Diese Seite wurde von der Cloud Translation API übersetzt.

Fehlerbehebung

Hier finden Sie Schritte zur Behebung von Fehlern, die bei der Verwendung von Security Command Center auftreten können.

Aktivierung von Security Command Center schlägt fehl

Die Aktivierung von Security Command Center schlägt in der Regel fehl, wenn Ihre Organisationsrichtlinien Identitäten nach Domain beschränken. Sie und Ihr Dienstkonto müssen Teil einer zulässigen Domain sein:

Melden Sie sich in einem Konto an, das sich in einer zulässigen Domain befindet, bevor Sie versuchen, Security Command Center zu aktivieren.
Wenn Sie ein @*.gserviceaccount.com-Dienstkonto verwenden, fügen Sie das Dienstkonto als Identität in einer Gruppe innerhalb einer zulässigen Domain hinzu.

Assets in Security Command Center werden nicht aktualisiert

Wenn Sie VPC Service Controls verwenden, können Assets in Security Command Center nur erkannt und aktualisiert werden, wenn Sie dem Dienstkonto „Security Command Center“ Zugriff gewähren.

Gewähren Sie dem Security Command Center-Dienstkonto Zugriff, um die Asset-Erkennung zu aktivieren. Dadurch kann das Dienstkonto die Asset-Erkennung abschließen und Assets in der Google Cloud Console anzeigen. Der Name des Dienstkontos hat das Format service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Ansehen, Bearbeiten, Erstellen und Aktualisieren von Ergebnissen und Assets

IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen ansehen, bearbeiten, erstellen oder aktualisieren können, hängt davon ab, auf welcher Ebene Sie Zugriff erhalten. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Fehlende oder verzögerte Benachrichtigungen

In einigen Fällen kann es vorkommen, dass Benachrichtigungen fehlen, verworfen wurden oder verzögert sind:

Möglicherweise gibt es keine Ergebnisse, die den Filtern in Ihrer NotificationConfig entsprechen. Zum Testen von Benachrichtigungen können Sie mit der Security Command Center API ein Ergebnis erstellen.
Das Security Command Center-Dienstkonto muss die Rolle securitycenter.notificationServiceAgent für das Pub/Sub-Thema haben. Der Name des Dienstkontos hat das Format service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
- Wenn Sie die Rolle entfernen, ist die Veröffentlichung der Benachrichtigung deaktiviert.
- Wenn Sie die Rolle entfernen und dann wieder zuweisen, werden Benachrichtigungen verzögert.
Wenn Sie das Pub/Sub-Thema löschen und neu erstellen, werden Benachrichtigungen gelöscht.

Web Security Scanner

Dieser Abschnitt enthält Schritte zur Behebung von Fehlern, die bei der Verwendung von Security Command Center auftreten können.

Scanfehler für Compute Engine und GKE

Wenn die URL für einen Scan falsch konfiguriert ist, wird sie von Web Security Scanner abgelehnt. Mögliche Gründe für eine Ablehnung:

Die URL hat eine vorübergehende IP-Adresse.

Markieren Sie diese IP-Adresse als statisch:

Für eine Anwendung auf einer einzelnen VM reservieren Sie die IP-Adresse auf der VM.
Reservieren Sie für eine Anwendung hinter einem Load-Balancer die IP-Adresse auf dem Load-Balancer.

Die URL ist einer falschen IP-Adresse zugeordnet.

Folgen Sie der Anleitung Ihres DNS-Registrators, um dieses Problem zu beheben.

Die URL ist einer vorübergehenden IP-Adresse derselben VM zugeordnet.

Markieren Sie diese IP-Adresse als statisch.

Die URL ist einer reservierten IP-Adresse zugeordnet.

Dieser Fehler tritt auf, wenn die URL einer IP-Adresse zugeordnet ist, die in einem anderen Projekt derselben Organisation reserviert ist. Definieren Sie zur Behebung dieses Problems Sicherheitsscans für die VM oder den HTTP-Load-Balancer in dem Projekt, für das sie/er definiert ist.

Die URL ist mehreren IP-Adressen zugeordnet.

Achten Sie darauf, dass alle dieser URL zugeordneten IP-Adressen für dasselbe Projekt reserviert sind. Wenn mindestens eine IP-Adresse vorhanden ist, die nicht für dasselbe Projekt reserviert ist, schlägt der Vorgang zum Scannen, Erstellen, Bearbeiten oder Aktualisieren fehl.

Model Armor

Dieser Abschnitt enthält Schritte zur Fehlerbehebung, die bei Problemen mit Model Armor hilfreich sein können.

Alle API-Aufrufe an Model Armor geben den Fehler 404 „Nicht gefunden“ zurück

Richten Sie eine Private Service Connect-Verbindung zu den Model Armor APIs ein. Dieser Fehler tritt in der Regel auf, wenn über den privaten Google-Zugriff oder ohne Private Service Connect auf regionale Endpunkte von Model Armor zugegriffen wird. Weitere Informationen finden Sie unter Zugriff auf regionale Endpunkte über Private Service Connect-Endpunkte.

Der Filter für den Schutz sensibler Daten gibt einen Fehler zurück oder wird übersprungen

Gehen Sie so vor:

Die Vorlage für den Schutz sensibler Daten befindet sich in derselben Region wie der aufgerufene Model Armor-Endpunkt.
Der Kundenservicemitarbeiter, der die Model Armor-Anfrage stellt, hat die Rollen dlp.User und dlp.Reader im Projekt mit der Vorlage für den Schutz sensibler Daten.

Dieser Fehler tritt aufgrund von Clientfehlern in den SanitizeUserPrompt- oder SanitizeModelResponse-Anfragen oder Problemen mit der Vorlage für den Schutz sensibler Daten auf.

Fehler bei globalen Endpunkten von Model Armor

Achten Sie darauf, dass Sie die API-Anfragen an den entsprechenden regionalen Endpunkt und nicht an den globalen Endpunkt senden.

Model Armor unterstützt die folgenden Vorgänge nur an seinen regionalen Endpunkten:

Vorlagen erstellen, lesen, aktualisieren, löschen und auflisten
SanitizeUserPrompt- und SanitizeModelResponse-API-Anfragen

Nächste Schritte

Weitere Informationen zu Security Command Center-Fehlern