Visão geral dos erros do Security Command Center

Os detectores de erros geram descobertas que apontam para problemas na configuração do ambiente do Security Command Center. Esses problemas de configuração impedem que os serviços (também conhecidos como provedores de serviços ou origens) gerem descobertas. As descobertas de erro são geradas pela fonte de segurança Security Command Center e têm a classe de descoberta SCC errors.

Esta seleção de detectores de erros aborda as configurações incorretas do Security Command Center e não é uma lista completa. A ausência de descobertas de erro não garante que o Security Command Center e os serviços dele estejam configurados e funcionando corretamente. Se você suspeitar que tem problemas de configuração incorreta que não são cobertos por esses detectores de erros, consulte Solução de problemas e Mensagens de erro.

Níveis de gravidade

Uma descoberta de erros pode ter um dos seguintes níveis de gravidade:

Crítica

Indica que o erro está causando um ou mais dos seguintes problemas:

O erro impede que você visualize todas as descobertas de um serviço.
O erro está impedindo que o Security Command Center gere novas descobertas de qualquer gravidade.
O erro impede que simulações de caminho de ataque gerem pontuações de exposição a ataques e caminhos de ataque.

Alta

Indica que o erro está causando um ou mais dos seguintes problemas:

Não é possível visualizar ou exportar algumas das descobertas de um serviço.
Para simulações de caminho de ataque, as pontuações de exposição a ataques e os caminhos de ataque podem estar incompletos ou imprecisos.

Comportamento de desativação do som

Observação:as descobertas que pertencem à classe SCC errors informam problemas que impedem o funcionamento do Security Command Center. Por esse motivo, não é possível desativar o som das descobertas.

Detectores de erros

A tabela a seguir descreve os detectores de erros e os recursos compatíveis. É possível filtrar as descobertas por nome de categoria ou classe de descoberta na guia Descobertas do Security Command Center no Console do Google Cloud.

Para corrigir essas descobertas, consulte Como corrigir erros do Security Command Center.

As seguintes categorias de descoberta representam erros que podem ser causados por ações não intencionais.

Ações acidentais
Nome da categoria	Nome da API	Resumo	Gravidade
`API disabled`	`API_DISABLED`	Descrição da descoberta: uma API necessária está desativada para o projeto. O serviço desativado não pode enviar descobertas para o Security Command Center. Nível de preço: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Project Verificações em lote: a cada 60 horas Corrigir essa descoberta	Crítica
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Descrição da descoberta: as configurações de valor do recurso são definidas para simulações de caminho de ataque, mas elas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão usando o conjunto de recursos padrão de alto valor. Esse erro pode ter uma das seguintes causas: Nenhuma das configurações de valor de recurso corresponde a nenhuma instância de recurso. Uma ou mais configurações de valor de recurso que especificam `NONE` substituem todas as outras configurações válidas. Todas as configurações de valor de recurso definidas especificam um valor de `NONE`. Nível de preço: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organizations Verificações em lote: antes de cada simulação de caminho de ataque. Corrigir essa descoberta	Crítica
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Descrição da descoberta: na última simulação de caminho de ataque, o número de instâncias de recursos de alto valor, conforme identificado pelas configurações de valor do recurso, excederam o limite de 1.000 instâncias de recursos em um conjunto de recursos de alto valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor. O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta `SCC Error` no console do Google Cloud. As pontuações de exposição a ataques em quaisquer descobertas que afetem instâncias de recursos excluídos não refletem a designação de alto valor das instâncias de recursos. Nível de preço: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organizations Verificações em lote: antes de cada simulação de caminho de ataque. Corrigir essa descoberta	Alta
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Descrição da descoberta: o Container Threat Detection não pode ser ativado no cluster porque uma imagem de contêiner necessária não pode ser extraída (transferida por download) de `gcr.io`, o Host de imagens do Container Registry. A imagem é necessária para implantar o DaemonSet do Container Threat Detection. A tentativa de implantar o DaemonSet do Container Threat Detection resultou no seguinte erro: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Nível de preço: Premium Recursos compatíveis container.googleapis.com/Cluster Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Crítica
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Descrição da descoberta: o Container Threat Detection não pode ser ativado em um cluster do Kubernetes. Um controlador de admissão de terceiros está impedindo a implantação de um objeto DaemonSet do Kubernetes exigido pelo Container Threat Detection. Quando visualizados no console do Google Cloud, os detalhes da descoberta incluem a mensagem de erro que foi retornada pelo Google Kubernetes Engine quando o Container Threat Detection tentou implantar um objeto DaemonSet do Container Threat Detection. Nível de preço: Premium Recursos compatíveis container.googleapis.com/Cluster Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Alta
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da descoberta: uma conta de serviço não tem as permissões exigidas pelo Container Threat Detection. O Container Threat Detection pode parar de funcionar corretamente porque a instrumentação de detecção não pode ser ativada, atualizada ou desativada. Nível de preço: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Crítica
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da descoberta: o Container Threat Detection não consegue gerar descobertas para um cluster do Google Kubernetes Engine porque a conta de serviço padrão do GKE no cluster não tem permissões. Isso impede que a detecção de ameaças do contêiner seja ativada no cluster. Nível de preço: Premium Recursos compatíveis container.googleapis.com/Cluster Verificações em lote: semanalmente Corrigir essa descoberta	Alta
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Descrição da descoberta: o projeto configurado para a exportação contínua para o Cloud Logging não está disponível. O Security Command Center não pode enviar as descobertas ao Logging. Nível de preço: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Alta
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Descrição da descoberta: o Security Health Analytics não consegue produzir determinadas descobertas para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro. Nível de preço: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Project Verificações em lote: a cada seis horas Corrigir essa descoberta	Alta
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descrição da descoberta: a conta de serviço do Security Command Center não tem as permissões necessárias para funcionar corretamente. Nenhuma descoberta foi produzida. Nível de preço: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Verificações em lote: a cada 30 minutos Corrigir essa descoberta	Crítica

A seguir

Saiba como corrigir erros do Security Command Center.
Consulte a Solução de problemas.
Consulte Mensagens de erro.