トラブルシューティング

Security Command Center の使用中、次の問題が発生したときに役立つトラブルシューティングの手順について説明します。

Security Command Center を有効にできない

組織のポリシーでドメイン別に ID を制限すると、Security Command Center を有効にできません。自分とサービス アカウントは、許可されたドメインの一部である必要があります。

  • Security Command Center の有効化を試みる前に、許可されたドメインのアカウントにログインしていることを確認してください。
  • @*.gserviceaccount.com サービス アカウントを使用している場合は、許可されたドメイン内のグループの ID としてサービス アカウントを追加します。

Security Command Center のアセットが更新されない

VPC Service Controls を使用している場合、Security Command Center のサービス アカウントにアクセス権を付与する際に、Security Command Center 内のアセットのみが検出され、更新されます。

アセットの検出を有効にするには、Security Command Center のサービス アカウントにアクセス権を付与します。これにより、サービス アカウントはアセットの検出を完了し、 Google Cloud コンソールにアセットを表示できます。サービス アカウント名の形式は service-org-organization-id@security-center-api.iam.gserviceaccount.com です。

検出結果とアセットの表示、編集、作成、更新

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

通知がない、または遅延している

状況によっては、通知がない、破棄される、または遅延する可能性があります。

  • NotificationConfig のフィルタに一致する検出結果がない可能性があります。通知をテストするには、Security Command Center API を使用して検出結果を作成します。
  • Security Command Center のサービス アカウントには、Pub/Sub トピックに対する securitycenter.notificationServiceAgent ロールが必要です。サービス アカウント名の形式は service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com です。
    • ロールを削除すると、通知の公開が無効になります。
    • ロールを削除してから再びロールを付与すると、通知が遅延します。
  • Pub/Sub トピックを削除して再作成すると、通知は破棄されます。

Web Security Scanner

このセクションでは、Web Security Scanner を使用して問題が発生した場合に役立つトラブルシューティングの手順について説明します。

Compute Engine と GKE のスキャンエラー

スキャンの URL が正しく構成されていない場合、Web Security Scanner はその URL を拒否します。拒否の理由として、次のようなものが考えられます。

URL にエフェメラル IP アドレスが含まれている

この IP アドレスを静的としてマークします。

  • 単一の VM アプリケーションの場合、VM で IP アドレスを予約する
  • ロードバランサの背後にあるアプリケーションの場合、ロードバランサの IP アドレスを予約する

URL が間違った IP アドレスにマッピングされている

この検出結果を解決するには、ご使用の DNS 登録サービスの説明をご覧ください。

URL が同じ VM のエフェメラル IP アドレスにマッピングされている

この IP アドレスを静的としてマークします。

URL が予約済みの IP アドレスにマッピングされている

このエラーは、URL が同じ組織の別のプロジェクトで予約されている IP アドレスにマッピングされている場合に発生します。この問題を解決するには、VM または HTTP ロードバランサが定義されているプロジェクトのセキュリティ スキャンを定義します。

URL が複数の IP アドレスにマッピングされている

この URL にマッピングされているすべての IP アドレスが同じプロジェクトで予約されていることを確認します。同じプロジェクトで予約されていない IP アドレスが少なくとも 1 つある場合、スキャン作成、編集、更新オペレーションは失敗します。

Model Armor

このセクションでは、Model Armor の使用中に問題が発生した場合に役立つトラブルシューティングの手順について説明します。

Model Armor に対するすべての API 呼び出しが「404 Not Found」エラーを返す

Model Armor API と Private Service Connect を確立します。このエラーは通常、プライベート Google アクセスを使用している場合、または Private Service Connect を使用せずに Model Armor リージョン エンドポイント(REP)にアクセスしている場合に発生します。詳細については、Private Service Connect エンドポイントを介したリージョン エンドポイントへのアクセスについてをご覧ください。

Sensitive Data Protection フィルタでエラーが発生するか、スキップされる

次のことを確認してください。

  • Sensitive Data Protection テンプレートが、呼び出される Model Armor エンドポイントと同じリージョンにある。
  • Sensitive Data Protection テンプレートを含むプロジェクトで、Model Armor リクエストを行うサービス エージェントに dlp.User ロールと dlp.Reader ロールが付与されている。

このエラーは、SanitizeUserPrompt リクエストまたは SanitizeModelResponse リクエストのクライアント エラー、または Sensitive Data Protection テンプレートの問題が原因で発生します。

Model Armor グローバル エンドポイント エラー

API リクエストがグローバル エンドポイントではなく、適切なリージョン エンドポイントに送信されていることを確認します。

Model Armor は、リージョン エンドポイントでのみ次のオペレーションをサポートしています。

  • テンプレートに対する作成、読み取り、更新、削除、一覧取得のオペレーション。
  • SanitizeUserPromptSanitizeModelResponse API リクエスト。

これらのオペレーションの API リクエストをグローバル エンドポイントに送信すると、次のエラーが発生します。

{
 "error": {
  "code": 403,
  "message": "Write access to project '<PROJECT_ID>' was denied",
  "status": "PERMISSION_DENIED"
 }
}

次のステップ

Security Command Center のエラーについて確認する。