Scopri i passaggi per la risoluzione dei problemi che potrebbero essere utili nel caso i seguenti problemi durante l'utilizzo di Security Command Center.
Abilitazione di Security Command Center non riuscita
L'abilitazione di Security Command Center nella maggior parte dei casi non va a buon fine se i criteri dell'organizzazione limita le identità in base al dominio. Tu e i tuoi l'account di servizio deve far parte di un dominio consentito:
- Prima di accedere, assicurati di accedere a un account appartenente a un dominio consentito prova ad abilitare Security Command Center.
- Se utilizzi un account di servizio
@*.gserviceaccount.com, aggiungilo come identità in un gruppo all'interno di un dominio consentito.
Gli asset in Security Command Center non vengono aggiornati
Se utilizzi Controlli di servizio VPC, gli asset in Security Command Center possono essere rilevato e aggiornato quando concedi l'accesso al servizio Security Command Center .
Per abilitare il rilevamento degli asset, concedi l'accesso all'account di servizio Security Command Center. In questo modo l'account di servizio
per completare il rilevamento e la visualizzazione degli asset nella console Google Cloud.
Il nome dell'account di servizio è nel formato
service-org-organization-id@security-center-api.iam.gserviceaccount.com.
Visualizzazione, modifica, creazione e aggiornamento di risultati e asset
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. La tua possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e le origini di sicurezza dipendono dal livello a cui ti viene concesso l'accesso. Per scoprire di più su Per i ruoli di Security Command Center, vedi Controllo dell'accesso.
Notifiche mancanti o ritardate
In alcune situazioni, le notifiche potrebbero mancare, essere interrotte o in ritardo:
- Potrebbero non essere disponibili risultati corrispondenti ai filtri in
NotificationConfig. Per verificare le notifiche, utilizza l'API Security Command Center per crea un risultato. - L'account di servizio Security Command Center deve avere
Ruolo
securitycenter.notificationServiceAgentin Pub/Sub per ogni argomento. Il nome dell'account di servizio è nel formatoservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- Se rimuovi il ruolo, la pubblicazione delle notifiche viene disattivata.
- Se rimuovi il ruolo e poi lo concedi di nuovo, le notifiche vengono in ritardo.
- Se elimini e ricrei l'argomento Pub/Sub, le notifiche possono essere eliminati.
Web Security Scanner
Questa sezione contiene procedure per la risoluzione dei problemi che potrebbero essere utili se hai problemi con Web Security Scanner
Analizza gli errori per Compute Engine e GKE
Se l'URL di una scansione non è configurato correttamente, Web Security Scanner lo rifiuta. Possibile tra cui:
L'URL ha un indirizzo IP temporaneo
Contrassegna questo indirizzo IP come statico:
- Per un'applicazione su una singola VM, prenota l'indirizzo IP sulla VM
- Per un'applicazione dietro un bilanciatore del carico, prenota l'indirizzo IP sul bilanciatore del carico.
L'URL è mappato a un indirizzo IP errato
Per risolvere il problema, consulta le istruzioni del servizio di registrar DNS.
L'URL è mappato a un indirizzo IP temporaneo della stessa VM
Contrassegna questo indirizzo IP come statico.
L'URL è mappato a un indirizzo IP riservato
Questo errore si verifica quando l'URL è mappato a un indirizzo IP riservato in un progetto diverso della stessa organizzazione. Per risolvere questo problema, definisci la sicurezza analizza la VM o il bilanciatore del carico HTTP nel progetto per cui è stato definito.
L'URL è mappato a più di un indirizzo IP.
Assicurati che tutti gli indirizzi IP mappati a questo URL siano riservati nello stesso progetto. Se almeno un indirizzo IP non è riservato per stesso progetto, l'operazione di scansione di creazione, modifica o aggiornamento non va a buon fine.
Passaggi successivi
Scopri di più sugli errori di Security Command Center.