Découvrez les étapes de dépannage qui pourraient vous être utiles en cas de problème lors de l'utilisation de Security Command Center.
L'activation de Security Command Center échoue
En général, l'activation de Security Command Center échoue si votre règle d'administration limite les identités par domaine. Vous et votre compte de service devez faire partie d'un domaine autorisé:
- Veillez à vous connecter à un compte appartenant à un domaine autorisé avant d'essayer d'activer Security Command Center.
- Si vous utilisez un compte de service
@*.gserviceaccount.com
, ajoutez-le en tant qu'identité dans un groupe au sein d'un domaine autorisé.
Les éléments dans Security Command Center ne sont pas mis à jour
Si vous utilisez VPC Service Controls, les éléments de Security Command Center ne peuvent être découverts et mis à jour que lorsque vous accordez l'accès au compte de service de Security Command Center.
Pour activer la détection d'éléments, accordez l'accès au compte de service Security Command Center. Cela permet au compte de service de terminer la découverte d'éléments et de les afficher dans la console Google Cloud.
Le nom du compte de service se présente sous la forme service-org-organization-id@security-center-api.iam.gserviceaccount.com
.
Afficher, modifier, créer et mettre à jour des résultats et des éléments
Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments, et les sources de sécurité dépendent du niveau d'accès accordé. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Notifications manquantes ou différées
Dans certains cas, les notifications peuvent être manquantes, abandonnées ou retardées :
- Il se peut qu'aucun résultat ne corresponde à ces filtres dans votre
NotificationConfig
. Pour tester les notifications, utilisez l'API Security Command Center afin de créer un résultat. - Le compte de service Security Command Center doit disposer du rôle
securitycenter.notificationServiceAgent
sur le sujet Pub/Sub. Le nom du compte de service se présente sous la formeservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com
.- Si vous supprimez le rôle, la publication de notifications est désactivée.
- Si vous supprimez le rôle, puis l'accordez de nouveau, les notifications sont différées.
- Si vous supprimez et recréez le thème Pub/Sub, les notifications sont abandonnées.
Web Security Scanner
Cette section contient des étapes de dépannage qui vous aideront si vous rencontrez des problèmes lors de l'utilisation de Web Security Scanner.
Erreurs d'analyse pour Compute Engine et GKE
Si l'URL d'une analyse est mal configurée, Web Security Scanner la rejette. Les motifs de rejet possibles incluent les suivants :
L'URL correspond à une adresse IP éphémère.
Marquez cette adresse IP comme statique :
- Pour une application sur une seule VM, réservez l'adresse IP sur la VM.
- Pour une application derrière un équilibreur de charge, réservez l'adresse IP sur l'équilibreur de charge.
L'URL est mappée avec une adresse IP incorrecte.
Pour résoudre ce problème, reportez-vous aux instructions du service de votre bureau d'enregistrement de DNS.
L'URL est mappée avec une adresse IP éphémère de la même VM.
Marquez cette adresse IP comme statique.
L'URL est mappée avec une adresse IP réservée.
Cette erreur se produit lorsque l'URL est mappée avec une adresse IP réservée dans un autre projet de la même organisation. Pour résoudre ce problème, définissez des analyses de sécurité pour la VM ou l'équilibreur de charge HTTP dans le projet pour lequel il est défini.
L'URL est mappée avec plusieurs adresses IP.
Assurez-vous que toutes les adresses IP mappées avec cette URL sont réservées pour le même projet. Si au moins une adresse IP n'est pas réservée pour le même projet, l'opération de création, de modification ou de mise à jour de l'analyse échoue.
Étape suivante
Apprenez-en plus sur les erreurs Security Command Center.