Diese Seite wurde von der Cloud Translation API übersetzt.

Fehlerbehebung

Hier finden Sie Schritte zur Behebung von Fehlern, die bei der Verwendung von Security Command Center auftreten können.

Aktivierung von Security Command Center schlägt fehl

Die Aktivierung von Security Command Center schlägt in der Regel fehl, wenn Ihre Organisationsrichtlinien Identitäten nach Domain beschränken. Sie und Ihr Dienstkonto müssen Teil einer zulässigen Domain sein:

Melden Sie sich in einem Konto an, das sich in einer zulässigen Domain befindet, bevor Sie versuchen, Security Command Center zu aktivieren.
Wenn Sie ein @*.gserviceaccount.com-Dienstkonto verwenden, fügen Sie das Dienstkonto als Identität in einer Gruppe innerhalb einer zulässigen Domain hinzu.

Assets in Security Command Center werden nicht aktualisiert

Wenn Sie VPC Service Controls verwenden, können Assets in Security Command Center nur erkannt und aktualisiert werden, wenn Sie dem Dienstkonto „Security Command Center“ Zugriff gewähren.

Um die Asset-Erkennung zu aktivieren, gewähren Sie Zugriff auf das Security Command Center-Dienstkonto. Dadurch kann das Dienstkonto die Asset-Erkennung abschließen und Assets in der Google Cloud Console anzeigen. Der Name des Dienstkontos hat das Format service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Ansehen, Bearbeiten, Erstellen und Aktualisieren von Ergebnissen und Assets

IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Fehlende oder verzögerte Benachrichtigungen

In einigen Fällen kann es vorkommen, dass Benachrichtigungen fehlen, verworfen wurden oder verzögert sind:

Möglicherweise gibt es keine Ergebnisse, die den Filtern in Ihrer NotificationConfig entsprechen. Zum Testen von Benachrichtigungen können Sie mit der Security Command Center API ein Ergebnis erstellen.
Das Security Command Center-Dienstkonto muss die Rolle securitycenter.notificationServiceAgent für das Pub/Sub-Thema haben. Der Name des Dienstkontos hat das Format service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
- Wenn Sie die Rolle entfernen, ist die Veröffentlichung der Benachrichtigung deaktiviert.
- Wenn Sie die Rolle entfernen und dann wieder zuweisen, werden Benachrichtigungen verzögert.
Wenn Sie das Pub/Sub-Thema löschen und neu erstellen, werden Benachrichtigungen gelöscht.

Web Security Scanner

Dieser Abschnitt enthält Schritte zur Behebung von Fehlern, die bei der Verwendung von Security Command Center auftreten können.

Scanfehler für Compute Engine und GKE

Wenn die URL für einen Scan falsch konfiguriert ist, wird sie von Web Security Scanner abgelehnt. Mögliche Gründe für eine Ablehnung:

Die URL hat eine vorübergehende IP-Adresse.

Markieren Sie diese IP-Adresse als statisch:

Für eine Anwendung auf einer einzelnen VM reservieren Sie die IP-Adresse auf der VM.
Reservieren Sie für eine Anwendung hinter einem Load-Balancer die IP-Adresse auf dem Load-Balancer.

Die URL ist einer falschen IP-Adresse zugeordnet.

Folgen Sie der Anleitung Ihres DNS-Registrators, um dieses Problem zu beheben.

Die URL ist einer vorübergehenden IP-Adresse derselben VM zugeordnet.

Markieren Sie diese IP-Adresse als statisch.

Die URL ist einer reservierten IP-Adresse zugeordnet.

Dieser Fehler tritt auf, wenn die URL einer IP-Adresse zugeordnet ist, die in einem anderen Projekt derselben Organisation reserviert ist. Definieren Sie zur Behebung dieses Problems Sicherheitsscans für die VM oder den HTTP-Load-Balancer in dem Projekt, für das sie/er definiert ist.

Die URL ist mehreren IP-Adressen zugeordnet.

Achten Sie darauf, dass alle dieser URL zugeordneten IP-Adressen für dasselbe Projekt reserviert sind. Wenn mindestens eine IP-Adresse vorhanden ist, die nicht für dasselbe Projekt reserviert ist, schlägt der Vorgang zum Scannen, Erstellen, Bearbeiten oder Aktualisieren fehl.

Nächste Schritte

Weitere Informationen zu Security Command Center-Fehlern