錯誤偵測工具會產生發現項目,指出 Security Command Center 環境的設定問題。這些設定問題會導致偵測服務 (也稱為發現項目供應商) 無法產生發現項目。錯誤發現項目是由 Security Command Center
安全性來源產生,且發現項目類別為 SCC errors
。
這項錯誤偵測器選取項目可解決常見的 Security Command Center 設定錯誤,但並非完整清單。沒有錯誤發現項目,並不保證 Security Command Center 和相關服務已正確設定,且運作正常。如果您懷疑有設定錯誤問題,但這些錯誤偵測器未涵蓋,請參閱「疑難排解」和「錯誤訊息」。
嚴重性等級
錯誤發現結果的嚴重程度可能為下列任一等級:
- 重大
表示錯誤導致下列一或多個問題:
- 這項錯誤會導致您無法查看服務的所有發現項目。
- 這項錯誤會導致 Security Command Center 無法產生任何嚴重程度的新發現。
- 這項錯誤會導致攻擊路徑模擬無法產生受攻擊風險分數和攻擊路徑。
- 高
表示錯誤導致下列一或多個問題:
- 您無法查看或匯出部分服務的調查結果。
- 攻擊路徑模擬作業的受攻擊風險分數和攻擊路徑可能不完整或不準確。
靜音行為
屬於 SCC errors
發現項目類別的發現項目會回報問題,導致 Security Command Center 無法正常運作。因此無法忽略錯誤發現項目。
錯誤偵測工具
下表說明錯誤偵測器及其支援的資產。您可以在 Google Cloud 控制台的 Security Command Center「發現項目」分頁中,依類別名稱或發現項目類別篩選發現項目。
如要修正這些發現項目,請參閱「修正 Security Command Center 錯誤」。
下列發現項目類別代表可能因無意間的動作而導致的錯誤。
類別名稱 | API 名稱 | 摘要 | 嚴重性 |
---|---|---|---|
|
API_DISABLED |
發現說明: 專案所需的 API 已停用。停用的服務無法將調查結果傳送至 Security Command Center。 價格層級: 進階或標準
支援的資產 批次掃描:每 60 小時一次 |
重大 |
|
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
發現項目說明: 已為攻擊路徑模擬定義資源值設定,但這些設定與您環境中的任何資源執行個體都不相符。模擬作業改用預設的高價值資源集。 這個錯誤的可能原因如下:
價格方案: 進階
支援的資產 批次掃描:每次模擬攻擊路徑前。 |
重大 |
|
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
發現項目說明: 在上次攻擊路徑模擬中,資源價值設定識別出的高價值資源執行個體數量,超過高價值資源集中 1,000 個資源執行個體的限制。因此,Security Command Center 會從高價值資源集中排除超出上限的執行個體。
如果發現項目影響排除的資源執行個體,該項目的受攻擊風險分數不會反映資源執行個體的高價值指定項目。 價格方案: 進階
支援的資產 批次掃描:每次模擬攻擊路徑前。 |
高 |
|
KTD_IMAGE_PULL_FAILURE |
發現說明:
無法在叢集上啟用 Container Threat Detection,因為系統無法從 嘗試部署 Container Threat Detection DaemonSet 時發生下列錯誤:
價格方案: 進階
支援的資產 批次掃描:每 30 分鐘一次 |
重大 |
|
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
發現說明: 無法在 Kubernetes 叢集上啟用 Container Threat Detection。第三方許可控制器會禁止部署 Container Threat Detection 必要的 Kubernetes DaemonSet 物件。 在 Google Cloud 控制台中查看時,發現詳細資料會包含 Google Kubernetes Engine 在 Container Threat Detection 嘗試部署 Container Threat Detection DaemonSet 物件時傳回的錯誤訊息。 價格方案: 進階
支援的資產 批次掃描:每 30 分鐘一次 |
高 |
|
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
發現項目說明: 服務帳戶缺少 Container Threat Detection 必要的權限。由於無法啟用、升級或停用 偵測儀器,容器威脅偵測功能可能無法正常運作。 價格方案: 進階
支援的資產 批次掃描:每 30 分鐘一次 |
重大 |
|
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
發現項目說明: Container Threat Detection 無法為 Google Kubernetes Engine 叢集產生發現項目,因為叢集中的 GKE 預設服務帳戶缺少權限。這會導致系統無法在叢集上成功啟用 Container Threat Detection。 價格方案: 進階
支援的資產 批次掃描:每週 |
高 |
|
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
發現項目說明: 設定為 持續匯出至 Cloud Logging 的專案無法使用。Security Command Center 無法將發現項目傳送至 Cloud Logging。 價格方案: 進階
支援的資產 批次掃描:每 30 分鐘一次 |
高 |
|
VPC_SC_RESTRICTION |
發現項目說明: 安全狀態分析無法為專案產生特定發現項目。專案受到服務範圍保護,且 Security Command Center 服務帳戶無法存取該範圍。 價格層級: 進階或標準
支援的資產 批次掃描:每 6 小時一次 |
高 |
|
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
發現項目說明: Security Command Center 服務帳戶缺少正常運作所需的權限。不會產生任何發現項目。 價格層級: 進階或標準
支援的素材資源 批次掃描:每 30 分鐘一次 |
重大 |
後續步驟
- 瞭解如何修正 Security Command Center 錯誤。
- 請參閱「疑難排解」。
- 請參閱「錯誤訊息」。