Saiba mais sobre as etapas de solução de problemas que podem ser úteis se você tiver os seguintes problemas ao usar o Security Command Center.
A ativação do Security Command Center falha
A ativação do Security Command Center costuma falhar se as políticas da organização restringir identidades por domínio. Você e sua conta de serviço precisam fazer parte de um domínio permitido:
- Faça login em uma conta que esteja em um domínio permitido antes de tentar ativar o Security Command Center.
- Se você estiver usando uma conta
de serviço
@*.gserviceaccount.com
, adicione-a como uma identidade em um grupo dentro de um domínio permitido.
Os recursos do Security Command Center não estão atualizando
Se você estiver usando o VPC Service Controls, os recursos do Security Command Center só poderão ser descobertos e atualizados quando você conceder acesso à conta de serviço do Security Command Center.
Para ativar a descoberta de ativos, conceda acesso à
conta de serviço do Security Command Center. Isso permite que a conta de serviço
conclua recursos de exibição e descoberta de recursos no Console do Google Cloud.
O nome da conta de serviço está na forma de
service-org-organization-id@security-center-api.iam.gserviceaccount.com
.
Como visualizar, editar, criar e atualizar descobertas e recursos
Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.
Notificações ausentes ou atrasadas
Em algumas situações, as notificações podem estar ausentes, descartadas ou com atraso:
- É possível que não haja descobertas que correspondam aos filtros no seu
NotificationConfig
. Para testar as notificações, use a API Security Command Center para criar uma descoberta. - A conta de serviço do Security Command Center precisa ter o papel
securitycenter.notificationServiceAgent
no tópico do Pub/Sub. O nome da conta de serviço está na forma deservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com
.- Se você remover o papel, a publicação de notificações será desativada.
- Se você remover o papel e, em seguida, conceder o papel novamente, as notificações serão atrasadas.
- Se você excluir e recriar o tópico do Pub/Sub, as notificações serão descartadas.
Web Security Scanner
Esta seção contém etapas de solução de problemas que podem ser úteis se você tiver problemas ao usar o Web Security Scanner
Erros de verificação do Compute Engine e do GKE
Se o URL de uma verificação estiver configurado incorretamente, o Web Security Scanner o rejeitará. Os possíveis motivos para a rejeição incluem:
O URL tem um endereço IP temporário
Marque esse endereço IP como estático:
- Para um aplicativo em uma única VM, reserve o endereço IP na VM
- Para um aplicativo protegido por um balanceador de carga, reserve o endereço IP no balanceador de carga.
O URL está mapeado para um endereço IP errado
Para corrigir esse problema, consulte as instruções do seu serviço de registrador de DNS.
O URL está mapeado para um endereço IP temporário da mesma VM
Marque esse endereço IP como estático.
O URL é mapeado para um endereço IP reservado
Esse erro ocorre quando o URL é mapeado para um endereço IP reservado em um projeto diferente da mesma organização. Para resolver isso, defina verificações de segurança para a VM ou o balanceador de carga HTTP no projeto para o qual ele está definido.
O URL está mapeado para mais de um endereço IP.
Certifique-se de que todos os endereços IP mapeados para este URL estejam reservados para o mesmo projeto. Se houver pelo menos um endereço IP que não esteja reservado para o mesmo projeto, a operação de criação ou edição ou atualização de verificação falhará.
A seguir
Saiba mais sobre os erros do Security Command Center.