Correzione degli errori di Security Command Center

Questa pagina fornisce un elenco di guide di riferimento e tecniche per correggere gli errori Errori SCC.

Prima di iniziare

Per visualizzare o modificare i ruoli IAM (Identity and Access Management) necessari, devi disporre di ruoli adeguati i risultati e accedere alle risorse Google Cloud o modificarle. Se riscontri errori di autorizzazione quando accedi a Security Command Center nella console Google Cloud, rivolgiti all'amministratore per ricevere assistenza. Per scoprire di più sui ruoli, consulta Controllo dell'accesso. Per risolvere gli errori relativi alle risorse, leggi la documentazione dei prodotti interessati.

Esamina i risultati nella console Google Cloud

Gli errori SCC sono errori di configurazione che impediscono il corretto funzionamento di Security Command Center. L'origineSecurity Command Center genera questi risultati.

Finché Security Command Center è configurato per la tua organizzazione o progetto, genera risultati di errore non appena li rileva. Puoi visualizzare gli errori SCC nella console Google Cloud.

Per esaminare i risultati nella console Google Cloud, segui questa procedura:

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Security Command Center. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.

Console operativa di sicurezza

  1. In Security Operations Console, vai alla pagina Risultati. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
  3. Seleziona Security Command Center. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Disattivazione degli errori SCC dopo la correzione

Dopo aver corretto un risultato SCC error, Security Command Center esegue automaticamente imposta lo stato del risultato su INACTIVE durante la successiva scansione. Il tempo necessario per impostare lo stato di un risultato corretto su INACTIVE in Security Command Center dipende da quando correggi il risultato e dalla pianificazione della scansione che rileva l'errore.

Per informazioni sulla frequenza di scansione per un risultato SCC error, consulta le del risultato in Rilevatori di errori.

Correggere gli errori SCC

Questa sezione include le istruzioni per la correzione di tutti gli errori SCC.

API disabled

Nome categoria nell'API: API_DISABLED

Uno dei seguenti servizi è disabilitato per il progetto:

Il servizio disattivato non può generare risultati.

Per risolvere il problema, segui questi passaggi:

  1. Esamina il rilevamento per determinare quale API è disattivata.

  2. Abilita l'API:

Scopri di più sugli asset e sulle impostazioni di scansione supportati di questo tipo di segnalazione.

APS no resource value configs match any resources

Nome della categoria nell'API: APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Le configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, ma non corrispondono a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano il valore predefinito di risorse.

Le configurazioni dei valori delle risorse potrebbero non corrispondere a nessuna risorsa per i seguenti motivi, identificati nella descrizione del rilevamento nella console Google Cloud:

  • Nessuna delle configurazioni dei valori delle risorse corrisponde a un'istanza di risorsa.
  • Una o più configurazioni dei valori delle risorse che specificano NONE sostituiscono ogni altra configurazione valida.
  • Tutte le configurazioni definite per i valori delle risorse specificano un valore NONE.

Per correggere questo risultato:

  1. Vai alla pagina Simulazione del percorso di attacco in Impostazioni di Security Command Center:

    Vai alle impostazioni

  2. Seleziona la tua organizzazione. La pagina Simulazione del percorso di attacco si apre con la le configurazioni esistenti visualizzate.

  3. Nella colonna Valore risorsa della sezione Configurazioni dei valori della risorsa dell'elenco, verifica i valori None.

  4. Per qualsiasi configurazione che ha specificato None:

    1. Fai clic sul nome di qualsiasi configurazione del valore della risorsa per visualizzare le specifiche di configurazione.
    2. Se necessario, modificare le specifiche degli attributi della risorsa per ridurre il numero di istanze di risorse corrispondenti alla configurazione.

  5. Se il problema non è causato da una specifica None troppo ampia, procedi nel seguente modo: seguenti:

    1. Fai clic sui nomi di ogni configurazione che specifica un valore HIGH, MEDIUM o LOW per visualizzare le specifiche degli attributi della risorsa.
    2. Rivedi e, se necessario, modifica la configurazione per correggere l'ambito, specifica del tipo di risorsa, del tag o dell'etichetta in modo che corrispondano Google Cloud.

  6. Se necessario, crea una nuova configurazione dei valori delle risorse.

Le modifiche vengono applicate alla simulazione del percorso di attacco successiva.

Scopri di più su questo tipo di risultato asset e impostazioni di scansione supportati.

APS resource value assignment limit exceeded

Nome della categoria nell'API: APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Negli ultimi simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dall' Configurazioni dei valori delle risorse, è stato superato il limite di 1000 istanze di risorse in un ambiente un set di risorse. Di conseguenza, Security Command Center ha escluso il numero in eccesso di e istanze VM del set di risorse di alto valore.

Per risolvere il problema, puoi provare le seguenti azioni:

  • Utilizza i tag o le etichette per ridurre il numero di corrispondenze per un determinato tipo di risorsa o all'interno di un ambito specificato. I tag o le etichette devono essere applicate alle istanze delle risorse corrisponde a una configurazione del valore delle risorse.

  • Crea una configurazione del valore della risorsa che assegna un valore della risorsa di NONE a un sottoinsieme delle risorse specificate in un'altra configurazione.

    La specifica di un valore NONE ha la precedenza su qualsiasi altra configurazione ed esclude le istanze di risorse dal set di risorse di alto valore.

  • Riduci attributo risorsa ambito nella configurazione dei valori delle risorse.

  • Elimina le configurazioni dei valori delle risorse che assegnano un valore di LOW.

Per istruzioni su come creare, modificare o eliminare un valore di risorsa per la configurazione, consulta Definisci e gestisci il set di risorse di alto valore.

Scopri di più su questo tipo di risultato asset e impostazioni di scansione supportati.

CIEM service account missing permissions

Nome categoria nell'API: CIEM_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Manca l'account di servizio utilizzato dal servizio CIEM autorizzazioni aggiuntive. CIEM non può generare una o più categorie di risultati.

Per correggere questo risultato, ripristina i ruoli IAM richiesti nella Account di servizio CIEM:

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona l'account di servizio CIEM della tua organizzazione. Il servizio dell'account è un indirizzo email con il seguente formato:

    service-org-ORGANIZATION_ID@gcp-sa-ciem.iam.gserviceaccount.com

    Sostituisci ORGANIZATION_ID con quello della tua organizzazione l'ID numerico.

    Se non vedi l'account di servizio nell'elenco, fai clic su CONCEDI ACCESSO nella parte superiore della pagina e inserisci l'account di servizio come nuova entità.

  3. Concedi il ruolo di Agente di servizio CIEM (roles/ciem.serviceAgent) all'account di servizio. Se utilizzi ruoli personalizzati, assicurati che includano le seguenti autorizzazioni:

    • cloudasset.assets.exportResource
    • cloudasset.assets.exportIamPolicy

  4. Fai clic su Salva.

CIEM AWS CloudTrail configuration error

Nome categoria nell'API: AWS_CLOUDTRAIL_CONFIGURATION_ERROR

Tutti o alcuni risultati AWS di CIEM non vengono inviati a Security Command Center. Il feed AWS CloudTrail non è riuscito e non è possibile eseguirlo a causa di un errore di configurazione.

Esistono tre possibili cause per questo risultato:

  • Feed AWS CloudTrail mancante

    Per risolvere il problema, crea e configura un feed nella Security Operations Console per importare i log AWS CloudTrail. Imposta la coppia chiave-valore Etichetta importazione su CIEM e TRUE.

    Per istruzioni su come creare un feed, consulta Creare il feed nella documentazione di Google SecOps.

  • Errori nella configurazione del feed

    Assicurati di aver configurato correttamente il feed.

    Per configurare un feed, consulta Configura il feed in Google Security Operations per importare i log AWS nella documentazione di Google SecOps.

  • Configurazione incompleta di AWS CloudTrail

    Per risolvere il problema, imposta il bucket S3 nella configurazione di AWS CloudTrail per registrare sia eventi di dati sia eventi di gestione da tutti gli account AWS in cui intendi utilizzare CIEM.

    Per configurare CloudTrail, consulta Configura AWS CloudTrail (o un altro servizio) nella documentazione di Google SecOps.

GKE service account missing permissions

Nome della categoria nell'API: GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché al account di servizio predefinito GKE del cluster mancano le autorizzazioni. In questo modo, Container Threat Detection non viene attivato correttamente sul cluster.

Per risolvere il problema, ripristina l'account di servizio predefinito di GKE e conferma che l'account di servizio abbia il ruolo Agente di servizio Kubernetes Engine (roles/container.serviceAgent).

Scopri di più su questo tipo di risultato asset e impostazioni di scansione supportati.

KTD blocked by admission controller

Nome categoria nell'API: KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Impossibile abilitare Container Threat Detection su un cluster a causa di un'ammissione di terze parti del controller impedisce il deployment Oggetto DaemonSet Kubernetes.

Per correggere questo risultato, assicurati che i controller di ammissione in esecuzione sul cluster consentono a Container Threat Detection di creare oggetti Kubernetes.

Controllare il controller di ammissione

Controlla se il controller di ammissione nel tuo cluster sta rifiutando il deployment dell'oggetto DaemonSet di Container Threat Detection.

  1. Nella descrizione del risultato nei dettagli del risultato nella console Google Cloud, esaminare il messaggio di errore incluso di Kubernetes. L'errore di Kubernetes dovrebbe essere simile al seguente messaggio:

    generic::failed_precondition: incompatible admission webhook:
admission webhook "example.webhook.sh" denied the request:
[example-constraint] you must provide labels: {"example-required-label"}.

  2. Nei log di controllo Cloud delle attività di amministrazione per il progetto che contiene cerca il messaggio di errore visualizzato nel campo Descrizione della i dettagli del risultato.

  3. Se il controller di ammissione funziona, ma nega il deployment Configura l'oggetto DaemonSet Container Threat Detection, configura il controller di ammissione per consentire agente di servizio per Container Threat Detection per gestire gli oggetti nello spazio dei nomi kube-system.

    L'agente di servizio per Container Threat Detection deve essere in grado di gestire oggetti Kubernetes.

Per ulteriori informazioni sull'utilizzo dei controller di ammissione con Container Threat Detection, consulta PodSecurityPolicy e controller di ammissione.

Conferma la correzione

Dopo aver corretto l'errore, Security Command Center tenta automaticamente di attivare il rilevamento delle minacce nei contenitori. Dopo aver atteso il completamento dell'attivazione, puoi verificare se il rilevamento delle minacce nei contenitori è attivo seguendo questi passaggi:

  1. Vai alla pagina Carichi di lavoro di Kubernetes Engine nella console.

    Vai ai carichi di lavoro Kubernetes

  2. Se necessario, seleziona Mostra carichi di lavoro del sistema.

  3. Nella pagina Carichi di lavoro, filtra prima i carichi di lavoro in base al nome del cluster.

  4. Cerca il carico di lavoro container-watcher. Se container-watcher è presente e il relativo stato è OK, Container Threat Detection è attivo.

KTD image pull failure

Nome della categoria nell'API: KTD_IMAGE_PULL_FAILURE

Impossibile abilitare Container Threat Detection sul cluster perché è richiesto un container l'immagine non può essere estratta (scaricata) da gcr.io, l' Host dell'immagine Container Registry.

Il pull o il download di un'immagine container può non riuscire per uno qualsiasi dei possibili.

Verifica quanto segue:

  • Assicurati che le impostazioni della rete VPC, del DNS o del firewall non blocchino l'accesso alla rete dal cluster all'host dell'immagine gcr.io.
  • Se il cluster è privato, assicurati che Accesso privato Google è abilitato per consentire l'accesso all'host dell'immagine gcr.io.
  • Se le impostazioni di rete e l'accesso privato Google non sono la causa l'errore, consulta la documentazione sulla risoluzione dei problemi di GKE per ImagePullBackOff e ErrImagePull errori.

Scopri di più sugli asset e sulle impostazioni di scansione supportati di questo tipo di segnalazione.

KTD service account missing permissions

Nome della categoria nell'API: KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

All'account di servizio Container Threat Detection identificato nei dettagli del rilevamento nella console Google Cloud mancano le autorizzazioni richieste. Tutti o alcuni risultati di Container Threat Detection non vengono inviati a Security Command Center.

Per risolvere il problema, segui questi passaggi:

  1. Concedi Agente di servizio Container Threat Detection (roles/containerthreatdetection.serviceAgent) al ruolo l'account di servizio. Per ulteriori informazioni, vedi Assegna un singolo ruolo.

    In alternativa, se vuoi utilizzare un ruolo personalizzato, assicurati che disponga delle autorizzazioni nel ruolo Agente di servizio Container Threat Detection.

  2. Assicurati che non siano presenti criteri di rifiuto IAM che impediscano all'account di servizio di utilizzare le autorizzazioni nel ruolo Agente di servizio di rilevamento delle minacce dei contenitori. Se esiste un criterio di rifiuto che blocca l'accesso, aggiungi l'account di servizio come entità di eccezione nel criterio di rifiuto.

Per ulteriori informazioni sull'account di servizio Container Threat Detection e sul ruolo e le autorizzazioni necessarie, consulta Autorizzazioni IAM richieste

Scopri di più su questo tipo di risultato asset e impostazioni di scansione supportati.

Misconfigured Cloud Logging Export

Nome della categoria nell'API: MISCONFIGURED_CLOUD_LOGGING_EXPORT

Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Di conseguenza, Security Command Center non può inviare risultati a Logging.

Per correggere questo risultato, esegui una delle seguenti operazioni:

Scopri di più sugli asset e sulle impostazioni di scansione supportati di questo tipo di segnalazione.

VPC Service Controls Restriction

Nome categoria nell'API: VPC_SC_RESTRICTION

Security Health Analytics non può produrre determinati risultati per un progetto perché è protetto da un perimetro di servizio. Devi concedere all'account di servizio Security Command Center l'accesso in entrata al perimetro del servizio.

L'identificatore dell'account di servizio è un indirizzo email con quanto segue: formato: 

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Sostituisci quanto segue:

  • RESOURCE_KEYWORD: la parola chiave org o project, a seconda della risorsa proprietaria dell'account di servizio

  • RESOURCE_ID: uno dei seguenti valori:

    • L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
    • Il numero del progetto se l'account di servizio è di proprietà di un progetto

Se hai account di servizio sia a livello di organizzazione che a livello di progetto, applica la correzione a entrambi.

Per correggere questo risultato, segui questi passaggi.

Passaggio 1: determina quale perimetro del servizio blocca Security Health Analytics

  1. Recupera l'ID univoco dei Controlli di servizio VPC e l'ID progetto associato al risultato:

    1. Per visualizzare i dettagli del risultato, fai clic sul nome della relativa categoria.
    2. Nel campo Descrizione, copia il valore univoco dei Controlli di servizio VPC ID, ad esempio 5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ.
    3. Nel campo Percorso risorsa, copia l'ID del progetto.

  2. Ottieni l'ID criterio di accesso e il nome del perimetro di servizio:

    1. Nella console Google Cloud, vai alla pagina Esplora log.

      Vai a Esplora log

    2. Nella barra degli strumenti, seleziona il progetto associato al risultato.

      Selettore progetti

    3. Nella casella di ricerca, inserisci l'ID univoco dell'errore.

      Cerca per UID errore

      Se l'errore non viene visualizzato nei risultati della query, estendi la sequenza temporale in l'istogramma ed esegui nuovamente la query.

    4. Fai clic sull'errore visualizzato.

    5. Fai clic su Espandi campi nidificati.

    6. Copia il valore del campo servicePerimeterName. Il valore ha il seguente formato:

      accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER

      In questo esempio, il nome completo della risorsa del perimetro del servizio è accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured.

      • ACCESS_POLICY è l'ID criterio di accesso, ad esempio 540107806624.

      • SERVICE_PERIMETER è il perimetro di servizio un nome personalizzato, ad esempio vpc_sc_misconfigured.

        Nome completo della risorsa del perimetro di servizio

    7. Per ottenere il nome visualizzato corrispondente all'ID criterio di accesso, utilizza con gcloud CLI.

      Se non puoi eseguire query a livello di organizzazione, chiedi all'amministratore di eseguire questo passaggio.

      gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID

      Sostituisci ORGANIZATION_ID con quello della tua organizzazione l'ID numerico.

      Viene visualizzato un output simile al seguente:

      NAME          ORGANIZATION  SCOPES                 TITLE           ETAG
540107806624  549441802605                         default policy  2a9a7e30cbc14371
352948212018  549441802605  projects/393598488212  another_policy  d7b47a9ecebd4659

      Il nome visualizzato è il titolo corrispondente all'ID criterio di accesso. Prendi nota del nome visualizzato del criterio di accesso e del nome del perimetro del servizio. Ne avrai bisogno nella sezione successiva.

Passaggio 2: crea una regola di ingresso che concede l'accesso al progetto

Questa sezione richiede l'accesso a livello di organizzazione a Controlli di servizio VPC. Se non disponi dell'accesso a livello di organizzazione, chiedi all'amministratore di eseguire questi passaggi.

Nei passaggi che seguono, crei una regola di ingresso per il perimetro del servizio che hai identificato nel passaggio 1.

Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio, segui questi passaggi.

  1. Vai a Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.

    Selettore di progetti

  3. Nell'elenco a discesa, seleziona il criterio di accesso che contiene il servizio a cui vuoi concedere l'accesso.

    Elenco dei criteri di accesso

    Nell'elenco vengono visualizzati i perimetri di servizio associati al criterio di accesso.

  4. Fai clic sul nome del perimetro di servizio.

  5. Fai clic su Modifica perimetro.

  6. Nel menu di navigazione, fai clic su Criterio in entrata.

  7. Fai clic su Aggiungi regola.

  8. Configura la regola come segue:

    Attributi FROM del client API

    1. In Origine, seleziona Tutte le origini.
    2. In Identità, seleziona Identità selezionate.
    3. Nel campo Aggiungi account utente/di servizio, fai clic su Seleziona.
    4. Inserisci l'indirizzo email dell'account di servizio. Se hai account di servizio sia a livello di organizzazione sia a livello di progetto, aggiungili entrambi.
    5. Fai clic su Salva.

    Attributi TO di servizi/risorse Google Cloud

    1. In Progetto, seleziona Tutti i progetti o il progetto specificato nel rilevamento.

    2. In Servizi, seleziona Tutti i servizi o seleziona ciascuno dei seguenti singoli servizi richiesti da Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

    Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per quel servizio.

  9. Nel menu di navigazione, fai clic su Salva.

Per ulteriori informazioni, consulta Configurazione dei criteri di traffico in entrata e in uscita.

Scopri di più sugli asset e sulle impostazioni di scansione supportati di questo tipo di segnalazione.

Security Command Center service account missing permissions

Nome categoria nell'API: SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Manca l'agente di servizio di Security Command Center le autorizzazioni necessarie per funzionare correttamente.

L'identificatore dell'account di servizio è un indirizzo email con il seguente formato: 

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Sostituisci quanto segue:

  • RESOURCE_KEYWORD: la parola chiave org o project, a seconda della risorsa proprietaria dell'account di servizio

  • RESOURCE_ID: uno dei seguenti valori:

    • L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
    • Il numero del progetto se l'account di servizio è di proprietà di un progetto

Se hai account di servizio sia a livello di organizzazione che a livello di progetto, applica la correzione a entrambi.

Per risolvere il problema, segui questi passaggi:

  1. Concedi all'agente di servizio Centro sicurezza (roles/securitycenter.serviceAgent) all'account di servizio.

    Per ulteriori informazioni, vedi Assegna un singolo ruolo.

    In alternativa, se vuoi utilizzare una ruolo personalizzato, assicurati di avere le autorizzazioni Agente di servizio Security Center ruolo.

  2. Assicurati che non siano presenti IAM deny policy, che impediscono all'account di servizio di utilizzando una qualsiasi delle autorizzazioni nei ruoli richiesti. Se esiste un criterio di rifiuto che blocca l'accesso, aggiungi l'account di servizio come entità di eccezione nel criterio di rifiuto.

Scopri di più sugli asset e sulle impostazioni di scansione supportati di questo tipo di segnalazione.

Passaggi successivi

Scopri di più sugli errori di Security Command Center.