Correzione degli errori di Security Command Center

Questa pagina fornisce un elenco di guide di riferimento e tecniche per correggere gli errori Errori SCC.

Prima di iniziare

Per visualizzare o modificare i ruoli IAM (Identity and Access Management) necessari, devi disporre di ruoli adeguati i risultati e accedere alle risorse Google Cloud o modificarle. Se riscontri errori di autorizzazione durante l'accesso a Security Command Center nel Nella console Google Cloud, rivolgiti all'amministratore per ricevere assistenza. Per ulteriori informazioni sui ruoli, vedi Controllo dell'accesso. Per risolvere gli errori delle risorse, leggi la documentazione relativa ai prodotti interessati.

Esamina i risultati nella console Google Cloud

Gli errori SCC sono relativi alla configurazione errori che impediscono a Security Command Center di funzionare come previsto. La Security Command Center origine genera questi risultati.

Finché Security Command Center è configurato per il tuo organizzazione o progetto, genera risultati di errore non appena li rileva. Puoi visualizzare gli errori SCC nella console Google Cloud.

Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud:

1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

   Vai ai risultati

2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.

   

3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, Seleziona Security Command Center.

4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto Category. Il riquadro dei dettagli del risultato si espande per mostrare informazioni, tra cui:

   • Riepilogo creato con l'IA^Anteprima: Una spiegazione generata dinamicamente del problema rilevato
   • Descrizione: una breve spiegazione dell'errore rilevato
   • Ora evento: quando si è verificato il risultato.
   • Nome visualizzato della risorsa: la risorsa interessata
   • Passaggi successivi: istruzioni su come risolvere l'errore.
   • Nome canonico risultati: un identificatore univoco del risultato
   • Nome visualizzato dell'origine: Security Command Center

5. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su JSON .

   Il riquadro mostra la definizione JSON del risultato, dove puoi ispezionare tutti gli attributi del risultato.

Disattivazione degli errori SCC dopo la correzione

Dopo aver corretto un risultato di SCC error, Security Command Center imposta automaticamente lo stato del risultato su INACTIVE durante la scansione successiva. Tempo necessario a Security Command Center per impostare lo stato di una correzione Il risultato per INACTIVE dipende da quando correggi il risultato e dalla pianificazione della scansione che rileva l'errore.

Per informazioni sulla frequenza di scansione per un risultato SCC error, vedi il riepilogo del risultato in Rilevatori di errori:

Correggere gli errori SCC

Questa sezione include le istruzioni per la correzione di tutti gli errori SCC.

API disabled

Nome categoria nell'API: API_DISABLED

Uno dei seguenti servizi è disabilitato per il progetto:

• Rilevamento delle minacce di container
• Web Security Scanner

Il servizio disabilitato non può generare risultati.

Per correggere questo risultato:

1. Esamina il risultato per determinare quale API è disabilitata.

2. Abilita l'API:

   • Abilita l'API Container Threat Detection.

     Abilitare l'API

   • Consente di attivare l'API Web Security Scanner.

     Abilitare l'API

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

APS no resource value configs match any resources

Nome categoria nell'API: APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Configurazioni dei valori delle risorse sono definiti per le simulazioni del percorso di attacco, ma non corrispondono di risorse cloud nel tuo ambiente. Le simulazioni utilizzano di risorse di alto valore predefinito.

Le configurazioni dei valori delle risorse potrebbero non corrispondere a nessuna risorsa per il seguenti, che sono identificati nella descrizione del risultato Console Google Cloud:

• Nessuna delle configurazioni dei valori delle risorse corrisponde a nessuna istanza di risorsa.
• Una o più configurazioni dei valori delle risorse che specificano l'override di NONE ogni un'altra configurazione valida.
• Tutte le configurazioni definite per i valori delle risorse specificano un valore NONE.

Per correggere questo risultato:

1. Vai alla pagina Simulazione del percorso di attacco in Security Command Center Impostazioni:

   Vai alle impostazioni

2. Seleziona la tua organizzazione. Si apre la pagina Simulazione del percorso di attacco con le configurazioni esistenti visualizzate.

3. Nella colonna Valore risorsa della sezione Configurazioni dei valori della risorsa dell'elenco, verifica i valori None.

4. Per qualsiasi configurazione che ha specificato None, segui questi passaggi:

   1. Fai clic sul nome della configurazione di qualsiasi valore della risorsa per visualizzare specifiche della configurazione.

   2. Se necessario, modifica le specifiche degli attributi della risorsa. per ridurre il numero di istanze di risorse corrispondenti alla configurazione.

5. Se il problema non è causato da una specifica None troppo ampia, procedi nel seguente modo:

   1. Fai clic sui nomi di ogni configurazione che specifica un valore HIGH. MEDIUM o LOW per visualizzare le specifiche degli attributi della risorsa.

   2. Rivedi e, se necessario, modifica la configurazione per correggere l'ambito. specifica del tipo di risorsa, del tag o dell'etichetta in modo che corrispondano Google Cloud.

6. Se necessario, crea una nuova configurazione per il valore delle risorse.

Le modifiche vengono applicate alla successiva simulazione del percorso di attacco.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

APS resource value assignment limit exceeded

Nome categoria nell'API: APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificate dall' Configurazioni dei valori delle risorse, è stato superato il limite di 1000 istanze di risorse in un un set di risorse di alto valore. Di conseguenza, Security Command Center ha escluso il di istanze del set di risorse di alto valore.

Per correggere questo risultato, puoi provare le seguenti azioni:

• Utilizzare i tag o etichette per ridurre il numero di corrispondenze per un determinato tipo di risorsa o all'interno di un ambito specificato. I tag o le etichette devono essere applicati risorse prima che possano essere abbinate da un valore di risorsa configurazione.
• Crea una configurazione dei valori delle risorse che assegni un valore delle risorse di NONE a un sottoinsieme delle risorse specificate un'altra configurazione. L'indicazione del valore NONE sostituisce qualsiasi altra configurazione e esclude le istanze di risorse dal set di risorse di alto valore.
• Riduci l'attributo risorsa ambito nella configurazione dei valori delle risorse.
• Elimina le configurazioni dei valori delle risorse che assegnano un valore LOW.

Per istruzioni su come creare, modificare o eliminare un valore di risorsa vedi Definire e gestire un set di risorse di alto valore.

read_more Scopri di più su questo tipo di risultato asset e impostazioni di scansione supportati.

CIEM service account missing permissions

Nome categoria nell'API: CIEM_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Manca l'account di servizio utilizzato dal servizio CIEM autorizzazioni aggiuntive. CIEM non può generare una o più categorie di risultati.

Per correggere questo risultato, ripristina i ruoli IAM richiesti nell'account di servizio CIEM:

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM

2. Seleziona l'account di servizio CIEM della tua organizzazione. Il servizio dell'account è un indirizzo email con il seguente formato:

   service-org-ORGANIZATION_ID@gcp-sa-ciem.iam.gserviceaccount.com
   

   Sostituisci ORGANIZATION_ID con l'ID numerico della tua organizzazione.

   Se non vedi l'account di servizio in elenco, fai clic su CONCEDI L'ACCESSO nella nella parte superiore della pagina e inserisci l'account di servizio come nuova entità.

3. Concedi il ruolo di Agente di servizio CIEM (roles/ciem.serviceAgent) all'account di servizio. Se utilizzi ruoli personalizzati, assicurati che includano le seguenti autorizzazioni:

   • cloudasset.assets.exportResource
   • cloudasset.assets.exportIamPolicy

4. Fai clic su Salva.

CIEM AWS CloudTrail configuration error

Nome categoria nell'API: AWS_CLOUDTRAIL_CONFIGURATION_ERROR

Tutti o alcuni risultati AWS di CIEM non vengono inviati a Security Command Center. Il feed AWS CloudTrail non è riuscito e non è possibile eseguirlo a causa di un errore di configurazione.

Le cause possibili di questo risultato sono tre:

• Feed AWS CloudTrail mancante

  Per risolvere il problema, crea e configura un feed nella console Security Operations per importare AWS Log di CloudTrail. Imposta la coppia chiave-valore Etichetta di importazione su CIEM e TRUE.

  Per istruzioni sulla creazione di un feed, consulta la sezione Creare il feed feed nella documentazione di Google SecOps.

• Errori nella configurazione del feed

  Assicurati di aver configurato correttamente il feed.

  Per configurare un feed, consulta Configurare il feed in Google Security Operations per importare AWS log nella documentazione di Google SecOps.

• Configurazione incompleta di AWS CloudTrail

  Per risolvere il problema, configura il bucket S3 in AWS CloudTrail per registrare sia eventi di dati sia eventi di gestione da tutti i servizi AWS in cui intendi utilizzare CIEM.

  Per configurare CloudTrail, consulta Configurare AWS CloudTrail (o altro assistenza) nella documentazione di Google SecOps.

GKE service account missing permissions

Nome categoria nell'API: GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché Nel cluster manca l'account di servizio predefinito di GKE autorizzazioni aggiuntive. Questo impedisce che Container Threat Detection venga abilitato correttamente su nel cluster.

Per correggere questo risultato, ripristinare l'account di servizio predefinito di GKE e confermare che l'account di servizio disponga dell'agente di servizio Kubernetes Engine. (roles/container.serviceAgent).

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

KTD blocked by admission controller

Nome categoria nell'API: KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Impossibile abilitare Container Threat Detection su un cluster a causa di ammissione impedisce il deployment dell'istanza richiesta Oggetto DaemonSet Kubernetes.

Per correggere questo risultato, assicurati che i controller di ammissione sono in esecuzione sul cluster per consentire a Container Threat Detection di creare oggetti Kubernetes.

Controllare il controller di ammissione

Verifica se il controller di ammissione nel cluster sta negando del deployment dell'oggetto Container Threat Detection DaemonSet.

1. Nella descrizione del risultato, nei dettagli del risultato Console Google Cloud, esamina il messaggio di errore di Kubernetes incluso. Il messaggio di errore di Kubernetes dovrebbe essere simile al seguente messaggio:

   generic::failed_precondition: incompatible admission webhook:
   admission webhook "example.webhook.sh" denied the request:
   [example-constraint] you must provide labels: {"example-required-label"}.
   

2. Nell'attività di amministrazione di Cloud Audit Logs per il progetto che contiene il tuo cluster, cerca il messaggio di errore nel campo Description dei dettagli del risultato.

3. Se il controller di ammissione funziona, ma rifiuta il deployment dell'oggetto DaemonSet Container Threat Detection, configura il tuo per consentire agente di servizio per Container Threat Detection per gestire gli oggetti nello spazio dei nomi kube-system.

   L'agente di servizio per Container Threat Detection deve essere in grado di gestire di oggetti Kubernetes specifici.

Per ulteriori informazioni sull'utilizzo dei controller di ammissione con Per Container Threat Detection, consulta PodSecurityPolicy e Controller di ammissione.

Conferma la correzione

Una volta corretto l'errore, Security Command Center tenta automaticamente di abilitare Container Threat Detection. Dopo aver atteso il completamento dell'abilitazione, puoi verificare se Container Threat Detection è attivo seguendo questa procedura:

1. Vai alla pagina Carichi di lavoro di Kubernetes Engine nella console.

   Vai ai carichi di lavoro Kubernetes

2. Se necessario, seleziona Mostra carichi di lavoro di sistema.

3. Nella pagina Carichi di lavoro, filtra innanzitutto i carichi di lavoro in base al nome del cluster.

4. Cerca il carico di lavoro container-watcher. Se container-watcher è e il suo stato è OK, Container Threat Detection è attivo.

KTD image pull failure

Nome categoria nell'API: KTD_IMAGE_PULL_FAILURE

Impossibile abilitare Container Threat Detection sul cluster perché è l'immagine container non può essere estratta (scaricata) da gcr.io, nell'host dell'immagine Container Registry.

Il pull o il download di un'immagine container può non riuscire per uno qualsiasi dei possibili.

Verifica quanto segue:

• Assicurati che le impostazioni della rete VPC, del DNS o del firewall non blocchino accesso alla rete dal cluster all'host dell'immagine gcr.io.
• Se il cluster è privato, assicurati che l'accesso privato Google è abilitato per consentire l'accesso all'host dell'immagine gcr.io.
• Se le impostazioni di rete o l'accesso privato Google non sono la causa errore, consulta la documentazione sulla risoluzione dei problemi di GKE ImagePullBackOff ed ErrImagePull errori.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

KTD service account missing permissions

Nome categoria nell'API: KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

L'account di servizio Container Threat Detection identificato nel dettagli dei risultati nella console Google Cloud non sono obbligatori autorizzazioni aggiuntive. Tutti o alcuni risultati di Container Threat Detection non sono inviate a Security Command Center.

Per correggere questo risultato:

1. Concedi Agente di servizio Container Threat Detection (roles/containerthreatdetection.serviceAgent) al ruolo l'account di servizio. Per ulteriori informazioni, vedi Assegna un singolo ruolo.

   In alternativa, se vuoi utilizzare una versione personalizzata ruolo, assicurati che dispone delle autorizzazioni nel ruolo Agente di servizio Container Threat Detection.

2. Assicurati che non esistano negati IAM policy che impediscono all'account di servizio di utilizzare qualsiasi autorizzazione nel ruolo Agente di servizio Container Threat Detection. Se ci sono è un criterio di negazione che blocca l'accesso, aggiungi l'account di servizio come eccezione o un'entità nel criterio di negazione.

Per ulteriori informazioni sull'account di servizio Container Threat Detection il ruolo e le autorizzazioni richiesti, consulta

• Autorizzazioni IAM richieste

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Misconfigured Cloud Logging Export

Nome categoria nell'API: MISCONFIGURED_CLOUD_LOGGING_EXPORT

Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Di conseguenza, Security Command Center non può inviare risultati a Logging.

Per correggere questo risultato, esegui una delle seguenti operazioni:

• Se il periodo di recupero del progetto non è trascorso, ripristinare il progetto mancante.

• Se il progetto è stato eliminato definitivamente, configurare un progetto nuovo o esistente per le esportazioni di Logging.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

VPC Service Controls Restriction

Nome categoria nell'API: VPC_SC_RESTRICTION

Security Health Analytics non è in grado di produrre determinati risultati per un progetto, è protetto da un perimetro di servizio. Devi concedere ai Accesso in entrata dell'account di servizio Security Command Center al perimetro di servizio.

L'identificatore dell'account di servizio è un indirizzo email con i seguenti dati: formato:

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Sostituisci quanto segue:

• RESOURCE_KEYWORD: la parola chiave org o project, a seconda della risorsa proprietaria dell'account di servizio
• RESOURCE_ID: uno dei seguenti valori:
  • L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
  • numero di progetto se l'account di servizio è di proprietà di un progetto

Se hai account di servizio sia a livello di organizzazione che di progetto, richiedi a entrambi.

Per correggere questo risultato, segui questi passaggi.

Passaggio 1: determina quale perimetro di servizio blocca Security Health Analytics

1. Recupera l'ID univoco dei Controlli di servizio VPC e l'ID progetto associato al risultato:
   1. Per visualizzare i dettagli del risultato, fai clic sul nome della relativa categoria.
   2. Nel campo Descrizione, copia il valore univoco dei Controlli di servizio VPC ID, ad esempio 5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ.
   3. Nel campo Percorso risorsa, copia l'ID del progetto.

2. Ottieni l'ID criterio di accesso e il nome del perimetro di servizio:

   1. Nella console Google Cloud, vai alla pagina Esplora log.

      Vai a Esplora log

   2. Nella barra degli strumenti, seleziona il progetto associato al risultato.

      

   3. Nella casella di ricerca, inserisci l'ID univoco dell'errore.

      

      Se l'errore non viene visualizzato nei risultati della query, estendi la sequenza temporale in l'istogramma ed esegui nuovamente la query.

   4. Fai clic sull'errore che viene visualizzato.

   5. Fai clic su Espandi campi nidificati.

   6. Copia il valore del campo servicePerimeterName. Il valore contiene seguente formato:

      accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER

      In questo esempio, il nome completo della risorsa del perimetro di servizio è accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured.

      • ACCESS_POLICY è l'ID criterio di accesso, ad esempio 540107806624.
      • SERVICE_PERIMETER è il nome del perimetro di servizio, ad esempio vpc_sc_misconfigured.

      

   7. Per ottenere il nome visualizzato corrispondente all'ID criterio di accesso, utilizza con gcloud CLI.

      Se non riesci a effettuare query a livello di organizzazione, rivolgiti all'amministratore per eseguire questo passaggio.

      gcloud access-context-manager policies list --organization ORGANIZATION_ID
      

      Sostituisci ORGANIZATION_ID con l'ID numerico della tua organizzazione.

      Viene visualizzato un output simile al seguente:

      NAME          ORGANIZATION  SCOPES                 TITLE           ETAG
      540107806624  549441802605                         default policy  2a9a7e30cbc14371
      352948212018  549441802605  projects/393598488212  another_policy  d7b47a9ecebd4659

      Il nome visualizzato è il titolo che corrisponde all'ID del criterio di accesso. Prendi nota del nome visualizzato del criterio di accesso e della perimetro di servizio . Ti serviranno nella prossima sezione.

Passaggio 2: crea una regola in entrata che consenta l'accesso al progetto

Questa sezione richiede l'accesso a livello di organizzazione a Controlli di servizio VPC. Se non hai l'accesso a livello di organizzazione, chiedi al tuo amministratore di Google Cloud per eseguire questi passaggi.

Nei passaggi successivi, creerai una regola in entrata nel perimetro di servizio che hai identificato nel passaggio 1.

Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio: questi passaggi.

1. Vai a Controlli di servizio VPC.

   Vai a Controlli di servizio VPC

2. Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.

   

3. Nell'elenco a discesa, seleziona il criterio di accesso che contiene il servizio a cui vuoi concedere l'accesso.

   

   I perimetri di servizio associati al criterio di accesso sono visualizzati nella dall'elenco di lettura.

4. Fai clic sul nome del perimetro di servizio.

5. Fai clic su edit Modifica perimetro

6. Nel menu di navigazione, fai clic su Criterio in entrata.

7. Fai clic su Aggiungi regola.

8. Configura la regola come segue:

   Attributi FROM del client API

   1. In Origine, seleziona Tutte le fonti.
   2. In Identità, seleziona Identità selezionate.
   3. Nel campo Add User/Service Account (Aggiungi account utente/servizio), fai clic su Select (Seleziona).
   4. Inserisci l'indirizzo email dell'account di servizio. Se hai entrambi a livello di organizzazione e di progetto, aggiungili entrambi.
   5. Fai clic su Salva.

   Attributi TO di servizi/risorse Google Cloud

   1. Per Progetto, seleziona Tutti i progetti o seleziona il progetto specificato nel risultato.

   2. In Servizi, seleziona Tutti i servizi oppure seleziona una delle seguenti opzioni singoli servizi richiesti da Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

   Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per il servizio.

9. Nel menu di navigazione, fai clic su Salva.

Per ulteriori informazioni, consulta Configurazione dei criteri di traffico in entrata e in uscita.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Security Command Center service account missing permissions

Nome categoria nell'API: SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Agente di servizio di Security Command Center non abbia le autorizzazioni necessarie per funzionare correttamente.

L'identificatore dell'account di servizio è un indirizzo email con i seguenti dati: formato:

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Sostituisci quanto segue:

• RESOURCE_KEYWORD: la parola chiave org o project, a seconda della risorsa proprietaria dell'account di servizio
• RESOURCE_ID: uno dei seguenti valori:
  • L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
  • numero di progetto se l'account di servizio è di proprietà di un progetto

Se hai account di servizio sia a livello di organizzazione che di progetto, richiedi a entrambi.

Per correggere questo risultato:

1. Concedi all'agente di servizio Centro sicurezza (roles/securitycenter.serviceAgent) di servizio all'account di servizio.

   Per ulteriori informazioni, consulta l'articolo Concedere a un singolo ruolo.

   In alternativa, se vuoi utilizzare una versione personalizzata ruolo, assicurati che dispone delle autorizzazioni nel servizio Centro sicurezza Agente.

2. Assicurati che non esistano negati IAM policy che impediscono all'account di servizio di utilizzare delle autorizzazioni nei ruoli richiesti. Se ci sono è un criterio di negazione che blocca l'accesso, aggiungi l'account di servizio come eccezione o un'entità nel criterio di negazione.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Passaggi successivi

Scopri di più sugli errori di Security Command Center.