Hier finden Sie Schritte zur Behebung von Fehlern, die bei der Verwendung von Security Command Center auftreten können.
Aktivierung von Security Command Center schlägt fehl
Die Aktivierung von Security Command Center schlägt in der Regel fehl, wenn Ihre Organisationsrichtlinien Identitäten nach Domain beschränken. Sie und Ihr Dienstkonto müssen Teil einer zulässigen Domain sein:
- Melden Sie sich in einem Konto an, das sich in einer zulässigen Domain befindet, bevor Sie versuchen, Security Command Center zu aktivieren.
- Wenn Sie ein
@*.gserviceaccount.com-Dienstkonto verwenden, fügen Sie das Dienstkonto als Identität in einer Gruppe innerhalb einer zulässigen Domain hinzu.
Assets in Security Command Center werden nicht aktualisiert
Wenn Sie VPC Service Controls verwenden, können Assets in Security Command Center nur erkannt und aktualisiert werden, wenn Sie dem Dienstkonto „Security Command Center“ Zugriff gewähren.
Gewähren Sie Zugriff auf das Security Command Center-Dienstkonto, um die Asset-Erkennung zu aktivieren. Dadurch kann das Dienstkonto die Asset-Erkennung abschließen und Assets in der Google Cloud Console anzeigen.
Der Name des Dienstkontos hat das Format service-org-organization-id@security-center-api.iam.gserviceaccount.com.
Ansehen, Bearbeiten, Erstellen und Aktualisieren von Ergebnissen und Assets
Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene zugewiesen werden. Ob Sie Ergebnisse, Assets und Sicherheitsquellen aufrufen, bearbeiten, erstellen oder aktualisieren können, hängt von der Ebene ab, auf der Ihnen Zugriff gewährt wurde. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Fehlende oder verzögerte Benachrichtigungen
In einigen Fällen kann es vorkommen, dass Benachrichtigungen fehlen, verworfen wurden oder verzögert sind:
- Möglicherweise gibt es keine Ergebnisse, die den Filtern in Ihrer
NotificationConfigentsprechen. Zum Testen von Benachrichtigungen können Sie mit der Security Command Center API ein Ergebnis erstellen. - Das Security Command Center-Dienstkonto muss die Rolle
securitycenter.notificationServiceAgentfür das Pub/Sub-Thema haben. Der Name des Dienstkontos hat das Formatservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- Wenn Sie die Rolle entfernen, ist die Veröffentlichung der Benachrichtigung deaktiviert.
- Wenn Sie die Rolle entfernen und dann wieder zuweisen, werden Benachrichtigungen verzögert.
- Wenn Sie das Pub/Sub-Thema löschen und neu erstellen, werden Benachrichtigungen gelöscht.
Web Security Scanner
Dieser Abschnitt enthält Schritte zur Behebung von Fehlern, die bei der Verwendung von Security Command Center auftreten können.
Scanfehler für Compute Engine und GKE
Wenn die URL für einen Scan falsch konfiguriert ist, wird sie von Web Security Scanner abgelehnt. Mögliche Gründe für eine Ablehnung:
Die URL hat eine vorübergehende IP-Adresse.
Markieren Sie diese IP-Adresse als statisch:
- Für eine Anwendung auf einer einzelnen VM reservieren Sie die IP-Adresse auf der VM.
- Reservieren Sie für eine Anwendung hinter einem Load-Balancer die IP-Adresse auf dem Load-Balancer.
Die URL ist einer falschen IP-Adresse zugeordnet.
Folgen Sie der Anleitung Ihres DNS-Registrators, um dieses Problem zu beheben.
Die URL ist einer vorübergehenden IP-Adresse derselben VM zugeordnet.
Markieren Sie diese IP-Adresse als statisch.
Die URL ist einer reservierten IP-Adresse zugeordnet.
Dieser Fehler tritt auf, wenn die URL einer IP-Adresse zugeordnet ist, die in einem anderen Projekt derselben Organisation reserviert ist. Definieren Sie zur Behebung dieses Problems Sicherheitsscans für die VM oder den HTTP-Load-Balancer in dem Projekt, für das sie/er definiert ist.
Die URL ist mehreren IP-Adressen zugeordnet.
Achten Sie darauf, dass alle dieser URL zugeordneten IP-Adressen für dasselbe Projekt reserviert sind. Wenn mindestens eine IP-Adresse vorhanden ist, die nicht für dasselbe Projekt reserviert ist, schlägt der Vorgang zum Scannen, Erstellen, Bearbeiten oder Aktualisieren fehl.
Nächste Schritte
Weitere Informationen zu Security Command Center-Fehlern