Security Command Center 錯誤總覽

錯誤偵測工具會產生發現項目,指出 Security Command Center 環境的設定問題。這些設定問題會導致偵測服務 (也稱為發現項目供應商) 無法產生發現項目。錯誤發現項目是由 Security Command Center 安全性來源產生,且發現項目類別為 SCC errors

這項錯誤偵測器選取項目可解決常見的 Security Command Center 設定錯誤,但並非完整清單。沒有錯誤發現項目,並不保證 Security Command Center 和相關服務已正確設定,且運作正常。如果您懷疑有設定錯誤問題,但這些錯誤偵測器未涵蓋,請參閱「疑難排解」和「錯誤訊息」。

嚴重性等級

錯誤發現結果的嚴重程度可能為下列任一等級:

重大

表示錯誤導致下列一或多個問題:

  • 這項錯誤會導致您無法查看服務的所有發現項目。
  • 這項錯誤會導致 Security Command Center 無法產生任何嚴重程度的新發現。
  • 這項錯誤會導致攻擊路徑模擬無法產生受攻擊風險分數和攻擊路徑。

表示錯誤導致下列一或多個問題:

  • 您無法查看或匯出部分服務的調查結果。
  • 攻擊路徑模擬作業的受攻擊風險分數和攻擊路徑可能不完整或不準確。

靜音行為

屬於 SCC errors 發現項目類別的發現項目會回報問題,導致 Security Command Center 無法正常運作。因此無法忽略錯誤發現項目。

錯誤偵測工具

下表說明錯誤偵測器及其支援的資產。您可以在 Google Cloud 控制台的 Security Command Center「發現項目」分頁中,依類別名稱或發現項目類別篩選發現項目。

如要修正這些發現項目,請參閱「修正 Security Command Center 錯誤」。

下列發現項目類別代表可能因無意間的動作而導致的錯誤。

無意間執行的動作
類別名稱 API 名稱 摘要 嚴重性
API_DISABLED

發現說明: 專案所需的 API 已停用。停用的服務無法將調查結果傳送至 Security Command Center。

價格層級: 進階或標準

支援的資產
cloudresourcemanager.googleapis.com/Project

批次掃描:每 60 小時一次

修正這項發現

重大
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

發現項目說明: 已為攻擊路徑模擬定義資源值設定,但這些設定與您環境中的任何資源執行個體都不相符。模擬作業改用預設的高價值資源集。

這個錯誤的可能原因如下:

  • 沒有任何資源值設定與資源例項相符。
  • 指定 NONE 的一或多項資源價值設定會覆寫所有其他有效設定。
  • 所有已定義的資源值設定都會指定 NONE 值。

價格方案: 進階

支援的資產
cloudresourcemanager.googleapis.com/Organizations

批次掃描:每次模擬攻擊路徑前。

修正這項發現

重大
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

發現項目說明: 在上次攻擊路徑模擬中,資源價值設定識別出的高價值資源執行個體數量,超過高價值資源集中 1,000 個資源執行個體的限制。因此,Security Command Center 會從高價值資源集中排除超出上限的執行個體。

SCC Error 發現項目會顯示相符執行個體的總數,以及從集合中排除的執行個體總數。您可以在 Google Cloud 控制台中查看這項資訊。

如果發現項目影響排除的資源執行個體,該項目的受攻擊風險分數不會反映資源執行個體的高價值指定項目。

價格方案: 進階

支援的資產
cloudresourcemanager.googleapis.com/Organizations

批次掃描:每次模擬攻擊路徑前。

修正這項發現

KTD_IMAGE_PULL_FAILURE

發現說明: 無法在叢集上啟用 Container Threat Detection,因為系統無法從 gcr.io (Container Registry 映像檔主機) 提取 (下載) 必要容器映像檔。Container Threat Detection 需要這個映像檔,才能部署 Container Threat Detection DaemonSet。

嘗試部署 Container Threat Detection DaemonSet 時發生下列錯誤:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

價格方案: 進階

支援的資產
container.googleapis.com/Cluster

批次掃描:每 30 分鐘一次

修正這項發現

重大
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

發現說明: 無法在 Kubernetes 叢集上啟用 Container Threat Detection。第三方許可控制器會禁止部署 Container Threat Detection 必要的 Kubernetes DaemonSet 物件。

在 Google Cloud 控制台中查看時,發現詳細資料會包含 Google Kubernetes Engine 在 Container Threat Detection 嘗試部署 Container Threat Detection DaemonSet 物件時傳回的錯誤訊息。

價格方案: 進階

支援的資產
container.googleapis.com/Cluster

批次掃描:每 30 分鐘一次

修正這項發現

KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

發現項目說明: 服務帳戶缺少 Container Threat Detection 必要的權限。由於無法啟用、升級或停用 偵測儀器,容器威脅偵測功能可能無法正常運作。

價格方案: 進階

支援的資產
cloudresourcemanager.googleapis.com/Project

批次掃描:每 30 分鐘一次

修正這項發現

重大
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

發現項目說明: Container Threat Detection 無法為 Google Kubernetes Engine 叢集產生發現項目,因為叢集中的 GKE 預設服務帳戶缺少權限。這會導致系統無法在叢集上成功啟用 Container Threat Detection。

價格方案: 進階

支援的資產
container.googleapis.com/Cluster

批次掃描:每週

修正這項發現

MISCONFIGURED_CLOUD_LOGGING_EXPORT

發現項目說明: 設定為 持續匯出至 Cloud Logging 的專案無法使用。Security Command Center 無法將發現項目傳送至 Cloud Logging。

價格方案: 進階

支援的資產
cloudresourcemanager.googleapis.com/Organization

批次掃描:每 30 分鐘一次

修正這項發現

VPC_SC_RESTRICTION

發現項目說明: 安全狀態分析無法為專案產生特定發現項目。專案受到服務範圍保護,且 Security Command Center 服務帳戶無法存取該範圍。

價格層級: 進階或標準

支援的資產
cloudresourcemanager.googleapis.com/Project

批次掃描:每 6 小時一次

修正這項發現

SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

發現項目說明: Security Command Center 服務帳戶缺少正常運作所需的權限。不會產生任何發現項目。

價格層級: 進階或標準

支援的素材資源

批次掃描:每 30 分鐘一次

修正這項發現

重大

後續步驟