Dépannage

>

Découvrez les étapes de dépannage qui pourraient vous être utiles en cas de problème lors de l'utilisation de Security Command Center.

L'activation de Security Command Center échoue

En général, l'activation de Security Command Center échoue si votre règle d'administration limite les identités par domaine. Vous et votre compte de service devez faire partie d'un domaine autorisé:

  • Veillez à vous connecter à un compte appartenant à un domaine autorisé avant d'essayer d'activer Security Command Center.
  • Si vous utilisez un compte de service @*.gserviceaccount.com, ajoutez-le en tant qu'identité dans un groupe au sein d'un domaine autorisé.

Les éléments dans Security Command Center ne sont pas mis à jour

Si vous utilisez VPC Service Controls, les éléments de Security Command Center ne peuvent être découverts et mis à jour que lorsque vous accordez l'accès au compte de service de Security Command Center.

Pour activer la détection d'éléments, accordez l'accès au compte de service Security Command Center. Cela permet au compte de service de terminer la découverte d'éléments et de les afficher dans le tableau de bord de Security Command Center. Le nom du compte de service se présente sous la forme service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Notifications manquantes ou différées

Dans certains cas, les notifications peuvent être manquantes, abandonnées ou retardées :

  • Il se peut qu'aucun résultat ne corresponde à ces filtres dans votre NotificationConfig. Pour tester les notifications, utilisez l'API Security Command Center afin de créer un résultat.
  • Le compte de service Security Command Center doit disposer du rôle securitycenter.notificationServiceAgent sur le sujet Pub/Sub. Le nom du compte de service se présente sous la forme service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
    • Si vous supprimez le rôle, la publication de notifications est désactivée.
    • Si vous supprimez le rôle, puis l'accordez de nouveau, les notifications sont différées.
  • Si vous supprimez et recréez le thème Pub/Sub, les notifications sont abandonnées.

Web Security Scanner

Cette section contient des étapes de dépannage qui vous aideront si vous rencontrez des problèmes lors de l'utilisation de Web Security Scanner.

Erreurs d'analyse pour Compute Engine et GKE

Si l'URL d'une analyse est mal configurée, Web Security Scanner la rejette. Les motifs de rejet possibles incluent les suivants :

L'URL correspond à une adresse IP éphémère.

Marquez cette adresse IP comme statique :

  • Pour une application sur une seule VM, réservez l'adresse IP sur la VM.
  • Pour une application derrière un équilibreur de charge, réservez l'adresse IP sur l'équilibreur de charge.

L'URL est mappée avec une adresse IP incorrecte.

Pour résoudre ce problème, reportez-vous aux instructions du service de votre bureau d'enregistrement de DNS.

L'URL est mappée avec une adresse IP éphémère de la même VM.

Marquez cette adresse IP comme statique.

L'URL est mappée avec une adresse IP réservée.

Cette erreur se produit lorsque l'URL est mappée avec une adresse IP réservée dans un autre projet de la même organisation. Pour résoudre ce problème, définissez des analyses de sécurité pour la VM ou l'équilibreur de charge HTTP dans le projet pour lequel il est défini.

L'URL est mappée avec plusieurs adresses IP.

Assurez-vous que toutes les adresses IP mappées avec cette URL sont réservées pour le même projet. Si au moins une adresse IP n'est pas réservée pour le même projet, l'opération de création, de modification ou de mise à jour de l'analyse échoue.