Memperbaiki error Security Command Center

Halaman ini menyediakan daftar panduan dan teknik referensi untuk memperbaiki error SCC.

Sebelum memulai

Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan, serta untuk mengakses atau memodifikasi resource Google Cloud. Jika Anda mengalami error izin saat mengakses Security Command Center di Konsol Google Cloud, minta bantuan administrator Anda. Untuk mempelajari peran, lihat Kontrol akses. Untuk mengatasi error resource, baca dokumentasi untuk produk yang terpengaruh.

Meninjau temuan di konsol Google Cloud

Error SCC adalah error konfigurasi yang mencegah Security Command Center berfungsi seperti yang diharapkan. Sumber Security Command Center menghasilkan temuan ini.

Selama Security Command Center disiapkan untuk organisasi atau project Anda, Security Command Center akan menghasilkan temuan error saat mendeteksinya. Anda dapat melihat error SCC di Konsol Google Cloud.

Gunakan prosedur berikut untuk meninjau temuan di konsol Google Cloud:

1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

   Buka Temuan

2. Pilih organisasi atau project Google Cloud Anda.

   

3. Di bagian Quick filters, di subbagian Source display name, pilih Security Command Center.

4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel penemuan detail akan diperluas untuk menampilkan informasi, termasuk hal berikut:

   • Ringkasan buatan AI^Pratinjau: Penjelasan yang dihasilkan secara dinamis terkait masalah yang ditemukan
   • Deskripsi: Penjelasan singkat tentang error yang terdeteksi
   • Waktu peristiwa: saat temuan terjadi
   • Nama tampilan resource: resource yang terpengaruh
   • Langkah berikutnya: petunjuk cara mengatasi error
   • Menemukan nama kanonis: ID unik untuk temuan
   • Nama tampilan sumber: Security Command Center

5. Opsional: Untuk melihat definisi JSON lengkap temuan, klik tab JSON.

   Panel ini menampilkan definisi JSON temuan, tempat Anda dapat memeriksa semua atribut temuan.

Penonaktifan error SCC setelah perbaikan

Setelah Anda memperbaiki temuan SCC error, Security Command Center akan otomatis menetapkan status temuan ke INACTIVE selama pemindaian berikutnya. Waktu yang diperlukan Security Command Center untuk menetapkan status temuan yang diperbaiki ke INACTIVE bergantung pada kapan Anda memperbaiki temuan tersebut dan jadwal pemindaian yang mendeteksi error.

Guna mengetahui informasi tentang frekuensi pemindaian untuk temuan SCC error, lihat ringkasan temuan di Pendeteksi error.

Memperbaiki error SCC

Bagian ini mencakup petunjuk perbaikan untuk semua error SCC.

API disabled

Nama kategori di API: API_DISABLED

Salah satu layanan berikut dinonaktifkan untuk project:

• Container Threat Detection
• Web Security Scanner

Layanan yang dinonaktifkan tidak dapat menghasilkan temuan.

Untuk memperbaiki temuan ini, ikuti langkah-langkah berikut:

1. Tinjau temuan untuk menentukan API mana yang dinonaktifkan.

2. Aktifkan API:

   • Mengaktifkan Container Threat Detection API.

     Mengaktifkan API

   • Aktifkan Web Security Scanner API.

     Mengaktifkan API

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

APS no resource value configs match any resources

Nama kategori di API: APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Konfigurasi nilai resource ditentukan untuk simulasi jalur serangan, tetapi tidak cocok dengan instance resource mana pun di lingkungan Anda. Simulasi menggunakan set resource bernilai tinggi default.

Konfigurasi nilai resource mungkin tidak cocok dengan resource apa pun karena alasan berikut, yang diidentifikasi dalam deskripsi temuan di Konsol Google Cloud:

• Tidak ada konfigurasi nilai resource yang cocok dengan instance resource apa pun.
• Satu atau beberapa konfigurasi nilai resource yang menentukan NONE akan menggantikan setiap konfigurasi valid lainnya.
• Semua konfigurasi nilai resource yang ditentukan menentukan nilai NONE.

Untuk memperbaiki temuan ini, ikuti langkah-langkah berikut:

1. Buka halaman Simulasi jalur serangan di Settings Security Command Center:

   Buka Settings

2. Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka dengan konfigurasi yang ada ditampilkan.

3. Di kolom Resource value pada daftar Resource value configurations, periksa nilai None.

4. Untuk konfigurasi apa pun yang menentukan None, lakukan hal berikut:

   1. Klik nama konfigurasi nilai resource apa pun untuk menampilkan spesifikasi konfigurasi.

   2. Jika perlu, edit spesifikasi atribut resource untuk mengurangi jumlah instance resource yang cocok dengan konfigurasi.

5. Jika masalah tidak disebabkan oleh spesifikasi None yang terlalu luas, lakukan hal berikut:

   1. Klik nama setiap konfigurasi yang menentukan nilai HIGH, MEDIUM, atau LOW untuk menampilkan spesifikasi atribut resource.

   2. Tinjau dan edit konfigurasi untuk memperbaiki cakupan, jenis resource, tag, atau spesifikasi label agar sesuai dengan resource yang diinginkan.

6. Jika perlu, buat konfigurasi nilai resource baru.

Perubahan Anda akan diterapkan ke simulasi jalur serangan berikutnya.

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

APS resource value assignment limit exceeded

Nama kategori di API: APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Pada simulasi jalur serangan terakhir, jumlah instance resource bernilai tinggi, seperti yang diidentifikasi oleh Konfigurasi nilai resource, melebihi batas 1.000 instance resource dalam set resource bernilai tinggi. Akibatnya, Security Command Center mengecualikan kelebihan jumlah instance dari set resource bernilai tinggi.

Untuk memperbaiki temuan ini, Anda dapat mencoba tindakan berikut:

• Gunakan tag atau label untuk mengurangi jumlah kecocokan untuk jenis resource tertentu atau dalam cakupan yang ditentukan. Tag atau label harus diterapkan ke instance resource sebelum dapat dicocokkan dengan konfigurasi nilai resource.
• Buat konfigurasi nilai resource yang menetapkan nilai resource NONE ke subset resource yang ditentukan dalam konfigurasi lain. Menentukan nilai NONE akan menggantikan konfigurasi lainnya dan mengecualikan instance resource dari set resource bernilai tinggi.
• Kurangi spesifikasi atribut resource cakupan dalam konfigurasi nilai resource.
• Hapus konfigurasi nilai resource yang menetapkan nilai LOW.

Untuk petunjuk tentang cara membuat, mengedit, atau menghapus konfigurasi nilai resource, lihat Menentukan dan mengelola set resource bernilai tinggi.

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

GKE service account missing permissions

Nama kategori di API: GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Container Threat Detection tidak dapat menghasilkan temuan untuk cluster Google Kubernetes Engine, karena akun layanan default GKE di cluster tersebut tidak memiliki izin. Hal ini mencegah Container Threat Detection berhasil diaktifkan di cluster.

Untuk memperbaiki temuan ini, pulihkan akun layanan default GKE, dan pastikan akun layanan memiliki peran Agen Layanan Kubernetes Engine (roles/container.serviceAgent).

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

KTD blocked by admission controller

Nama kategori di API: KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Container Threat Detection tidak dapat diaktifkan di cluster karena pengontrol penerimaan pihak ketiga mencegah deployment objek DaemonSet Kubernetes yang diperlukan.

Untuk memperbaiki temuan ini, pastikan pengontrol penerimaan yang berjalan di cluster mengizinkan Container Threat Detection untuk membuat objek Kubernetes yang diperlukan.

Memeriksa pengontrol akses masuk

Periksa untuk melihat apakah pengontrol penerimaan di cluster Anda menolak deployment objek Container Threat Detection DaemonSet.

1. Dalam deskripsi temuan dalam menemukan detail di Google Cloud Console, tinjau pesan error yang disertakan dari Kubernetes. Pesan error Kubernetes harus mirip dengan pesan berikut:

   generic::failed_precondition: incompatible admission webhook:
   admission webhook "example.webhook.sh" denied the request:
   [example-constraint] you must provide labels: {"example-required-label"}.
   

2. Di Log Audit Cloud Aktivitas Admin untuk project yang berisi cluster Anda, cari pesan error yang ditampilkan di kolom Description detail temuan.

3. Jika pengontrol penerimaan Anda berfungsi, tetapi menolak deployment objek DaemonSet Deteksi Ancaman Container, konfigurasikan pengontrol akses masuk agar akun layanan yang dikelola Google untuk Container Threat Detection dapat mengelola objek dalam namespace kube-system.

   Akun layanan untuk Container Threat Detection harus dapat mengelola objek Kubernetes tertentu.

Untuk informasi selengkapnya tentang penggunaan pengontrol akses dengan Container Threat Detection, lihat PodSecurityPolicy dan Pengontrol Penerimaan.

Konfirmasi perbaikan

Setelah Anda memperbaiki error, Security Command Center akan otomatis mencoba mengaktifkan Container Threat Detection. Setelah menunggu pengaktifan selesai, Anda dapat memeriksa apakah Container Threat Detection sudah aktif dengan mengikuti langkah-langkah berikut:

1. Buka halaman Workloads Kubernetes Engine di konsol.

   Buka workload Kubernetes

2. Jika perlu, pilih Tampilkan workload sistem.

3. Di halaman Workloads, filter beban kerja terlebih dahulu berdasarkan nama cluster.

4. Cari beban kerja container-watcher. Jika container-watcher ada dan statusnya menunjukkan OK, Container Threat Detection akan aktif.

KTD image pull failure

Nama kategori di API: KTD_IMAGE_PULL_FAILURE

Container Threat Detection tidak dapat diaktifkan di cluster karena image container yang diperlukan tidak dapat diambil (didownload) dari gcr.io, host image Container Registry.

Pengambilan atau download image container dapat gagal karena berbagai kemungkinan alasan.

Periksa hal-hal berikut:

• Pastikan setelan jaringan VPC, DNS, atau firewall Anda tidak memblokir akses jaringan dari cluster ke host image gcr.io.
• Jika cluster bersifat pribadi, pastikan Akses Google Pribadi diaktifkan untuk mengizinkan akses ke host gambar gcr.io.
• Jika setelan jaringan atau Akses Google Pribadi bukan penyebab kegagalan, lihat dokumentasi pemecahan masalah GKE untuk error ImagePullBackOff dan ErrImagePull.

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

KTD service account missing permissions

Nama kategori di API: KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Akun layanan Container Threat Detection yang diidentifikasi dalam detail temuan di Konsol Google Cloud tidak memiliki izin yang diperlukan. Semua atau beberapa temuan Container Threat Detection tidak dikirim ke Security Command Center.

Untuk memperbaiki temuan ini, ikuti langkah-langkah berikut:

1. Berikan peran Container Threat Detection Service Agent (roles/containerthreatdetection.serviceAgent) ke akun layanan. Untuk mengetahui informasi selengkapnya, lihat Memberikan satu peran.

   Atau, jika Anda ingin menggunakan peran khusus, pastikan peran tersebut memiliki izin dalam peran Container Threat Detection Service Agent.

2. Pastikan tidak ada kebijakan tolak IAM yang mencegah akun layanan menggunakan izin apa pun dalam peran Container Threat Detection Service Agent. Jika ada akses yang memblokir kebijakan penolakan, tambahkan akun layanan sebagai utama pengecualian dalam kebijakan penolakan.

Untuk informasi lebih lanjut tentang akun layanan Container Threat Detection serta peran dan izin yang diperlukan, lihat

• Izin IAM yang diperlukan

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

Misconfigured Cloud Logging Export

Nama kategori di API: MISCONFIGURED_CLOUD_LOGGING_EXPORT

Project yang dikonfigurasi untuk ekspor berkelanjutan ke Cloud Logging tidak tersedia. Akibatnya, Security Command Center tidak dapat mengirim temuan ke Logging.

Untuk memperbaiki temuan ini, lakukan salah satu hal berikut:

• Jika periode pemulihan project belum berlalu, pulihkan project yang hilang.

• Jika project telah dihapus secara permanen, konfigurasi project baru atau yang sudah ada untuk ekspor Logging.

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

VPC Service Controls Restriction

Nama kategori di API: VPC_SC_RESTRICTION

Security Health Analytics tidak dapat menghasilkan temuan tertentu untuk sebuah project, karena project tersebut dilindungi oleh perimeter layanan. Anda harus memberikan akses masuk ke perimeter layanan untuk akun layanan Security Command Center.

ID akun layanan adalah alamat email dengan format berikut:

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Ganti kode berikut:

• RESOURCE_KEYWORD: kata kunci org atau project, bergantung pada resource yang memiliki akun layanan tersebut
• RESOURCE_ID: salah satu dari yang berikut:
  • ID organisasi jika akun layanan dimiliki oleh organisasi
  • nomor project jika akun layanan dimiliki oleh project

Jika Anda memiliki akun layanan tingkat organisasi dan tingkat project, terapkan perbaikan pada keduanya.

Untuk memperbaiki temuan ini, ikuti langkah-langkah berikut.

Langkah 1: Tentukan perimeter layanan mana yang memblokir Security Health Analytics

1. Dapatkan ID unik Kontrol Layanan VPC dan project ID yang terkait dengan temuan:
   1. Untuk melihat detail temuan, klik nama kategorinya.
   2. Di kolom Description, salin ID unik Kontrol Layanan VPC—misalnya, 5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ.
   3. Di kolom Resource path, salin ID project.

2. Dapatkan ID kebijakan akses dan nama perimeter layanan:

   1. Di Konsol Google Cloud, buka halaman Logs Explorer.

      Buka Logs Explorer

   2. Pada toolbar, pilih project yang terkait dengan temuan tersebut.

      

   3. Di kotak penelusuran, masukkan ID unik error.

      

      Jika error tidak muncul dalam hasil kueri, perpanjang linimasa di Histogram, lalu jalankan kembali kueri.

   4. Klik kesalahan yang muncul.

   5. Klik Luaskan kolom bertingkat.

   6. Salin nilai kolom servicePerimeterName. Nilai ini memiliki format berikut:

      accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER

      Dalam contoh ini, nama resource lengkap perimeter layanan adalah accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured.

      • ACCESS_POLICY adalah ID kebijakan akses—misalnya, 540107806624.
      • SERVICE_PERIMETER adalah nama perimeter layanan—misalnya, vpc_sc_misconfigured.

      

   7. Untuk mendapatkan nama tampilan yang sesuai dengan ID kebijakan akses, gunakan gcloud CLI.

      Jika Anda tidak dapat membuat kueri tingkat organisasi, minta administrator untuk melakukan langkah ini.

      gcloud access-context-manager policies list --organization ORGANIZATION_ID
      

      Ganti ORGANIZATION_ID dengan ID numerik organisasi Anda.

      Anda akan mendapatkan output yang mirip dengan berikut ini:

      NAME          ORGANIZATION  SCOPES                 TITLE           ETAG
      540107806624  549441802605                         default policy  2a9a7e30cbc14371
      352948212018  549441802605  projects/393598488212  another_policy  d7b47a9ecebd4659

      Nama tampilan adalah judul yang sesuai dengan ID kebijakan akses. Catat nama tampilan kebijakan akses dan nama perimeter layanan. Anda akan membutuhkannya di bagian berikutnya.

Langkah 2: Buat aturan masuk yang memberikan akses ke project

Bagian ini mengharuskan Anda memiliki akses tingkat organisasi ke Kontrol Layanan VPC. Jika Anda tidak memiliki akses tingkat organisasi, minta administrator untuk melakukan langkah-langkah ini.

Pada langkah-langkah berikut, Anda akan membuat aturan masuk pada perimeter layanan yang Anda identifikasi pada langkah 1.

Untuk memberikan akses masuk ke perimeter layanan pada akun layanan, ikuti langkah-langkah berikut.

1. Buka Kontrol Layanan VPC.

   Buka Kontrol Layanan VPC

2. Di toolbar, pilih organisasi Google Cloud Anda.

   

3. Di menu drop-down, pilih kebijakan akses yang berisi perimeter layanan yang ingin Anda berikan akses.

   

   Perimeter layanan yang terkait dengan kebijakan akses akan muncul dalam daftar.

4. Klik nama perimeter layanan.

5. Klik edit Edit perimeter

6. Pada menu navigasi, klik Kebijakan Ingress.

7. Klik Tambahkan Aturan.

8. Konfigurasikan aturan sebagai berikut:

   Atribut FROM klien API

   1. Untuk Sumber, pilih Semua sumber.
   2. Untuk Identitas, pilih Identitas yang dipilih.
   3. Di kolom Tambahkan Akun Pengguna/Layanan, klik Pilih.
   4. Masukkan alamat email akun layanan. Jika Anda memiliki akun layanan level organisasi dan level project, tambahkan keduanya.
   5. Klik Simpan.

   Atribut KEPADA layanan/resource GCP

   1. Untuk Project, pilih All projects, atau pilih project yang ditentukan dalam temuan.

   2. Untuk Layanan, pilih Semua layanan atau pilih setiap layanan individual berikut yang diperlukan Security Health Analytics:

      • BigQuery API
      • Binary Authorization API
      • Cloud Logging API
      • API Cloud Monitoring
      • Compute Engine API
      • Kubernetes Engine API

   Jika perimeter layanan membatasi akses ke layanan yang diperlukan, Security Health Analytics tidak dapat menghasilkan temuan untuk layanan tersebut.

9. Di menu navigasi, klik Simpan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kebijakan traffic masuk dan keluar.

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

Security Command Center service account missing permissions

Nama kategori di API: SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Akun layanan yang dikelola Google Security Command Center tidak memiliki izin yang diperlukan untuk berfungsi dengan baik.

ID akun layanan adalah alamat email dengan format berikut:

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Ganti kode berikut:

• RESOURCE_KEYWORD: kata kunci org atau project, bergantung pada resource yang memiliki akun layanan tersebut
• RESOURCE_ID: salah satu dari yang berikut:
  • ID organisasi jika akun layanan dimiliki oleh organisasi
  • nomor project jika akun layanan dimiliki oleh project

Jika Anda memiliki akun layanan tingkat organisasi dan tingkat project, terapkan perbaikan pada keduanya.

Untuk memperbaiki temuan ini, ikuti langkah-langkah berikut:

1. Berikan peran Security Center Service Agent (roles/securitycenter.serviceAgent) ke akun layanan.

   Untuk mengetahui informasi selengkapnya, lihat Memberikan satu peran.

   Atau, jika Anda ingin menggunakan peran kustom, pastikan peran tersebut memiliki izin pada peran Security Center Service Agent.

2. Pastikan tidak ada kebijakan tolak IAM yang mencegah akun layanan menggunakan izin apa pun dalam peran yang diperlukan. Jika ada akses yang memblokir kebijakan penolakan, tambahkan akun layanan sebagai utama pengecualian dalam kebijakan penolakan.

read_more Pelajari setelan pemindaian dan aset yang didukung dari jenis temuan ini.

Langkah selanjutnya

Pelajari error Security Command Center.