Soluciona problemas

>

Obtén información sobre los pasos para solucionar problemas que pueden ser útiles si tienes los siguientes inconvenientes mientras usas Security Command Center.

No se puede habilitar Security Command Center

Por lo general, la habilitación de Security Command Center falla si las políticas de la organización restringen identidades por dominio. Tú y tu cuenta de servicio deben ser parte de un dominio permitido:

  • Asegúrate de acceder a una cuenta que esté en un dominio permitido antes de intentar habilitar Security Command Center.
  • Si usas una cuenta de servicio @*.gserviceaccount.com, agrégala como una identidad en un grupo dentro de un dominio permitido.

No se actualizan los elementos del Security Command Center

Si usas los Controles del servicio de VPC, solo se pueden descubrir y actualizar los elementos de Security Command Center cuando otorgas acceso a la cuenta de servicio de Security Command Center.

Para habilitar la detección de activos, otorga el acceso a la cuenta de servicio de Security Command Center. Con esto, la cuenta de servicio puede completar la detección de recursos y mostrar elementos en el panel de Security Command Center. El nombre de la cuenta de servicio tiene el formato service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Notificaciones faltantes o retrasadas

En algunas situaciones, es posible que falten las notificaciones, se pierdan o se retrasen:

  • Es posible que no haya resultados que coincidan con los filtros en tu NotificationConfig. Si quieres probar las notificaciones, usa la API de Security Command Center para crear un resultado.
  • La cuenta de servicio de Security Command Center debe tener la función securitycenter.notificationServiceAgent en el tema de Pub/Sub. El nombre de la cuenta de servicio tiene el formato service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
    • Si quitas la función, la publicación de notificaciones estará inhabilitada.
    • Si quitas la función y, luego, vuelves a otorgar la función, las notificaciones se demoran.
  • Si borras y vuelves a crear el tema de Pub/Sub, se descartarán las notificaciones.

Web Security Scanner

Esta sección contiene pasos para solucionar problemas que pueden servirte si tienes problemas con el análisis de seguridad web

Errores de análisis para Compute Engine y GKE

Si la URL de un análisis está mal configurada, Web Security Scanner la rechaza. Las posibles razones para el rechazo incluyen:

La URL tiene una dirección IP efímera.

Marca esta dirección IP como estática.

  • Para una aplicación en una sola VM, reserva la dirección IP en la VM
  • Para una aplicación detrás de un balanceador de cargas, reserva la dirección IP en el balanceador de cargas.

La URL está mapeada a una dirección IP incorrecta.

Para solucionar este problema, consulta las instrucciones del servicio de registrador de DNS.

La URL se asigna a una dirección IP efímera de la misma VM

Marca esta dirección IP como estática.

La URL está mapeada a una dirección IP reservada

Este error ocurre cuando la URL está mapeada a una dirección IP reservada en un proyecto diferente de la misma organización. A fin de solucionar esto, define los análisis de seguridad para la VM o el balanceador de cargas HTTP en el proyecto para el que está definido.

La URL está mapeada a más de una dirección IP.

Asegúrate de que todas las direcciones IP asignadas a esta URL estén reservadas para el mismo proyecto. Si hay al menos una dirección IP que no está reservada para el mismo proyecto, la operación de creación o edición de análisis falla.