トラブルシューティング

Security Command Center の使用中、次の問題が発生したときに役立つトラブルシューティングの手順について説明します。

Security Command Center を有効にできない

組織のポリシーでドメイン別に ID を制限すると、Security Command Center を有効にできません。自分とサービス アカウントは、許可されたドメインの一部である必要があります。

  • Security Command Center の有効化を試みる前に、許可されたドメインのアカウントにログインしていることを確認してください。
  • @*.gserviceaccount.com サービス アカウントを使用している場合は、許可されたドメイン内のグループの ID としてサービス アカウントを追加します。

Security Command Center のアセットが更新されない

VPC Service Controls を使用している場合、Security Command Center のサービス アカウントにアクセス権を付与する際に、Security Command Center 内のアセットのみが検出され、更新されます。

アセットの検出を有効にするには、Security Command Center のサービス アカウントにアクセス権を付与します。これにより、サービス アカウントはアセットの検出を完了し、Google Cloud コンソールにアセットを表示できます。サービス アカウント名の形式は service-org-organization-id@security-center-api.iam.gserviceaccount.com です。

検出結果とアセットの表示、編集、作成、更新

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

通知がない、または遅延している

状況によっては、通知がない、破棄される、または遅延する可能性があります。

  • NotificationConfig のフィルタに一致する検出結果がない可能性があります。通知をテストするには、Security Command Center API を使用して知見を作成します。
  • Security Command Center のサービス アカウントには、Pub/Sub トピックに対する securitycenter.notificationServiceAgent ロールが必要です。サービス アカウント名は service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com の形式です。
    • ロールを削除すると、通知の公開が無効になります。
    • ロールを削除してから再びロールを付与すると、通知が遅延します。
  • Pub/Sub トピックを削除して再作成すると、通知は破棄されます。

Web Security Scanner

このセクションでは、Web Security Scanner を使用して問題が発生した場合に役立つトラブルシューティングの手順について説明します。

Compute Engine と GKE のエラーをスキャンする

スキャンの URL が正しく構成されていない場合、Web Security Scanner はその URL を拒否します。拒否の理由として、次のようなものが考えられます。

URL にエフェメラル IP アドレスが含まれている

この IP アドレスを静的としてマークします。

  • 単一の VM アプリケーションの場合、VM で IP アドレスを予約する
  • ロードバランサの背後にあるアプリケーションの場合、ロードバランサの IP アドレスを予約する

URL が間違った IP アドレスにマッピングされている

この問題を解決するには、ご使用の DNS 登録サービスの説明をご覧ください。

URL が同じ VM のエフェメラル IP アドレスにマッピングされている

この IP アドレスを静的としてマークします。

URL が予約された IP アドレスにマッピングされている

このエラーは、URL が同じ組織の別のプロジェクトで予約されている IP アドレスにマッピングされている場合に発生します。この問題を解決するには、VM または HTTP ロードバランサが定義されているプロジェクトのセキュリティ スキャンを定義します。

URL が複数の IP アドレスにマッピングされています。

この URL にマッピングされているすべての IP アドレスが同じプロジェクトで予約されていることを確認します。同じプロジェクトで予約されていない IP アドレスが少なくとも 1 つある場合、スキャン作成、編集、更新オペレーションは失敗します。

次のステップ

Security Command Center のエラーについて確認する。