En esta página, se proporciona una lista de guías de referencia y técnicas para corregir errores de SCC.
Antes de comenzar
Necesitas funciones adecuadas de Identity and Access Management (IAM) para ver o editar los resultados, y acceder o modificar los recursos de Google Cloud. Si encuentras permisos cuando se accede a Security Command Center en Con la consola de Google Cloud, pídele ayuda a tu administrador. Para aprender acerca de los roles, consulta Control de acceso. Para resolver los errores de recursos, lee la documentación de los productos afectados.
Revisa los resultados en la consola de Google Cloud
Los errores de SCC son errores de configuración que impiden que Security Command Center funcione según lo esperado. La fuente Security Command Center genera estos resultados.
Siempre y cuando Security Command Center esté configurado para tu organización o proyecto, genera hallazgos de errores a medida que los detecta. Puedes ver los errores de SCC en la consola de Google Cloud.
Usa el siguiente procedimiento para revisar los resultados en la consola de Google Cloud:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Selecciona tu organización o proyecto de Google Cloud.
En la sección Filtros rápidos, en la subsección Nombre visible de origen, selecciona Security Command Center.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en
Category. El panel de detalles de resultados se expande para mostrar información que incluye lo siguiente:- Resumen generado por IAVista previa: Una explicación generada de forma dinámica del problema que se encontró
- Descripción: Una explicación breve del error detectado
- Hora del evento: cuándo se produjo el hallazgo
- Nombre visible del recurso: El recurso afectado
- Próximos pasos: Instrucciones para resolver el error.
- Nombre canónico del hallazgo: Un identificador único del hallazgo
- Nombre visible de la fuente:
Security Command Center
Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).
En el panel, se muestra la definición JSON del resultado, en la que puedes inspeccionar todos los atributos del resultado.
Desactivación de errores de SCC después de la solución
Después de corregir un hallazgo SCC error, Security Command Center
establece automáticamente el estado del hallazgo en INACTIVE durante el siguiente análisis.
Cuánto tiempo tarda Security Command Center en establecer el estado de una solución solucionada
resultado para INACTIVE depende de cuándo corrijas el resultado y del cronograma
del análisis que detecta el error.
Para obtener información sobre la frecuencia de búsqueda de un resultado de SCC error,
ver el resumen del hallazgo en
Detectores de errores.
Corrige los errores de SCC
En esta sección, se incluyen instrucciones de solución para todos los errores de SCC.
API disabled
Nombre de categoría en la API: API_DISABLED
Uno de los siguientes servicios está inhabilitado para el proyecto:
El servicio inhabilitado no puede generar resultados.
Para solucionar el problema, sigue estos pasos:
- A fin de determinar qué API está inhabilitada, revisa el resultado.
Habilita la API
Habilita la API de detección de amenazas a contenedores.
Habilita la API de Web Security Scanner.
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
APS no resource value configs match any resources
Nombre de categoría en la API: APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES
Configuraciones de valores de recursos se definen para las simulaciones de rutas de ataque, pero no coinciden instancias de recursos en tu entorno. Las simulaciones usan el de alto valor predeterminado.
Es posible que las configuraciones de valores de recursos no coincidan con ningún recurso del los siguientes motivos, que se identifican en la descripción del hallazgo Consola de Google Cloud:
- Ninguna de las configuraciones de valores de recursos coincide con ninguna instancia de recursos.
- Una o más configuraciones de valores de recursos que especifican
NONEse anulan cada otra configuración válida. - Todas las configuraciones definidas de valores de recursos especifican un valor de
NONE.
Para solucionar el problema, sigue estos pasos:
Ve a la página Simulación de ruta de ataque en Security Command Center. Configuración:
Selecciona tu organización. Se abrirá la página Simulación de ruta de ataque. para mostrar los parámetros de configuración existentes.
En la columna Resource value de la sección Resource value configurations. busca los valores de
None.Para cualquier configuración que haya especificado
None, haz lo siguiente:Haz clic en el nombre de cualquier configuración de valor de recurso para mostrar el valor las especificaciones de configuración.
Si es necesario, edita las especificaciones de los atributos de recursos. para reducir la cantidad de instancias de recursos que coinciden con la configuración.
Si el problema no se debe a una especificación demasiado amplia de
None, haz lo siguiente:Haz clic en los nombres de cada configuración que especifique el valor
HIGH.MEDIUMoLOWpara mostrar las especificaciones del atributo de recurso.Revisa y, si es necesario, edita la configuración para corregir el permiso. el tipo de recurso, la etiqueta o la especificación de la etiqueta para que coincidan de Google Cloud.
Si es necesario, crea una nueva configuración de valor de recurso.
Tus cambios se aplican a la siguiente simulación de ruta de ataque.
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
APS resource value assignment limit exceeded
Nombre de categoría en la API: APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED
En la última simulación de ruta de ataque, la cantidad de instancias de recursos de alto valor identificadas por el Configuraciones de valores de recursos, superó el límite de 1,000 instancias de recursos en una un conjunto de recursos de alto valor. Como resultado, Security Command Center excluyó un exceso de cantidad de instancias del conjunto de recursos de alto valor.
Para corregir este hallazgo, puedes probar las siguientes acciones:
- Utiliza etiquetas. o etiquetas para reducir la cantidad de coincidencias para un tipo de recurso determinado o dentro de un alcance especificado. Las etiquetas o etiquetas se deben aplicar al de recursos antes de que puedan coincidir con un valor de recurso configuración.
- Crear una configuración de valor de recurso que asigne un
valor del recurso
de
NONEa un subconjunto de los recursos que se especifican en otra configuración. Si especificas un valor deNONE, se anula cualquier otra configuración y excluye las instancias de recursos de tu conjunto de recursos de alto valor. - Reduce el atributo de recurso de alcance. específica en la configuración del valor del recurso.
- Borra las configuraciones de valor de recursos que asignen un valor de
LOW.
Obtén instrucciones para crear, editar o borrar el valor de un recurso consulta Define y administra tu conjunto de recursos de alto valor.
Más información sobre los los recursos admitidos y la configuración del análisis.
CIEM service account missing permissions
Nombre de categoría en la API: CIEM_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Falta la cuenta de servicio que usa el servicio de CIEM permisos. CIEM no puede generar una o más categorías de hallazgos.
Para corregir este hallazgo, restablece los roles de IAM necesarios en la cuenta de servicio de CIEM:
En la consola de Google Cloud, ve a la página IAM.
Selecciona la cuenta de servicio CIEM de tu organización. El servicio identificador de la cuenta es una dirección de correo electrónico con el siguiente formato:
service-org-ORGANIZATION_ID@gcp-sa-ciem.iam.gserviceaccount.com
Reemplaza ORGANIZATION_ID por el ID numérico de la organización.
Si no ves la cuenta de servicio en la lista, haz clic en OTORGAR ACCESO en en la parte superior de la página y, luego, ingresa la cuenta de servicio como una principal nueva.
Otorga el rol de agente de servicio de CIEM (
roles/ciem.serviceAgent) a la cuenta de servicio. Si usas roles personalizados, asegúrate de que incluyan siguientes permisos:cloudasset.assets.exportResourcecloudasset.assets.exportIamPolicy
Haz clic en Guardar.
CIEM AWS CloudTrail configuration error
Nombre de categoría en la API: AWS_CLOUDTRAIL_CONFIGURATION_ERROR
No se envían todos los hallazgos de AWS del CIEM o algunos de ellos a Security Command Center. El feed de AWS CloudTrail falló y no se puede recuperar datos debido a un error de configuración.
Existen tres causas posibles para este hallazgo:
Falta el feed de AWS CloudTrail
Para solucionar este problema, crea y configura un feed en la consola de operaciones de seguridad para transferir AWS Registros de CloudTrail. Establece el par clave-valor Etiqueta de transferencia en
CIEMyTRUE.Para obtener instrucciones sobre cómo crear un feed, consulte el artículo Cómo crear el feed en la documentación de Google SecOps.
Errores en la configuración del feed
Asegúrate de haber configurado el feed correctamente.
Para configurar un feed, consulte Configurar feed en Google Security Operations para transferir AWS registros en la documentación de Google SecOps.
Configuración incompleta de AWS CloudTrail
Para solucionar este problema, configura el bucket de S3 en tu CloudTrail de AWS de registro para registrar tanto los eventos de datos como los eventos de administración desde todas las en las que pretenda usar CIEM
Para configurar CloudTrail, consulta Configura AWS CloudTrail (o cualquier otro servicio) en la documentación de Google SecOps.
GKE service account missing permissions
Nombre de categoría en la API: GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS
La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE del clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster.
Para solucionar este problema, restablece la cuenta de servicio predeterminada de GKE y confirma que la cuenta de servicio tenga el rol Kubernetes Engine Service Agent (roles/container.serviceAgent).
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
KTD blocked by admission controller
Nombre de categoría en la API: KTD_BLOCKED_BY_ADMISSION_CONTROLLER
Container Threat Detection no puede habilitarse en un clúster porque un tercero que el controlador de admisión impida que se implementen Objeto DaemonSet de Kubernetes
Para corregir este hallazgo, asegúrate de que los controladores de admisión que que se ejecutan en el clúster, permiten que Container Threat Detection cree el objetos de Kubernetes.
Verifica el controlador de admisión
Verifica si el controlador de admisión en tu clúster rechaza el del objeto DaemonSet de Container Threat Detection.
En la descripción del hallazgo, en los detalles del hallazgo En la consola de Google Cloud, revisa el mensaje de error incluido de Kubernetes. El mensaje de error de Kubernetes debería ser similar al siguiente mensaje:
generic::failed_precondition: incompatible admission webhook: admission webhook "example.webhook.sh" denied the request: [example-constraint] you must provide labels: {"example-required-label"}.En los registros de auditoría de actividad del administrador de Cloud del proyecto. que contiene tu clúster, busca el mensaje de error que aparece el campo Descripción de los detalles del hallazgo.
Si tu controlador de admisión funciona, pero rechaza la implementación del objeto DaemonSet de Container Threat Detection, configura tu admisión controlador para permitir que el Agente de servicio para Container Threat Detection para administrar objetos en el espacio de nombres
kube-system.El agente de servicio para Container Threat Detection debe poder administrar objetos de Kubernetes específicos.
Para obtener más información sobre el uso de controladores de admisión con Detección de amenazas a contenedores, consulta PodSecurityPolicy y controladores de admisión
Confirma la corrección
Después de corregir el error, Security Command Center intenta habilitar la Detección de amenazas a contenedores. Después de esperar a que se complete la habilitación, puedes verificar si Container Threat Detection está activo siguiendo estos pasos:
Ve a la página Cargas de trabajo de Kubernetes Engine en la consola.
Si es necesario, selecciona Mostrar cargas de trabajo del sistema.
En la página Cargas de trabajo, primero filtra las cargas de trabajo por el nombre del clúster.
Busca la carga de trabajo
container-watcher. Sicontainer-watcheres y su estado muestraOK; la detección de amenazas a contenedores está activa.
KTD image pull failure
Nombre de categoría en la API: KTD_IMAGE_PULL_FAILURE
No se puede habilitar Container Threat Detection en el clúster porque un
La imagen del contenedor no se puede extraer (descargar) de gcr.io,
el host de imagen de Container Registry.
La extracción o descarga de una imagen de contenedor puede fallar en cualquiera de posibles motivos.
Verifica lo siguiente:
- Asegúrate de que la configuración de la red de VPC, DNS o firewall no esté bloqueada
Acceso a la red desde el clúster al host de imágenes
gcr.io - Si el clúster es privado, asegúrate de que el Acceso privado a Google
esté habilitado para permitir el acceso al host de imágenes de
gcr.io. - Si la configuración de red o el Acceso privado a Google no son la causa del consulta la documentación de solución de problemas de GKE ImagePullBackOff y ErrImagePull errores.
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
KTD service account missing permissions
Nombre de categoría en la API: KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS
La cuenta de servicio de Container Threat Detection que se identifica en el Faltan detalles de los hallazgos en la consola de Google Cloud permisos. Todos los hallazgos de Container Threat Detection o algunos de ellos no se que se envían a Security Command Center.
Para solucionar el problema, sigue estos pasos:
Otorga el Agente de servicio de Container Threat Detection rol (
roles/containerthreatdetection.serviceAgent) al cuenta de servicio. Para obtener más información, consulta Otorga un solo rol.De manera alternativa, si deseas utilizar una configuración rol, asegúrate de que tiene los permisos en el rol de agente de servicio de Container Threat Detection.
Asegúrate de que no haya IAM denegación de servicio que impiden que la cuenta de servicio use cualquiera de los permisos del rol de agente de servicio de Container Threat Detection. Si hay una política de denegación que bloquea el acceso, agrega la cuenta de servicio como una excepción principal en la política de denegación.
Para obtener más información sobre la cuenta de servicio de Container Threat Detection y el rol y los permisos que requiere, consulta
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
Misconfigured Cloud Logging Export
Nombre de categoría en la API: MISCONFIGURED_CLOUD_LOGGING_EXPORT
El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Como resultado, Security Command Center no puede enviar resultados a Logging.
Realiza una de las siguientes acciones para solucionar este problema:
Si aún no ha transcurrido el período de recuperación, restablece el proyecto que falta.
Si el proyecto se borró de forma permanente, configura un proyecto nuevo o existente para las exportaciones de Logging.
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
VPC Service Controls Restriction
Nombre de categoría en la API: VPC_SC_RESTRICTION
Las estadísticas del estado de la seguridad no pueden producir ciertos resultados para un proyecto, ya que está protegido por un perímetro de servicio. Debes otorgar a la cuenta de servicio de Security Command Center acceso entrante al perímetro de servicio.
El identificador de la cuenta de servicio es una dirección de correo electrónico con la siguiente formato:
service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com
Reemplaza lo siguiente:
- RESOURCE_KEYWORD: La palabra clave
orgoproject, según el recurso que sea propietario de la cuenta de servicio - RESOURCE_ID: Uno de los siguientes:
- el ID de la organización si la cuenta de servicio es propiedad de la organización
- el Número de proyecto si la cuenta de servicio es propiedad de un proyecto
Si tienes cuentas de servicio a nivel de la organización y a nivel del proyecto, aplica la solución a ambos.
Para solucionar el problema, sigue estos pasos.
Paso 1: Determina qué perímetro de servicio bloquea las estadísticas del estado de seguridad
- Obtén el ID único de los Controles del servicio de VPC y el ID del proyecto asociado con el resultado:
- Para ver los detalles del resultado, haz clic en el nombre de su categoría.
- En el campo Descripción, copia el valor único de Controles del servicio de VPC
ID, por ejemplo,
5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ. - En el campo Ruta de acceso del recurso, copia el ID del proyecto.
Obtén el ID de la política de acceso y el nombre del perímetro de servicio:
En la consola de Google Cloud, ve a la página Explorador de registros.
En la barra de herramientas, selecciona el proyecto asociado al resultado.
En el cuadro de búsqueda, ingresa el ID único del error.
Si el error no aparece en los resultados de la consulta, extiende el cronograma en Histograma y, luego, vuelve a ejecutar la consulta.
Haz clic en el error que aparece.
Haz clic en Expand nested fields.
Copia el valor del campo
servicePerimeterName. El valor tiene el siguiente formato:accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER
En este ejemplo, el nombre completo del recurso del perímetro de servicio es
accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured.- ACCESS_POLICY es el ID de la política de acceso, por ejemplo,
540107806624. - SERVICE_PERIMETER es el nombre del perímetro de servicio, por ejemplo,
vpc_sc_misconfigured.
- ACCESS_POLICY es el ID de la política de acceso, por ejemplo,
Para obtener el nombre visible que corresponde al ID de la política de acceso, usa con gcloud CLI.
Si no puedes realizar consultas a nivel de la organización, pídele a tu administrador para realizar este paso.
gcloud access-context-manager policies list --organization ORGANIZATION_IDReemplaza ORGANIZATION_ID por el ID numérico de la organización.
Obtendrás un resultado similar al siguiente:
NAME ORGANIZATION SCOPES TITLE ETAG 540107806624 549441802605 default policy 2a9a7e30cbc14371 352948212018 549441802605 projects/393598488212 another_policy d7b47a9ecebd4659
El nombre visible es el título que corresponde al ID de la política de acceso. Toma nota del nombre visible de la política de acceso y del nombre del perímetro de servicio. Los necesitarás en la próxima sección.
Paso 2: Crea una regla de entrada que otorgue acceso al proyecto
En esta sección, se requiere que tengas acceso a nivel de la organización para lo siguiente: los Controles del servicio de VPC. Si no tienes acceso a nivel de la organización, pídele a tu administrador realice estos pasos.
En los próximos pasos, crearás una regla de entrada en el perímetro de servicio que identificaste en el paso 1.
Para otorgar a una cuenta de servicio acceso entrante a un perímetro de servicio, sigue estos pasos.
Ve a los Controles del servicio de VPC.
En la barra de herramientas, selecciona tu organización de Google Cloud.
En la lista desplegable, selecciona la política de acceso que contiene el perímetro de servicio al que deseas otorgar acceso.
Los perímetros de servicio asociados con la política de acceso aparecen en la lista.
Haz clic en el nombre del perímetro de servicio.
Haz clic en Editar perímetro.
En el menú de navegación, haz clic en Política de entrada.
Haga clic en Agregar regla.
Configura la regla de la siguiente manera:
Atributos FROM del cliente de la API
- En Fuente, selecciona Todas las fuentes.
- En Identidad, selecciona Identidades seleccionadas.
- En el campo Agregar usuario o cuenta de servicio, haz clic en Seleccionar.
- Ingresa la dirección de correo electrónico de la cuenta de servicio. Si tienes tanto a nivel de organización y de proyecto, agrega ambas.
- Haz clic en Guardar.
Atributos TO de los recursos y servicios de GCP
En Proyecto, selecciona Todos los proyectos o selecciona el proyecto especificado en el resultado.
En Servicios, selecciona Todos los servicios o cada una de las siguientes opciones: servicios individuales que Security Health Analytics requiere:
- API de BigQuery
- API de Autorización Binaria
- API de Cloud Logging
- Cloud Monitoring API
- API de Compute Engine
- API de Kubernetes Engine
Si un perímetro de servicio restringe el acceso a un servicio Security Health Analytics no puede generar resultados para ese servicio.
En el menú de navegación, haz clic en Guardar.
Para obtener más información, consulta Configura políticas de entrada y salida.
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
Security Command Center service account missing permissions
Nombre de categoría en la API: SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS
El agente de servicio de Security Command Center le faltan los permisos necesarios para funcionar correctamente.
El identificador de la cuenta de servicio es una dirección de correo electrónico con la siguiente formato:
service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com
Reemplaza lo siguiente:
- RESOURCE_KEYWORD: La palabra clave
orgoproject, según el recurso que sea propietario de la cuenta de servicio - RESOURCE_ID: Uno de los siguientes:
- el ID de la organización si la cuenta de servicio es propiedad de la organización
- el Número de proyecto si la cuenta de servicio es propiedad de un proyecto
Si tienes cuentas de servicio a nivel de la organización y a nivel del proyecto, aplica la solución a ambos.
Para solucionar el problema, sigue estos pasos:
Otorgar al agente de servicio del centro de seguridad (
roles/securitycenter.serviceAgent) a la cuenta de servicio.Para obtener más información, consulta Cómo otorgar un solo .
De manera alternativa, si deseas utilizar una configuración rol, asegúrate de que tiene los permisos en el servicio del centro de seguridad y el rol de Agente de servicio.
Asegúrate de que no haya IAM denegación de servicio que impiden que la cuenta de servicio use cualquiera de los permisos en los roles requeridos. Si hay una política de denegación que bloquea el acceso, agrega la cuenta de servicio como una excepción principal en la política de denegación.
Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.
¿Qué sigue?
Obtén más información sobre los errores de Security Command Center.