Security Command Center の使用中、次の問題が発生したときに役立つトラブルシューティングの手順について説明します。
Security Command Center を有効にできない
組織のポリシーでドメイン別に ID を制限すると、Security Command Center を有効にできません。自分とサービス アカウントは、許可されたドメインの一部である必要があります。
- Security Command Center の有効化を試みる前に、許可されたドメインのアカウントにログインしていることを確認してください。
@*.gserviceaccount.comサービス アカウントを使用している場合は、許可されたドメイン内のグループの ID としてサービス アカウントを追加します。
Security Command Center のアセットが更新されない
VPC Service Controls を使用している場合、Security Command Center のサービス アカウントにアクセス権を付与する際に、Security Command Center 内のアセットのみが検出され、更新されます。
アセットの検出を有効にするには、Security Command Center のサービス アカウントにアクセス権を付与します。これにより、サービス アカウントはアセットの検出を完了し、Google Cloud コンソールにアセットを表示できます。サービス アカウント名の形式は service-org-organization-id@security-center-api.iam.gserviceaccount.com です。
検出結果とアセットの表示、編集、作成、更新
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
通知がない、または遅延している
状況によっては、通知がない、破棄される、または遅延する可能性があります。
NotificationConfigのフィルタに一致する検出結果がない可能性があります。通知をテストするには、Security Command Center API を使用して検出結果を作成します。- Security Command Center のサービス アカウントには、Pub/Sub トピックに対する
securitycenter.notificationServiceAgentロールが必要です。サービス アカウント名の形式はservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.comです。- ロールを削除すると、通知の公開が無効になります。
- ロールを削除してから再びロールを付与すると、通知が遅延します。
- Pub/Sub トピックを削除して再作成すると、通知は破棄されます。
Web Security Scanner
このセクションでは、Web Security Scanner を使用して問題が発生した場合に役立つトラブルシューティングの手順について説明します。
Compute Engine と GKE のスキャンエラー
スキャンの URL が正しく構成されていない場合、Web Security Scanner はその URL を拒否します。拒否の理由として、次のようなものが考えられます。
URL にエフェメラル IP アドレスが含まれている
この IP アドレスを静的としてマークします。
- 単一の VM アプリケーションの場合、VM で IP アドレスを予約する
- ロードバランサの背後にあるアプリケーションの場合、ロードバランサの IP アドレスを予約する
URL が間違った IP アドレスにマッピングされている
この問題を解決するには、ご使用の DNS 登録サービスの説明をご覧ください。
URL が同じ VM のエフェメラル IP アドレスにマッピングされている
この IP アドレスを静的としてマークします。
URL が予約済みの IP アドレスにマッピングされている
このエラーは、URL が同じ組織の別のプロジェクトで予約されている IP アドレスにマッピングされている場合に発生します。この問題を解決するには、VM または HTTP ロードバランサが定義されているプロジェクトのセキュリティ スキャンを定義します。
URL が複数の IP アドレスにマッピングされている
この URL にマッピングされているすべての IP アドレスが同じプロジェクトで予約されていることを確認します。同じプロジェクトで予約されていない IP アドレスが少なくとも 1 つある場合、スキャン作成、編集、更新オペレーションは失敗します。
次のステップ
Security Command Center のエラーについて確認する。