Cette page a été traduite par l'API Cloud Translation.

Dépannage

Découvrez les étapes de dépannage qui pourraient vous être utiles en cas de problème lors de l'utilisation de Security Command Center.

L'activation de Security Command Center échoue

En général, l'activation de Security Command Center échoue si votre règle d'administration limite les identités par domaine. Vous et votre compte de service devez faire partie d'un domaine autorisé:

Veillez à vous connecter à un compte appartenant à un domaine autorisé avant d'essayer d'activer Security Command Center.
Si vous utilisez un compte de service @*.gserviceaccount.com, ajoutez-le en tant qu'identité dans un groupe au sein d'un domaine autorisé.

Les éléments dans Security Command Center ne sont pas mis à jour

Si vous utilisez VPC Service Controls, les éléments de Security Command Center ne peuvent être découverts et mis à jour que lorsque vous accordez l'accès au compte de service de Security Command Center.

Pour activer la détection d'éléments, accordez l'accès au compte de service Security Command Center. Cela permet au compte de service de terminer la découverte d'éléments et de les afficher dans la console Google Cloud. Le nom du compte de service se présente sous la forme service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Afficher, modifier, créer et mettre à jour des résultats et des éléments

Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Notifications manquantes ou différées

Dans certains cas, les notifications peuvent être manquantes, abandonnées ou retardées :

Il se peut qu'aucun résultat ne corresponde à ces filtres dans votre NotificationConfig. Pour tester les notifications, utilisez l'API Security Command Center afin de créer un résultat.
Le compte de service Security Command Center doit disposer du rôle securitycenter.notificationServiceAgent sur le sujet Pub/Sub. Le nom du compte de service se présente sous la forme service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
- Si vous supprimez le rôle, la publication de notifications est désactivée.
- Si vous supprimez le rôle, puis l'accordez de nouveau, les notifications sont différées.
Si vous supprimez et recréez le thème Pub/Sub, les notifications sont abandonnées.

Web Security Scanner

Cette section contient des étapes de dépannage qui vous aideront si vous rencontrez des problèmes lors de l'utilisation de Web Security Scanner.

Erreurs d'analyse pour Compute Engine et GKE

Si l'URL d'une analyse est mal configurée, Web Security Scanner la rejette. Les motifs de rejet possibles incluent les suivants :

L'URL correspond à une adresse IP éphémère.

Marquez cette adresse IP comme statique :

Pour une application sur une seule VM, réservez l'adresse IP sur la VM.
Pour une application derrière un équilibreur de charge, réservez l'adresse IP sur l'équilibreur de charge.

L'URL est mappée avec une adresse IP incorrecte

Pour résoudre ce problème, reportez-vous aux instructions du service de votre bureau d'enregistrement de DNS.

L'URL est mappée avec une adresse IP éphémère de la même VM

Marquez cette adresse IP comme statique.

L'URL est mappée avec une adresse IP réservée.

Cette erreur se produit lorsque l'URL est mappée avec une adresse IP réservée dans un autre projet de la même organisation. Pour résoudre ce problème, définissez des analyses de sécurité pour la VM ou l'équilibreur de charge HTTP dans le projet pour lequel il est défini.

L'URL est mappée avec plusieurs adresses IP.

Assurez-vous que toutes les adresses IP mappées avec cette URL sont réservées pour le même projet. Si au moins une adresse IP n'est pas réservée pour le même projet, l'opération de création, de modification ou de mise à jour de l'analyse échoue.

Model Armor

Cette section contient des étapes de dépannage qui vous aideront si vous rencontrez des problèmes lors de l'utilisation de Model Armor.

Tous les appels d'API à Model Armor renvoient une erreur 404 "Not Found" (Introuvable)

Établissez une connexion Private Service Connect aux API Model Armor. Cette erreur se produit généralement lorsque les points de terminaison régionaux (REP) de Model Armor sont accessibles à l'aide de l'accès privé à Google ou sans Private Service Connect. Pour en savoir plus, consultez la section À propos de l'accès aux points de terminaison régionaux via les points de terminaison Private Service Connect.

Le filtre de protection des données sensibles génère une erreur ou est ignoré

Effectuez les vérifications suivantes :

Le modèle Sensitive Data Protection se trouve dans la même région que le point de terminaison Model Armor appelé.
L'agent de service qui envoie la requête Model Armor dispose des rôles dlp.User et dlp.Reader dans le projet contenant le modèle de protection des données sensibles.

Cette erreur se produit en raison d'erreurs client dans les requêtes SanitizeUserPrompt ou SanitizeModelResponse, ou de problèmes liés au modèle de protection des données sensibles.

Erreurs liées aux points de terminaison globaux Model Armor

Assurez-vous d'envoyer les requêtes API au point de terminaison régional approprié plutôt qu'au point de terminaison global.

Model Armor n'est compatible qu'avec les opérations suivantes sur ses points de terminaison régionaux:

Créez, lisez, mettez à jour, supprimez et listez des opérations sur des modèles.
Requêtes API SanitizeUserPrompt et SanitizeModelResponse.

Étape suivante

Apprenez-en plus sur les erreurs Security Command Center.