques em quaisquer descobertas que afetem instâncias de recursos excluídos não refletem a designação de alto valor das instâncias de recursos.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organizations

Verificações em lote: antes de cada simulação de caminho de ataque.

Corrigir essa descoberta

Alta
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Descrição da descoberta: o Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (transferida por download) de gcr.io, o Host de imagens do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection.

A tentativa de implantar o DaemonSet do Container Threat Detection resultou no seguinte erro:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Crítica
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descrição da descoberta: o Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Uma entrada de terceiros impede a implantação de um objeto DaemonSet do Kubernetes que o que é exigido pelo Container Threat Detection.

Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Alta
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da descoberta: uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Crítica
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da descoberta: o Container Threat Detection não consegue gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que a detecção de ameaças do contêiner seja ativada no cluster.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Verificações em lote: semanalmente

Corrigir essa descoberta

Alta
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descrição da descoberta: o projeto configurado para a exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar as descobertas ao Logging.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Alta
VPC Service Controls Restriction VPC_SC_RESTRICTION

Descrição da descoberta: o Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Verificações em lote: a cada seis horas

Corrigir essa descoberta

Alta
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da descoberta: a conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida.

Nível de preços: Premium ou Standard

Recursos compatíveis

Verificações em lote: a cada 30 minutos

Corrigir essa descoberta

Crítica

A seguir