错误检测器会生成指向 Security Command Center 环境配置中问题的发现结果。这些配置问题会阻止检测服务(也称为“发现结果提供程序”)生成发现结果。错误发现结果由 Security Command Center 安全来源生成,其发现结果类别为 SCC errors。
此处列出的错误检测器可以解决常见的 Security Command Center 配置错误,但列出的并非全部错误检测器。如果没有显示错误发现结果,并不意味着 Security Command Center 及其服务百分之百正确配置并按预期正常运行。如果您怀疑存在这些错误检测器未涵盖的配置错误问题,请参阅问题排查和错误消息。
严重级别
错误发现结果可以具有以下任一严重级别:
- 严重
表示错误会导致以下一个或多个问题:
- 此错误会阻止您查看服务的所有发现结果。
- 此错误会导致 Security Command Center 无法生成任何严重级别的新发现结果。
- 该错误会阻止攻击路径模拟生成攻击风险得分和攻击路径。
- 高
表示错误会导致以下一个或多个问题:
- 您无法查看或导出服务的某些发现结果。
- 对于攻击路径模拟,攻击风险得分和攻击路径可能不完整或不准确。
忽略行为
属于发现结果类 SCC errors 的发现结果会报告阻止 Security Command Center 按预期正常运行的问题。因此,无法忽略此类错误发现结果。
错误检测器
下表介绍了错误检测器及其支持的资产。您可以在 Google Cloud 控制台的 Security Command Center 发现结果标签页上按类别名称或发现结果类过滤发现结果。
如需修复这些发现结果,请参阅修复 Security Command Center 错误。
以下发现结果类别表示可能由意外操作导致的错误。
| 类别名称 | API 名称 | 摘要 | 严重程度 |
|---|---|---|---|
API disabled |
API_DISABLED |
发现结果说明:项目已停用所需的 API。已停用的服务无法将发现结果发送到 Security Command Center。 价格层级:付费方案或标准方案
支持的资产 批量扫描:每 60 小时 |
严重 |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
发现结果说明:资源值配置是为攻击路径模拟定义的,但它们与您环境中的任何资源实例都不匹配。模拟将改用默认的高价值资源集。 此错误可能由以下任何原因造成:
价格层级:付费方案
支持的资源 批量扫描:每次攻击路径模拟之前。 |
严重 |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
发现结果说明:在上一次攻击路径模拟中,高价值资源实例的数量(由资源值配置标识)超出了高价值资源集中 1,000 个资源实例的限制。因此,Security Command Center 从高价值资源集中排除了过多的实例。 Google Cloud 控制台的 影响被排除资源实例的发现结果的攻击风险得分并不反映资源实例的高价值指定。 价格层级:付费方案
支持的资源 批量扫描:每次攻击路径模拟之前。 |
高 |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
发现结果说明:无法为集群启用 Container Threat Detection,因为无法从 Container Registry 映像主机 尝试部署 Container Threat Detection DaemonSet 会导致以下错误: 价格层级:付费方案
支持的资源 批量扫描:每 30 分钟 |
严重 |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
发现结果说明:无法对 Kubernetes 集群启用 Container Threat Detection。第三方准入控制器阻止部署 Container Threat Detection 所需的 Kubernetes DaemonSet 对象。 在 Google Cloud 控制台中查看时,发现结果详细信息包括当 Container Threat Detection 尝试部署 Container Threat Detection DaemonSet 对象时 Google Kubernetes Engine 返回的错误消息。 价格层级:付费方案
支持的资源 批量扫描:每 30 分钟 |
高 |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
发现结果说明:服务账号缺少 Container Threat Detection 所需的权限。Container Threat Detection 可能会停止运行,因为无法启用、升级或停用检测插桩。 价格层级:付费方案
支持的资产 批量扫描:每 30 分钟 |
严重 |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
发现结果说明:Container Threat Detection 无法为 Google Kubernetes Engine 集群生成发现结果,因为集群上的 GKE 默认服务账号缺少权限。这会阻止在集群上成功启用 Container Threat Detection。 价格层级:付费方案
支持的资源 批量扫描:每周 |
高 |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
发现结果说明:配置为 持续导出到 Cloud Logging 的项目不可用。Security Command Center 无法将发现结果发送到 Logging。 价格层级:付费方案
支持的资产 批量扫描:每 30 分钟 |
高 |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
发现结果说明:Security Health Analytics 无法为项目生成某些发现结果。该项目受服务边界保护,而 Security Command Center 服务账号无权访问该边界。 价格层级:付费方案或标准方案
支持的资产 批量扫描:每 6 小时 |
高 |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
发现结果说明:Security Command Center 服务账号缺少正常运行所需的权限。系统不会生成任何发现结果。 价格层级:付费方案或标准方案
支持的素材资源 批量扫描:每 30 分钟 |
严重 |
后续步骤
- 了解如何修复 Security Command Center 错误。
- 请参阅问题排查。
- 请参阅错误消息。