Correzione degli errori di Security Command Center

Questa pagina fornisce un elenco di guide di riferimento e tecniche per la correzione degli errori SCC.

Prima di iniziare

Devi disporre di ruoli IAM (Identity and Access Management) adeguati per visualizzare o modificare i risultati e per accedere o modificare le risorse Google Cloud. Se si verificano errori di autorizzazione quando accedi a Security Command Center nella console Google Cloud, chiedi assistenza al tuo amministratore. Per informazioni sui ruoli, consulta Controllo dell'accesso. Per risolvere gli errori delle risorse, leggi la documentazione dei prodotti interessati.

Esamina i risultati nella console Google Cloud

Gli errori SCC sono errori di configurazione che impediscono a Security Command Center di funzionare come previsto. L'origine Security Command Center genera questi risultati.

Se Security Command Center è configurato per la tua organizzazione o il tuo progetto, genera risultati di errore non appena li rileva. Puoi visualizzare gli errori SCC nella console Google Cloud.

Utilizza la procedura seguente per esaminare i risultati nella console Google Cloud:

1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

   Vai a Risultati

2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.

   

3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Security Command Center.

4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Category. Il riquadro dei dettagli del risultato si espande per mostrare informazioni, tra cui:

   • Riepilogo creato con l'IA^Anteprima: una spiegazione generata dinamicamente del problema rilevato
   • Descrizione: breve spiegazione dell'errore rilevato
   • Data evento: la data in cui si è verificato il risultato.
   • Nome visualizzato della risorsa: la risorsa interessata.
   • Passaggi successivi: istruzioni su come risolvere l'errore
   • Ricerca del nome canonico: un identificatore univoco per il risultato.
   • Nome visualizzato dell'origine: Security Command Center

5. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

   Il riquadro mostra la definizione JSON del risultato, in cui puoi esaminare tutti gli attributi del risultato.

Disattivazione degli errori SCC dopo la correzione

Dopo aver corretto un risultato SCC error, Security Command Center imposta automaticamente lo stato del risultato su INACTIVE alla scansione successiva. Il tempo necessario a Security Command Center per impostare lo stato di un risultato corretto su INACTIVE dipende da quando correggi il risultato e dalla pianificazione della scansione che rileva l'errore.

Per informazioni sulla frequenza di scansione di un risultato SCC error, consulta il riepilogo del risultato in Rilevatori di errori.

Correggere gli errori SCC

Questa sezione include istruzioni per correggere tutti gli errori SCC.

API disabled

Nome della categoria nell'API: API_DISABLED

Uno dei seguenti servizi è disabilitato per il progetto:

• Rilevamento delle minacce ai container
• Web Security Scanner

Il servizio disabilitato non può generare risultati.

Per risolvere questo risultato, svolgi i seguenti passaggi:

1. Esamina il risultato per determinare quale API è disabilitata.

2. Abilita l'API:

   • Abilitare l'API Container Threat Detection.

     Abilitare l'API

   • Attiva l'API Web Security Scanner.

     Abilitare l'API

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

APS no resource value configs match any resources

Nome della categoria nell'API: APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Le configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, ma non corrispondono ad alcuna istanza delle risorse nel tuo ambiente. Le simulazioni utilizzano invece il set predefinito di risorse di valore elevato.

Le configurazioni dei valori delle risorse potrebbero non corrispondere a nessuna risorsa per i seguenti motivi, identificati nella descrizione dei risultati nella console Google Cloud:

• Nessuna delle configurazioni dei valori delle risorse corrisponde ad alcuna istanza della risorsa.
• Una o più configurazioni dei valori delle risorse che specificano NONE eseguono l'override di ogni altra configurazione valida.
• Tutte le configurazioni dei valori delle risorse definite specificano un valore pari a NONE.

Per risolvere questo risultato, svolgi i seguenti passaggi:

1. Vai alla pagina Simulazione del percorso di attacco nelle Impostazioni di Security Command Center:

   Vai alle Impostazioni

2. Seleziona la tua organizzazione. Si apre la pagina Simulazione del percorso di attacco con le configurazioni esistenti visualizzate.

3. Nella colonna Valore risorsa dell'elenco Configurazioni dei valori delle risorse, verifica i valori di None.

4. Per qualsiasi configurazione che specifica None, procedi nel seguente modo:

   1. Fai clic sul nome di qualsiasi configurazione dei valori delle risorse per visualizzare le specifiche di configurazione.

   2. Se necessario, modifica le specifiche degli attributi della risorsa per ridurre il numero di istanze della risorsa che corrispondono alla configurazione.

5. Se il problema non è causato da una specifica None eccessivamente ampia:

   1. Fai clic sui nomi di ogni configurazione che specifica un valore HIGH, MEDIUM o LOW per visualizzare le specifiche degli attributi della risorsa.

   2. Esamina e, se necessario, modifica la configurazione per correggere le specifiche di ambito, tipo di risorsa, tag o etichetta in modo che corrispondano alle risorse previste.

6. Se necessario, crea una nuova configurazione dei valori delle risorse.

Le modifiche vengono applicate alla simulazione del percorso di attacco successivo.

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

APS resource value assignment limit exceeded

Nome della categoria nell'API: APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificato dalle configurazioni dei valori delle risorse, ha superato il limite di 1000 istanze di risorse in un set di risorse di alto valore. Di conseguenza, Security Command Center ha escluso il numero eccessivo di istanze dal set di risorse di valore elevato.

Per correggere questo risultato, puoi provare le seguenti azioni:

• Utilizza tag o etichette per ridurre il numero di corrispondenze per un determinato tipo di risorsa o in un ambito specificato. I tag o le etichette devono essere applicati alle istanze delle risorse prima di poter essere abbinate da una configurazione dei valori delle risorse.
• Crea una configurazione dei valori delle risorse che assegni un valore delle risorse NONE a un sottoinsieme delle risorse specificate in un'altra configurazione. Se specifichi un valore NONE, le altre configurazioni vengono ignorate e le istanze della risorsa vengono escluse dal set di risorse di valore elevato.
• Riduci la specifica dell'attributo della risorsa dell'ambito nella configurazione del valore della risorsa.
• Elimina le configurazioni dei valori delle risorse che assegnano un valore di LOW.

Per istruzioni sulla creazione, la modifica o l'eliminazione di una configurazione dei valori delle risorse, consulta Definire e gestire il set di risorse di alto valore.

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

GKE service account missing permissions

Nome della categoria nell'API: GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché l' account di servizio predefinito di GKE sul cluster non dispone delle autorizzazioni. Questo impedisce che Container Threat Detection venga abilitato correttamente sul cluster.

Per risolvere questo problema, ripristina l'account di servizio predefinito di GKE e conferma che l'account di servizio abbia il ruolo Agente di servizio Kubernetes Engine (roles/container.serviceAgent).

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

KTD blocked by admission controller

Nome della categoria nell'API: KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Impossibile abilitare Container Threat Detection su un cluster perché un controller di ammissione di terze parti impedisce il deployment dell'oggetto Kubernetes DaemonSet richiesto.

Per risolvere questo risultato, assicurati che i controller di ammissione in esecuzione sul cluster consentano a Container Threat Detection di creare gli oggetti Kubernetes richiesti.

Controlla il controller di ammissione

Verifica se il controller di ammissione nel tuo cluster sta rifiutando il deployment dell'oggetto Container Threat Detection DaemonSet.

1. Nella descrizione del risultato nella sezione relativa ai dettagli nella console Google Cloud, esamina il messaggio di errore di Kubernetes incluso. Il messaggio di errore di Kubernetes dovrebbe essere simile al seguente messaggio:

   generic::failed_precondition: incompatible admission webhook:
   admission webhook "example.webhook.sh" denied the request:
   [example-constraint] you must provide labels: {"example-required-label"}.
   

2. Nell'audit log di Cloud dell'attività di amministrazione relativa al progetto che contiene il cluster, cerca il messaggio di errore visualizzato nel campo Descrizione dei dettagli del risultato.

3. Se il controller di ammissione funziona, ma rifiuta il deployment dell'oggetto Container Threat Detection DaemonSet, configura il controller di ammissione in modo da consentire all'account di servizio gestito da Google per Container Threat Detection di gestire gli oggetti nello spazio dei nomi kube-system.

   L'account di servizio per Container Threat Detection deve essere in grado di gestire oggetti Kubernetes specifici.

Per ulteriori informazioni sull'utilizzo dei controller di ammissione con Container Threat Detection, consulta PodSecurityPolicy e Admission Controllers.

Conferma la correzione

Dopo aver corretto l'errore, Security Command Center tenta automaticamente di abilitare Container Threat Detection. Dopo aver atteso il completamento dell'abilitazione, puoi verificare se Container Threat Detection è attivo seguendo questi passaggi:

1. Vai alla pagina Carichi di lavoro di Kubernetes Engine nella console.

   Vai a Kubernetes Workloads

2. Se necessario, seleziona Mostra carichi di lavoro di sistema.

3. Nella pagina Carichi di lavoro, filtra i carichi di lavoro per nome del cluster.

4. Cerca il carico di lavoro container-watcher. Se container-watcher è presente e il relativo stato mostra OK, Container Threat Detection è attivo.

KTD image pull failure

Nome della categoria nell'API: KTD_IMAGE_PULL_FAILURE

Impossibile abilitare Container Threat Detection nel cluster perché non è possibile estrarre (scaricare) un'immagine container richiesta da gcr.io, l'host delle immagini di Container Registry.

Il pull o il download di un'immagine container possono non riuscire per diversi motivi possibili.

Verifica quanto segue:

• Assicurati che le impostazioni della rete VPC, del DNS o del firewall non blocchino l'accesso alla rete dal cluster all'host dell'immagine gcr.io.
• Se il cluster è privato, assicurati che l'accesso privato Google sia abilitato per consentire l'accesso all'host dell'immagine gcr.io.
• Se l'errore non è causato dalle impostazioni di rete o dall'accesso privato Google, consulta la documentazione per la risoluzione dei problemi di GKE per gli errori ImagePullBackOff ed ErrImagePull.

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

KTD service account missing permissions

Nome della categoria nell'API: KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

L'account di servizio Container Threat Detection identificato nei dettagli di ricerca nella console Google Cloud non dispone delle autorizzazioni richieste. Tutti o alcuni risultati di Container Threat Detection non vengono inviati a Security Command Center.

Per risolvere questo risultato, svolgi i seguenti passaggi:

1. Concedi il ruolo Agente di servizio Container Threat Detection (roles/containerthreatdetection.serviceAgent) all'account di servizio. Per ulteriori informazioni, consulta Concessione di un singolo ruolo.

   In alternativa, se vuoi utilizzare un ruolo personalizzato, assicurati che disponga delle autorizzazioni previste nel ruolo Agente di servizio Container Threat Detection.

2. Assicurati che non esistano criteri deny IAM che impediscono all'account di servizio di utilizzare una qualsiasi delle autorizzazioni previste nel ruolo Agente di servizio Container Threat Detection. Se esiste un criterio di negazione che blocca l'accesso, aggiungi l'account di servizio come entità di eccezione nel criterio di negazione.

Per ulteriori informazioni sull'account di servizio Container Threat Detection e sul ruolo e le autorizzazioni necessari, consulta

• Autorizzazioni IAM richieste

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

Misconfigured Cloud Logging Export

Nome della categoria nell'API: MISCONFIGURED_CLOUD_LOGGING_EXPORT

Il progetto configurato per l' esportazione continua in Cloud Logging non è disponibile. Di conseguenza, Security Command Center non può inviare risultati a Logging.

Per correggere questo risultato, esegui una delle seguenti operazioni:

• Se il periodo di recupero del progetto non è trascorso, ripristina il progetto mancante.

• Se il progetto è stato eliminato definitivamente, configura un progetto nuovo o esistente per le esportazioni di Logging.

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

VPC Service Controls Restriction

Nome della categoria nell'API: VPC_SC_RESTRICTION

Security Health Analytics non è in grado di produrre determinati risultati per un progetto, perché quest'ultimo è protetto da un perimetro di servizio. Devi concedere all'account di servizio Security Command Center l'accesso in entrata al perimetro di servizio.

L'identificatore dell'account di servizio è un indirizzo email con il seguente formato:

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Sostituisci quanto segue:

• RESOURCE_KEYWORD: la parola chiave org o project, a seconda della risorsa proprietaria dell'account di servizio
• RESOURCE_ID: uno dei seguenti valori:
  • L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
  • Il numero del progetto se l'account di servizio è di proprietà di un progetto

Se disponi di account di servizio sia a livello di organizzazione che di progetto, applica la correzione a entrambi.

Per risolvere questo risultato, svolgi i passaggi che seguono.

Passaggio 1: determina quale perimetro di servizio blocca Security Health Analytics

1. Ottieni l'ID univoco dei Controlli di servizio VPC e l'ID progetto associato ai risultati:
   1. Per visualizzare i dettagli del risultato, fai clic sul nome della categoria corrispondente.
   2. Nel campo Descrizione, copia l'ID univoco dei Controlli di servizio VPC, ad esempio 5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ.
   3. Nel campo Percorso risorsa, copia l'ID del progetto.

2. Recupera l'ID criterio di accesso e il nome del perimetro di servizio:

   1. Nella console Google Cloud, vai alla pagina Esplora log.

      Vai a Esplora log

   2. Nella barra degli strumenti, seleziona il progetto associato al risultato.

      

   3. Nella casella di ricerca, inserisci l'ID univoco dell'errore.

      

      Se l'errore non viene visualizzato nei risultati della query, estendi la sequenza temporale nell'istogramma, quindi esegui nuovamente la query.

   4. Fai clic sull'errore che viene visualizzato.

   5. Fai clic su Espandi campi nidificati.

   6. Copia il valore del campo servicePerimeterName. Il valore ha il seguente formato:

      accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER

      In questo esempio, il nome completo delle risorse del perimetro di servizio è accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured.

      • ACCESS_POLICY è l'ID criterio di accesso, ad esempio 540107806624.
      • SERVICE_PERIMETER è il nome del perimetro di servizio, ad esempio, vpc_sc_misconfigured.

      

   7. Per ottenere il nome visualizzato corrispondente all'ID del criterio di accesso, utilizza gcloud CLI.

      Se non riesci a eseguire query a livello di organizzazione, chiedi all'amministratore di eseguire questo passaggio.

      gcloud access-context-manager policies list --organization ORGANIZATION_ID
      

      Sostituisci ORGANIZATION_ID con l'ID numerico della tua organizzazione.

      Ottieni un output simile al seguente:

      NAME          ORGANIZATION  SCOPES                 TITLE           ETAG
      540107806624  549441802605                         default policy  2a9a7e30cbc14371
      352948212018  549441802605  projects/393598488212  another_policy  d7b47a9ecebd4659

      Il nome visualizzato è il titolo corrispondente all'ID criterio di accesso. Prendi nota del nome visualizzato del criterio di accesso e del nome del perimetro di servizio. Ti serviranno nella prossima sezione.

Passaggio 2: crea una regola in entrata che concede l'accesso al progetto

Questa sezione richiede l'accesso a livello di organizzazione ai Controlli di servizio VPC. Se non hai accesso a livello di organizzazione, chiedi al tuo amministratore di eseguire questi passaggi.

Nei passaggi seguenti, creerai una regola in entrata nel perimetro di servizio che hai identificato nel passaggio 1.

Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio, segui questi passaggi.

1. Vai a Controlli di servizio VPC.

   Vai a Controlli di servizio VPC

2. Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.

   

3. Nell'elenco a discesa, seleziona il criterio di accesso contenente il perimetro di servizio a cui vuoi concedere l'accesso.

   

   I perimetri di servizio associati al criterio di accesso vengono visualizzati nell'elenco.

4. Fai clic sul nome del perimetro di servizio.

5. Fai clic su edit Modifica perimetro.

6. Nel menu di navigazione, fai clic su Criterio in entrata.

7. Fai clic su Aggiungi regola.

8. Configura la regola nel seguente modo:

   Attributi FROM del client API

   1. In Origine, seleziona Tutte le fonti.
   2. Per Identità, seleziona Identità selezionate.
   3. Nel campo Aggiungi account utente/di servizio, fai clic su Seleziona.
   4. Inserisci l'indirizzo email dell'account di servizio. Se disponi di account di servizio sia a livello di organizzazione che di progetto, aggiungili entrambi.
   5. Fai clic su Salva.

   Attributi TO di servizi/risorse GCP

   1. Per Progetto, seleziona Tutti i progetti oppure seleziona il progetto specificato nel risultato.

   2. Per Servizi, seleziona Tutti i servizi o seleziona ciascuno dei seguenti singoli servizi richiesti da Security Health Analytics:

      • API BigQuery
      • API Binary Authorization
      • API Cloud Logging
      • API Cloud Monitoring
      • API Compute Engine
      • API Kubernetes Engine

   Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per quel servizio.

9. Nel menu di navigazione, fai clic su Salva.

Per ulteriori informazioni, consulta la sezione Configurare i criteri in entrata e in uscita.

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

Security Command Center service account missing permissions

Nome della categoria nell'API: SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

L'account di servizio gestito da Google di Security Command Center non dispone delle autorizzazioni necessarie per funzionare correttamente.

L'identificatore dell'account di servizio è un indirizzo email con il seguente formato:

service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com

Sostituisci quanto segue:

• RESOURCE_KEYWORD: la parola chiave org o project, a seconda della risorsa proprietaria dell'account di servizio
• RESOURCE_ID: uno dei seguenti valori:
  • L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
  • Il numero del progetto se l'account di servizio è di proprietà di un progetto

Se disponi di account di servizio sia a livello di organizzazione che di progetto, applica la correzione a entrambi.

Per risolvere questo risultato, svolgi i seguenti passaggi:

1. Concedi il ruolo Agente di servizio Centro sicurezza (roles/securitycenter.serviceAgent) all'account di servizio.

   Per ulteriori informazioni, consulta Concessione di un singolo ruolo.

   In alternativa, se vuoi utilizzare un ruolo personalizzato, assicurati che disponga delle autorizzazioni previste nel ruolo Agente di servizio Centro sicurezza.

2. Assicurati che non esistano criteri deny IAM che impediscono all'account di servizio di utilizzare una qualsiasi delle autorizzazioni nei ruoli richiesti. Se esiste un criterio di negazione che blocca l'accesso, aggiungi l'account di servizio come entità di eccezione nel criterio di negazione.

read_more Scopri di più sulle impostazioni di analisi e di asset supportati di questo tipo di risultato.

Passaggi successivi

Scopri di più sugli errori di Security Command Center.