Diese Seite wurde von der Cloud Translation API übersetzt.

Fehler im Security Command Center beheben

Auf dieser Seite finden Sie eine Liste von Referenzleitfäden und -techniken zur Behebung von SCC-Fehlern.

Vorbereitung

Sie benötigen ausreichende IAM-Rollen (Identity and Access Management), um die Ergebnisse anzusehen oder zu bearbeiten und auf Google Cloud-Ressourcen zuzugreifen oder diese zu ändern. Wenn Sie auf eine beim Zugriff auf Security Command Center im Google Cloud Console erhalten, bitten Sie Ihren Administrator um Unterstützung. Weitere Informationen zu finden Sie unter Zugriffssteuerung. Informationen zum Beheben von Ressourcenfehlern finden Sie in der Dokumentation für betroffene Produkte.

Ergebnisse in der Google Cloud Console prüfen

SCC-Fehler sind Konfigurationsfehler, die verhindern, dass Security Command Center wie erwartet funktioniert. Die Quelle Security Command Center generiert diese Ergebnisse.

Solange Security Command Center für Ihre Organisation eingerichtet ist oder Projekt, werden Fehler gefunden, sobald sie erkannt werden. Sie können SCC-Fehler in der Google Cloud Console ansehen.

So rufen Sie die Ergebnisse in der Google Cloud Console auf:

Google Cloud Console

Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Zu Ergebnissen
Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Security Command Center Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations-Konsole

Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf.
```
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
```
Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.
Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
Wählen Sie Security Command Center aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Deaktivierung von SCC-Fehlern nach der Behebung

Nachdem Sie ein SCC error-Ergebnis behoben haben, wird der Status des Ergebnisses in Security Command Center beim nächsten Scan automatisch auf INACTIVE gesetzt. Wie lange es dauert, bis der Status eines behobenen Ergebnisses in Security Command Center auf INACTIVE gesetzt wird, hängt davon ab, wann Sie das Ergebnis beheben und wie der Zeitplan des Scans ist, bei dem der Fehler erkannt wird.

Informationen zur Scanhäufigkeit für ein SCC error-Ergebnis finden Sie in der Zusammenfassung des Ergebnisses unter Fehlerdetektoren.

SCC-Fehler beheben

Dieser Abschnitt enthält Anweisungen zur Behebung aller SCC-Fehler.

`API disabled`

Kategoriename in der API: API_DISABLED

Einer der folgenden Dienste ist für das Projekt deaktiviert:

Der deaktivierte Dienst kann keine Ergebnisse generieren.

So können Sie dieses Ergebnis beheben:

Prüfen Sie das Ergebnis, um festzustellen, welche API deaktiviert ist.
API aktivieren:
- Aktivieren Sie die Container Threat Detection API.
  
  API aktivieren
- Aktivieren Sie die Web Security Scanner API.
  
  API aktivieren

Weitere Informationen zu diesem Ergebnistyp unterstützte Einstellungen für Assets und Scans.

`APS no resource value configs match any resources`

Kategoriename in der API: APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Konfigurationen für den Wert von Ressourcen sind für Angriffspfadsimulationen definiert, stimmen jedoch mit keiner Ressourceninstanz in Ihrer Umgebung überein. Stattdessen wird in den Simulationen der Standardsatz hochwertiger Ressourcen verwendet.

Die Konfiguration von Ressourcenwerten stimmt aus den folgenden Gründen möglicherweise mit keiner Ressource überein. Diese Gründe werden in der Beschreibung der Abweichung in der Google Cloud Console angegeben:

Keine der Konfigurationen für den Ressourcenwert stimmt mit einer Ressourceninstanz überein.
Eine oder mehrere Konfigurationen für den Wert von Ressourcen, in denen NONE angegeben ist, überschreiben alle anderen gültigen Konfigurationen.
Alle definierten Konfigurationen für Ressourcenwerte geben den Wert NONE an.

So können Sie dieses Ergebnis beheben:

Rufen Sie in Security Command Center die Seite Simulation des Angriffspfads auf. Einstellungen:

Einstellungen aufrufen
Wählen Sie Ihre Organisation aus. Die Seite Angriffspfadsimulation wird geöffnet. Die vorhandenen Konfigurationen werden angezeigt.
Prüfen Sie in der Spalte Ressourcenwert der Liste Konfigurationen für Ressourcenwerte, ob Werte für None vorhanden sind.
Gehen Sie für jede Konfiguration, in der None angegeben ist, so vor:
1. Klicken Sie auf den Namen einer Ressourcenwertkonfiguration, um die Konfigurationsspezifikationen aufzurufen.
2. Bearbeiten Sie bei Bedarf die Spezifikationen der Ressourcenattribute, um die Anzahl der Ressourceninstanzen zu reduzieren, die mit der Konfiguration übereinstimmen.
Wenn das Problem nicht durch eine zu weit gefasste None-Angabe verursacht wird, gehen Sie so vor:
1. Klicken Sie auf die Namen der Konfigurationen, für die ein Wert von HIGH, MEDIUM oder LOW angegeben ist, um die Spezifikationen für Ressourcenattribute aufzurufen.
2. Prüfen Sie die Konfiguration und korrigieren Sie sie bei Bedarf, um den Bereich zu korrigieren. Ressourcentyp, Tag oder Label an die vorgesehenen Ressourcen.
Bei Bedarf können Sie Erstellen Sie eine neue Konfiguration für den Ressourcenwert.

Ihre Änderungen werden auf die nächste Angriffspfadsimulation angewendet.

Weitere Informationen zu diesem Ergebnistyp unterstützte Einstellungen für Assets und Scans.

`APS resource value assignment limit exceeded`

Kategoriename in der API: APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

In den letzten Angriffspfadsimulation die Anzahl der Instanzen hochwertiger Ressourcen, wie vom Ressourcenwertkonfigurationen, das Limit von 1.000 Ressourceninstanzen in einem hochwertigen Ressourcensatz. Daher hat Security Command Center die übermäßige Anzahl Instanzen aus dem Satz hochwertiger Ressourcen.

Sie können die folgenden Maßnahmen ergreifen, um dieses Ergebnis zu beheben:

Verwenden Sie Tags oder Labels, um die Anzahl der Übereinstimmungen für einen bestimmten Ressourcentyp oder in einem bestimmten Umfang zu reduzieren. Die Tags oder Labels müssen auf die Ressourceninstanzen angewendet werden, bevor sie mit einer Ressourcenwertkonfiguration abgeglichen werden können.
Erstellen Sie eine Konfiguration für den Ressourcenwert, die eine Ressourcenwert von NONE zu einer Teilmenge der Ressourcen, die in einem anderen Konfiguration.

Wenn Sie den Wert NONE angeben, werden alle anderen Konfigurationen überschrieben und die Ressourceninstanzen werden aus dem Satz hochwertiger Ressourcen ausgeschlossen.
Reduzieren Sie Umfang Ressourcenattribut in der Konfiguration des Ressourcenwerts angeben.
Löschen Sie Konfigurationen für den Wert von Ressourcen, die den Wert LOW zuweisen.

Eine Anleitung zum Erstellen, Bearbeiten oder Löschen einer Konfiguration von Ressourcenwerten finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.

Weitere Informationen zu diesem Ergebnistyp unterstützte Einstellungen für Assets und Scans.

`CIEM service account missing permissions`

Kategoriename in der API: CIEM_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Dem Dienstkonto, das vom CIEM-Dienst verwendet wird, fehlen Berechtigungen. CIEM kann eine oder mehrere Ergebniskategorien nicht generieren.

Um dieses Ergebnis zu beheben, stellen Sie die erforderlichen IAM-Rollen auf der CIEM-Dienstkonto:

Öffnen Sie in der Google Cloud Console die Seite IAM.

IAM aufrufen
Wählen Sie das CIEM-Dienstkonto Ihrer Organisation aus. Dienst Die ID des Kontos ist eine E-Mail-Adresse mit dem folgenden Format:
```
service-org-ORGANIZATION_ID@gcp-sa-ciem.iam.gserviceaccount.com
```
ORGANIZATION_ID durch den Namen Ihrer Organisation ersetzen numerische ID.

Wenn das Dienstkonto nicht aufgeführt ist, klicken Sie oben auf der Seite auf ZUGRIFF GEWÄHREN und geben Sie das Dienstkonto als neuen Hauptbenutzer ein.
Weisen Sie dem Dienstkonto die Rolle „CIEM-Dienst-Agent“ (roles/ciem.serviceAgent) zu. Wenn Sie benutzerdefinierte Rollen verwenden, müssen diese die folgenden Berechtigungen:
- cloudasset.assets.exportResource
- cloudasset.assets.exportIamPolicy
Klicken Sie auf Speichern.

`CIEM AWS CloudTrail configuration error`

Kategoriename in der API: AWS_CLOUDTRAIL_CONFIGURATION_ERROR

Es werden entweder alle oder einige CIEM-AWS-Ergebnisse nicht an Security Command Center. Der AWS CloudTrail-Feed ist fehlgeschlagen und kann aufgrund eines Konfigurationsfehlers keine Daten abrufen.

Für dieses Ergebnis gibt es drei mögliche Ursachen:

Fehlender AWS CloudTrail-Feed

Um dieses Problem zu beheben, erstellen und konfigurieren Sie einen Feed in der Security Operations-Konsole, AWS CloudTrail-Logs aufnehmen. Legen Sie das Schlüssel/Wert-Paar Aufnahmelabel auf CIEM und TRUE.

Eine Anleitung zum Erstellen eines Feeds finden Sie unter Feed erstellen in der Google SecOps-Dokumentation.
Fehler bei der Feedkonfiguration

Vergewissern Sie sich, dass Sie den Feed richtig konfiguriert haben.

Informationen zum Konfigurieren eines Feeds finden Sie in der Google SecOps-Dokumentation unter Feed in Google Security Operations für die Aufnahme von AWS-Logs konfigurieren.
Unvollständige AWS CloudTrail-Konfiguration

Richten Sie den S3-Bucket in Ihrer AWS CloudTrail-Konfiguration ein, um dieses Problem zu beheben Datenereignisse und Verwaltungsereignisse aus allen AWS-Konten protokollieren in denen Sie CIEM verwenden möchten.

Informationen zum Einrichten von CloudTrail finden Sie in der Google SecOps-Dokumentation unter AWS CloudTrail (oder einen anderen Dienst) konfigurieren.

`GKE service account missing permissions`

Kategoriename in der API: GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird.

Um dieses Ergebnis zu beheben, das GKE-Standarddienstkonto wiederherstellen, Prüfen Sie, ob das Dienstkonto den Kubernetes Engine-Dienst-Agent hat. roles/container.serviceAgent.

Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`KTD blocked by admission controller`

Kategoriename in der API: KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Container Threat Detection kann in einem Cluster nicht aktiviert werden, da ein Zulassungscontroller eines Drittanbieters die Bereitstellung des erforderlichen Kubernetes-DaemonSet-Objekts verhindert.

Um dieses Ergebnis zu beheben, achten Sie darauf, dass die Admission-Controller, die die im Cluster ausgeführt werden, ermöglichen Container Threat Detection, die erforderlichen Kubernetes-Objekten.

Zugangs-Controller prüfen

Prüfen Sie, ob der Admission Controller in Ihrem Cluster die Bereitstellung des DaemonSet-Objekts für Container Threat Detection ablehnt.

In der Ergebnisbeschreibung in den Ergebnisdetails in der Google Cloud Console Sehen Sie sich die Fehlermeldung von Kubernetes an. Die Kubernetes-Fehlermeldung sollte in etwa so aussehen:

generic::failed_precondition: incompatible admission webhook:
admission webhook "example.webhook.sh" denied the request:
[example-constraint] you must provide labels: {"example-required-label"}.

In den Cloud-Audit-Logs zu Administratoraktivitäten für das Projekt, das Ihre angezeigt wird, suchen Sie nach der Fehlermeldung, die im Feld Beschreibung des die Ergebnisdetails.
Wenn Ihr Zugangs-Controller funktioniert, aber die Bereitstellung von dem DaemonSet-Objekt von Container Threat Detection, konfigurieren Sie Ihren Zugangs-Controller damit die Dienst-Agent für Container Threat Detection zur Verwaltung von Objekten im kube-system-Namespace.

Der Dienst-Agent für Container Threat Detection muss in der Lage sein, bestimmte Kubernetes-Objekten.

Weitere Informationen zur Verwendung von Admission-Controllern mit Container Threat Detection Siehe PodSecurityPolicy und Admission-Controller.

Fehlerbehebung bestätigen

Nachdem Sie den Fehler behoben haben, wird in Security Command Center automatisch versucht, Container Threat Detection zu aktivieren. Nachdem Sie auf den Abschluss der Aktivierung gewartet haben, können Sie prüfen, Container Threat Detection ist mit den folgenden Schritten aktiv:

Rufen Sie in der Console die Seite Arbeitslasten der Kubernetes Engine auf.

Zur Seite „Kubernetes-Arbeitslasten“
Wählen Sie bei Bedarf Systemarbeitslasten anzeigen aus.
Filtern Sie auf der Seite Arbeitslasten die Arbeitslasten zuerst nach dem Clusternamen.
Suchen Sie nach der Arbeitslast container-watcher. Wenn container-watcher vorhanden ist und der Status OK lautet, ist Container Threat Detection aktiv.

`KTD image pull failure`

Kategoriename in der API: KTD_IMAGE_PULL_FAILURE

Container Threat Detection kann für den Cluster nicht aktiviert werden, da ein erforderlicher Container Image kann nicht von gcr.io abgerufen (heruntergeladen) werden, der Image-Host von Container Registry.

Das Hoch- oder Herunterladen eines Container-Images kann bei mehreren möglichen Gründen.

Prüfen Sie Folgendes:

Achten Sie darauf, dass Ihr VPC-Netzwerk, Ihr DNS oder Ihre Firewalleinstellungen nicht Netzwerkzugriff vom Cluster auf den Image-Host gcr.io.
Wenn der Cluster privat ist, Privater Google-Zugriff ist aktiviert, um Zugriff auf den Image-Host gcr.io zu gewähren.
Wenn die Netzwerkeinstellungen und der privater Google-Zugriff nicht die Ursache finden Sie in der GKE-Dokumentation zur Fehlerbehebung ImagePullBackOff und ErrImagePull Fehler.

Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`KTD service account missing permissions`

Kategoriename in der API: KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Dem Container Threat Detection-Dienstkonto, das in den Details zum Ergebnis in der Google Cloud Console angegeben ist, fehlen die erforderlichen Berechtigungen. Entweder alle oder Einige Ergebnisse von Container Threat Detection werden nicht an Security Command Center gesendet.

So können Sie dieses Ergebnis beheben:

Weisen Sie dem Dienstkonto die Rolle Container Threat Detection-Dienst-Agent (roles/containerthreatdetection.serviceAgent) zu. Weitere Informationen finden Sie unter Einzelne Rolle zuweisen.

Wenn Sie alternativ eine benutzerdefinierte Rolle verwenden möchten, benötigen Sie die Rolle Berechtigungen des Container Threat Detection-Dienst-Agents.
Achten Sie darauf, dass kein IAM vorhanden ist deny-Richtlinien, die das Dienstkonto am mit einer der Berechtigungen der Rolle „Container Threat Detection-Dienst-Agent“. Wenn der Zugriff durch eine Ablehnungsrichtlinie blockiert wird, fügen Sie das Dienstkonto als Ausnahmeprinzipal in Ablehnung .

Weitere Informationen zum Container Threat Detection-Dienstkonto und zur Rolle und den dafür erforderlichen Berechtigungen finden Sie unter Erforderliche IAM-Berechtigungen

Weitere Informationen zu diesem Ergebnistyp unterstützte Einstellungen für Assets und Scans.

`Misconfigured Cloud Logging Export`

Kategoriename in der API: MISCONFIGURED_CLOUD_LOGGING_EXPORT

Das Projekt, das für kontinuierlicher Export nach Cloud Logging ist nicht verfügbar. Daher kann Security Command Center keine Ergebnisse an Logging senden.

Führen Sie einen der folgenden Schritte aus, um dieses Ergebnis zu beheben:

Stellen Sie das Projekt wieder her, wenn der Zeitraum für die Wiederherstellung des Projekts noch nicht verstrichen ist.

Hinweis: Sie können die Anzahl der verbleibenden Tage für die Wiederherstellung mithilfe der gcloud projects describe von Google Cloud CLI prüfen. beenden.
Wenn das Projekt endgültig gelöscht wurde, konfigurieren Sie ein neues oder vorhandenes Projekt für Logging-Exporte.

Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`VPC Service Controls Restriction`

Kategoriename in der API: VPC_SC_RESTRICTION

Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern, da das Projekt durch einen Dienstperimeter geschützt ist. Sie müssen dem Security Command Center-Dienstkonto eingehenden Zugriff auf den Dienstperimeter gewähren.

Die ID des Dienstkontos ist eine E-Mail-Adresse im folgenden Format:

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Ersetzen Sie Folgendes:

RESOURCE_KEYWORD: das Keyword org oder project, je nachdem, zu welcher Ressource das Dienstkonto gehört
RESOURCE_ID: einer der folgenden Werte:
- Die Organisations-ID, wenn das Dienstkonto der Organisation gehört
- Die Projektnummer, wenn das Dienstkonto zu einem Projekt gehört

Wenn Sie Dienstkonten sowohl auf Organisations- als auch auf Projektebene haben, wenden Sie die Korrektur auf beide an.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu beheben.

Schritt 1: Bestimmen, welcher Dienstperimeter Security Health Analytics blockiert

Rufen Sie die eindeutige VPC Service Controls-ID und die mit dem Ergebnis verknüpfte Projekt-ID ab:
1. Klicken Sie auf den Kategorienamen, um die Details des Ergebnisses aufzurufen.
2. Kopieren Sie im Feld Beschreibung den eindeutigen Wert für VPC Service Controls. ID, z. B. 5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ
3. Kopieren Sie im Feld Ressourcenpfad die ID des Projekts.
Rufen Sie die Zugriffsrichtlinien-ID und den Namen des Dienstperimeters ab:
1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
  
  Zum Log-Explorer
2. Wählen Sie in der Symbolleiste das Projekt aus, das mit dem Ergebnis verknüpft ist.
3. Geben Sie im Suchfilterfeld die eindeutige ID des Fehlers ein.
  
  Wenn der Fehler nicht in den Abfrageergebnissen angezeigt wird, erweitern Sie die Zeitachse im Histogramm und führen Sie die Abfrage dann noch einmal aus.
4. Klicken Sie auf den angezeigten Fehler.
5. Klicken Sie auf Verschachtelte Felder erweitern.
6. Kopieren Sie den Wert des Felds servicePerimeterName. Der Wert hat folgendes Format:
```
accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER
```
  In diesem Beispiel lautet der vollständige Ressourcenname des Dienstperimeters accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured.
  - ACCESS_POLICY ist die ID der Zugriffsrichtlinie, z. B. 540107806624.
  - SERVICE_PERIMETER ist der Perimeter des Dienstperimeters. Name, z. B. vpc_sc_misconfigured.
7. Um den Anzeigenamen abzurufen, der der Zugriffsrichtlinien-ID entspricht, verwenden Sie über die gcloud CLI.
  
  Wenn Sie keine Abfragen auf Organisationsebene ausführen können, bitten Sie Ihren Administrator, diesen Schritt auszuführen.
```
gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID
```
  Ersetzen Sie ORGANIZATION_ID durch die numerische ID Ihrer Organisation.
  
  Die Ausgabe sollte in etwa so aussehen:
```
NAME          ORGANIZATION  SCOPES                 TITLE           ETAG
540107806624  549441802605                         default policy  2a9a7e30cbc14371
352948212018  549441802605  projects/393598488212  another_policy  d7b47a9ecebd4659
```
  Der angezeigte Name ist der Titel, der der Zugriffsrichtlinien-ID entspricht. Notieren Sie sich den Namen der Zugriffsrichtlinie und den Namen des Dienstperimeters. Sie benötigen sie im nächsten Abschnitt.

Schritt 2: Regel für eingehenden Traffic erstellen, die Zugriff auf das Projekt gewährt

Für diesen Abschnitt benötigen Sie Zugriff auf VPC Service Controls auf Organisationsebene. Wenn Sie keinen Zugriff auf Organisationsebene haben, bitten Sie Ihren Administrator, diese Schritte auszuführen.

In den folgenden Schritten erstellen Sie eine Eingangsregel für den Dienstperimeter, den Sie in Schritt 1 ermittelt haben.

So gewähren Sie einem Dienstkonto eingehenden Zugriff auf einen Dienstperimeter: führen Sie diese Schritte aus.

Rufen Sie VPC Service Controls auf.

Zu „VPC Service Controls“
Wählen Sie in der Symbolleiste Ihre Google Cloud-Organisation aus.
Wählen Sie in der Drop-down-Liste die Zugriffsrichtlinie aus, die den Dienstperimeter enthält, auf den Sie Zugriff gewähren möchten.

Die mit der Zugriffsrichtlinie verknüpften Dienstperimeter werden in der Liste angezeigt.
Klicken Sie auf den Namen des Dienstes.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie im Navigationsmenü auf Richtlinie für eingehenden Traffic.
Klicken Sie auf Regel hinzufügen.
Konfigurieren Sie die Regel so:

FROM-Attribute des API-Clients
1. Wählen Sie für Quelle die Option Alle Quellen aus.
2. Wählen Sie unter Identität die Option Ausgewählte Identitäten aus.
3. Klicken Sie im Feld Add User/Service Account (Nutzer/Dienstkonto hinzufügen) auf Select (Auswählen).
4. Geben Sie die E-Mail-Adresse des Dienstkontos ein. Wenn Sie sowohl Dienstkonten auf Organisations- als auch auf Projektebene haben, fügen Sie beide hinzu.
5. Klicken Sie auf Speichern.
TO-Attribute von GCP-Diensten/-Ressourcen
1. Wählen Sie unter Projekt die Option Alle Projekte oder das im Ergebnis angegebene Projekt aus.
2. Wählen Sie unter Dienste die Option Alle Dienste oder die einzelnen Dienste aus, die für Security Health Analytics erforderlich sind:
  - BigQuery API
  - Binary Authorization API
  - Cloud Logging API
  - Cloud Monitoring API
  - Compute Engine API
  - Kubernetes Engine API
Wenn ein Dienstperimeter den Zugriff auf einen erforderlichen Dienst einschränkt, kann Security Health Analytics keine Ergebnisse für diesen Dienst generieren.
Klicken Sie im Navigationsmenü auf Speichern.

Weitere Informationen finden Sie unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren.

Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Security Command Center service account missing permissions`

Kategoriename in der API: SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Der Dienst-Agent von Security Command Center fehlt die für eine ordnungsgemäße Funktion erforderlich sind.

Die ID des Dienstkontos ist eine E-Mail-Adresse mit dem folgenden Format:

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Ersetzen Sie Folgendes:

RESOURCE_KEYWORD: das Keyword org oder project, je nachdem, zu welcher Ressource das Dienstkonto gehört
RESOURCE_ID: einer der folgenden Werte:
- Die Organisations-ID, wenn das Dienstkonto der Organisation gehört
- Die Projektnummer Das Dienstkonto gehört zu einem Projekt.

Wenn Sie Dienstkonten sowohl auf Organisations- als auch auf Projektebene haben, wenden Sie die Korrektur auf beide an.

So können Sie dieses Ergebnis beheben:

Weisen Sie dem Dienstkonto die Rolle „Security Center-Dienst-Agent“ (roles/securitycenter.serviceAgent) zu.

Weitere Informationen finden Sie unter Einzelne Rolle zuweisen.

Wenn Sie alternativ eine benutzerdefinierte Rolle verwenden möchten, benötigen Sie die Rolle Berechtigungen des Security Center-Dienst-Agents.
Achten Sie darauf, dass es keine IAM-Ablehnungsrichtlinien gibt, die das Dienstkonto daran hindern, eine der Berechtigungen in den erforderlichen Rollen zu verwenden. Wenn der Zugriff durch eine Deaktivierungsrichtlinie blockiert wird, fügen Sie das Dienstkonto in der Deaktivierungsrichtlinie als Ausnahmeprinzipal hinzu.

Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

Nächste Schritte

Weitere Informationen zu Security Command Center-Fehlern