Fehlerbehebung

>

Hier finden Sie Schritte zur Behebung von Fehlern, die bei der Verwendung von Security Command Center auftreten können.

Fehler beim Aktivieren von Security Command Center

Das Aktivieren von Security Command Center schlägt am häufigsten fehl, wenn Ihre Organisationsrichtlinien Identitäten nach Domain einschränken. Sie und Ihr Dienstkonto müssen Teil einer zulässigen Domain sein:

  • Melden Sie sich in einem Konto an, das sich in einer zulässigen Domain befindet, bevor Sie versuchen, Security Command Center zu aktivieren.
  • Wenn Sie ein @*.gserviceaccount.com-Dienstkonto verwenden, fügen Sie das Dienstkonto als Identität in einer Gruppe innerhalb einer zulässigen Domain hinzu.

Assets in Security Command Center werden nicht aktualisiert

Wenn Sie VPC Service Controls verwenden, können Assets in Security Command Center nur erkannt und aktualisiert werden, wenn Sie dem Dienstkonto „Security Command Center“ Zugriff gewähren.

Um die Asset-Erkennung zu aktivieren, müssen Sie dem Dienstkonto von Security Command Center Zugriff gewähren. Dadurch kann das Dienstkonto die Asset-Erkennung und die Anzeige von Assets im Security Command Center-Dashboard abschließen. Der Name des Dienstkontos hat das Format service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Fehlende oder verzögerte Benachrichtigungen

In einigen Fällen kann es vorkommen, dass Benachrichtigungen fehlen, verworfen wurden oder verzögert sind:

  • Möglicherweise gibt es keine Ergebnisse, die den Filtern in Ihrer NotificationConfig entsprechen. Zum Testen von Benachrichtigungen können Sie mit der Security Command Center API ein Ergebnis erstellen.
  • Das Security Command Center-Dienstkonto muss die Rolle securitycenter.notificationServiceAgent für das Pub/Sub-Thema haben. Der Name des Dienstkontos hat das Format service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
    • Wenn Sie die Rolle entfernen, ist die Veröffentlichung der Benachrichtigung deaktiviert.
    • Wenn Sie die Rolle entfernen und dann wieder zuweisen, werden Benachrichtigungen verzögert.
  • Wenn Sie das Pub/Sub-Thema löschen und neu erstellen, werden Benachrichtigungen verworfen.

Web Security Scanner

Dieser Abschnitt enthält Schritte zur Behebung von Fehlern, die bei der Verwendung von Security Command Center auftreten können.

Scanfehler für Compute Engine und GKE

Wenn die URL für einen Scan falsch konfiguriert ist, wird sie von Web Security Scanner abgelehnt. Mögliche Gründe für eine Ablehnung:

Die URL hat eine vorübergehende IP-Adresse.

Markieren Sie diese IP-Adresse als statisch:

  • Für eine Anwendung auf einer einzelnen VM reservieren Sie die IP-Adresse auf der VM.
  • Reservieren Sie für eine Anwendung hinter einem Load-Balancer die IP-Adresse auf dem Load-Balancer.

Die URL ist einer falschen IP-Adresse zugeordnet.

Folgen Sie der Anleitung Ihres DNS-Registrators, um dieses Problem zu beheben.

Die URL ist einer vorübergehenden IP-Adresse derselben VM zugeordnet.

Markieren Sie diese IP-Adresse als statisch.

Die URL ist einer reservierten IP-Adresse zugeordnet.

Dieser Fehler tritt auf, wenn die URL einer IP-Adresse zugeordnet ist, die in einem anderen Projekt derselben Organisation reserviert ist. Definieren Sie zur Behebung dieses Problems Sicherheitsscans für die VM oder den HTTP-Load-Balancer in dem Projekt, für das sie definiert ist.

Die URL ist mehreren IP-Adressen zugeordnet.

Achten Sie darauf, dass alle dieser URL zugeordneten IP-Adressen für dasselbe Projekt reserviert sind. Wenn mindestens eine IP-Adresse vorhanden ist, die nicht für dasselbe Projekt reserviert ist, schlägt der Vorgang zum Scannen, Erstellen, Bearbeiten oder Aktualisieren fehl.