Se usó la API de Cloud Translation para traducir esta página.

Descripción general de los errores de Security Command Center

Los detectores de errores generan resultados que apuntan a problemas en la configuración del entorno de Security Command Center. Estos problemas de configuración evitan que los servicios de detección (también conocidos como proveedores de búsqueda) generen resultados. Los resultados de errores son generado por la fuente de seguridad Security Command Center y tienen el resultado la clase SCC errors.

Esta selección de detectores de errores aborda configuraciones incorrectas comunes de Security Command Center y no es una lista exhaustiva. La ausencia de resultados de errores no garantiza que Security Command Center y sus servicios estén configurados y funcionen de forma correcta según lo previsto. Si sospechas que tienes problemas de configuración incorrecta que no se incluyen en estos detectores de errores, consulta Solución de problemas y Mensajes de error.

Niveles de gravedad

Un resultado de error puede tener uno de los siguientes niveles de gravedad:

Crítico

Indica que el error está causando uno o más de los siguientes problemas:

El error te impide ver todos los resultados de un servicio.
El error impide que Security Command Center genere resultados nuevos de cualquier gravedad.
El error impide que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.

Alta

Indica que el error está causando uno o más de los siguientes problemas:

No puedes ver ni exportar algunos de los resultados de un servicio.
En el caso de las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque pueden estar incompletas o ser imprecisas.

Silenciar comportamiento

Los resultados que pertenecen a la clase de resultado SCC errors informan los problemas que impiden que Security Command Center funcione como se espera. Por este motivo, no se pueden silenciar los resultados de los errores.

Detectores de errores

En la siguiente tabla, se describen los detectores de errores y los elementos que admiten. Puedes filtrar los resultados por nombre de categoría o clase de resultado en la pestaña Resultados de Security Command Center en la consola de Google Cloud.

Para solucionar estos problemas, consulta Soluciona los errores de Security Command Center.

Las siguientes categorías de resultados representan errores posiblemente causados por acciones no intencionales.

Acciones involuntarias
Nombre de categoría	Nombre de la API	Resumen	Gravedad
`API disabled`	`API_DISABLED`	Descripción de los resultados: La API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center. Nivel de precios: Premium o Estándar Elementos admitidos cloudresourcemanager.googleapis.com/Project Análisis por lotes: Cada 60 horas Corrige este resultado	Crítico
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Descripción del problema: Los parámetros de configuración de valor de recursos se definen para las simulaciones de rutas de ataque, pero no coinciden con ninguna instancia de recursos de tu entorno. Las simulaciones usan el de alto valor predeterminado. Este error puede tener cualquiera de las siguientes causas: Ninguna de las configuraciones de valores de recursos coincide con ninguna instancia de recursos. Una o más configuraciones de valor de recursos que especifiquen `NONE` anulan todas las demás configuraciones válidas. Todas las configuraciones definidas de valores de recursos especifican un valor de `NONE`. Nivel de precios: Premium Recursos admitidos cloudresourcemanager.googleapis.com/Organizations Análisis por lotes: Antes de cada simulación de ruta de ataque. Corrige este hallazgo	Crítico
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Descripción del hallazgo: En la última simulación de ruta de ataque, la cantidad de instancias de recursos de alto valor, según lo identificó la configuración de valores de recursos, superó el límite de 1,000 instancias de recursos en un conjunto de recursos de alto valor. Como resultado, Security Command Center excluyó la cantidad excesiva de instancias del conjunto de recursos de alto valor. La cantidad total de instancias que coinciden y la cantidad total de instancias excluidas del conjunto se identifican en el hallazgo `SCC Error` de la consola de Google Cloud. Las puntuaciones de exposición a ataques de cualquier hallazgo que afecte a un recurso excluido no reflejan la designación de alto valor de las instancias de recursos. Nivel de precios: Premium Recursos admitidos cloudresourcemanager.googleapis.com/Organizations Análisis por lotes: Antes de cada simulación de ruta de ataque. Corrige este hallazgo	Alta
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Descripción del hallazgo: No se puede habilitar Container Threat Detection en el clúster porque se requiere un contenedor imagen no se puede extraer (descargar) desde `gcr.io`, el Host de imagen de Container Registry. La imagen es para implementar el DaemonSet de Container Threat Detection que requiere Container Threat Detection. El intento de implementar el DaemonSet de detección de amenazas de contenedores dio como resultado el siguiente error: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Nivel de precios: Premium Elementos compatibles container.googleapis.com/Cluster Análisis por lotes: cada 30 minutos Corrige este resultado	Crítico
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Descripción del resultado: La detección de amenazas a contenedores no se puede habilitar en un clúster de Kubernetes. Una admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes Container Threat Detection requiere. Cuando se ven en la consola de Google Cloud, los detalles del hallazgo incluyen lo siguiente: mensaje de error que mostró Google Kubernetes Engine cuando la detección de amenazas a contenedores intentó implementar un objeto DaemonSet de detección de amenazas a contenedores. Nivel de precios: Premium Elementos compatibles container.googleapis.com/Cluster Análisis por lotes: cada 30 minutos Corrige este resultado	Alta
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descripción del resultado: A una cuenta de servicio le faltan los permisos necesarios para la detección de amenazas a contenedores. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección. Nivel de precios: Premium Elementos admitidos cloudresourcemanager.googleapis.com/Project Análisis por lotes: cada 30 minutos Corrige este resultado	Crítica
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descripción de los resultados: La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster. Nivel de precios: Premium Elementos compatibles container.googleapis.com/Cluster Análisis por lotes: todas las semanas Corrige este resultado	Alta
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Descripción de los resultados: El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging. Nivel de precios: Premium Elementos admitidos cloudresourcemanager.googleapis.com/Organization Análisis por lotes: cada 30 minutos Corrige este resultado	Alta
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Descripción del resultado: Las estadísticas del estado de la seguridad no pueden producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro. Nivel de precios: Premium o Estándar Elementos admitidos cloudresourcemanager.googleapis.com/Project Análisis por lotes: Cada 6 horas Corrige este resultado	Alta
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descripción del resultado: A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar de forma correcta. No se producen resultados. Nivel de precios: Premium o Estándar Recursos admitidos cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Análisis por lotes: cada 30 minutos Corrige este resultado	Crítica

¿Qué sigue?

Obtén información para corregir errores de Security Command Center.
Consulta Solución de problemas.
Consulta Mensajes de error.