Dépannage

>

Découvrez les étapes de dépannage qui pourraient vous être utiles si vous rencontrez les problèmes suivants avec Security Command Center.

Échec de l'activation de Security Command Center

L'activation de Security Command Center échoue généralement si vos règles d'administration restreignent les identités par domaine. Vous et votre compte de service devez faire partie d'un domaine autorisé :

  • Veillez à vous connecter à un compte appartenant à un domaine autorisé avant d'essayer d'activer Security Command Center.
  • Si vous utilisez un compte de service @*.gserviceaccount.com, ajoutez-le en tant qu'identité dans un groupe au sein d'un domaine autorisé.

Les éléments de Security Command Center ne sont pas mis à jour

Si vous utilisez VPC Service Controls, les éléments de Security Command Center ne peuvent être découverts et mis à jour que lorsque vous accordez l'accès au compte de service de Security Command Center.

Pour activer la découverte d'éléments, accordez l'accès au compte de service de Security Command Center. Cela permet au compte de service d'effectuer la découverte d'éléments et d'afficher des éléments dans le tableau de bord de Security Command Center. Le nom du compte de service se présente sous la forme service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Notifications manquantes ou retardées

Dans certains cas, les notifications peuvent être manquantes, abandonnées ou retardées :

  • Aucun résultat ne correspond à ces filtres dans votre NotificationConfig. Pour tester les notifications, utilisez l'API Security Command Center pour créer un résultat.
  • Le compte de service Security Command Center doit avoir le rôle securitycenter.notificationServiceAgent au niveau du thème Pub/Sub. Le nom du compte de service est au format service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
    • Si vous supprimez le rôle, la publication de notifications est désactivée.
    • Si vous supprimez le rôle, puis que vous l'attribuez à nouveau, les notifications sont retardées.
  • Si vous supprimez et recréez le thème Pub/Sub, les notifications sont abandonnées.

Web Security Scanner

Cette section contient des étapes de dépannage qui vous aideront si vous rencontrez des problèmes lors de l'utilisation de Web Security Scanner.

Erreurs d'analyse pour Compute Engine et GKE

Si l'URL d'une analyse est mal configurée, Web Security Scanner la rejette. Les motifs de rejet possibles incluent les suivants :

L'URL correspond à une adresse IP éphémère.

Marquez cette adresse IP comme statique :

  • Pour une application sur une seule VM, réservez l'adresse IP sur la VM.
  • Pour une application derrière un équilibreur de charge, réservez l'adresse IP sur l'équilibreur de charge.

L'URL est mappée avec une adresse IP incorrecte.

Pour résoudre ce problème, reportez-vous aux instructions du service de votre bureau d'enregistrement de DNS.

L'URL est mappée avec une adresse IP éphémère de la même VM.

Marquez cette adresse IP comme statique.

L'URL est mappée avec une adresse IP réservée.

Cette erreur se produit lorsque l'URL est mappée avec une adresse IP réservée dans un autre projet de la même organisation. Pour résoudre ce problème, définissez des analyses de sécurité pour la VM ou l'équilibreur de charge HTTP dans le projet pour lequel il est défini.

L'URL est mappée avec plusieurs adresses IP.

Assurez-vous que toutes les adresses IP mappées avec cette URL sont réservées pour le même projet. Si au moins une adresse IP n'est pas réservée pour le même projet, l'opération de création, de modification ou de mise à jour de l'analyse échoue.