문제해결

>

Security Command Center를 사용하는 동안 다음과 같은 문제가 발생할 경우 도움이 될 수 있는 문제해결 단계에 대해 알아보세요.

Security Command Center 사용 설정 실패

조직 정책이 도메인별로 ID를 제한하는 경우 가장 일반적으로 Security Command Center 사용 설정이 실패합니다. 사용자와 서비스 계정은 허용된 도메인의 일부여야 합니다.

  • Security Command Center를 사용 설정하기 전에 허용된 도메인에 있는 계정에 로그인해야 합니다.
  • @*.gserviceaccount.com 서비스 계정을 사용하는 경우 허용된 도메인 내의 그룹에서 서비스 계정을 ID로 추가합니다.

Security Command Center의 애셋이 업데이트되지 않음

VPC 서비스 제어를 사용하는 경우 Security Command Center의 애셋은 Security Command Center 서비스 계정에 액세스 권한을 부여할 때만 검색하고 업데이트할 수 있습니다.

애셋 검색을 사용 설정하려면 Security Command Center 서비스 계정에 액세스 권한을 부여합니다. 그러면 서비스 계정이 Security Command Center 대시보드에 애셋 검색을 완료하고 애셋을 표시할 수 있습니다. 서비스 계정 이름은 service-org-organization-id@security-center-api.iam.gserviceaccount.com 형식입니다.

누락되었거나 지연된 알림

경우에 따라 알림이 누락, 삭제, 지연될 수 있습니다.

  • NotificationConfig의 필터와 일치하는 발견 항목이 없을 수도 있습니다. 알림을 테스트하려면 Security Command Center API를 사용하여 발견 항목을 만듭니다.
  • Security Command Center 서비스 계정에는 Pub/Sub 주제에 대한 securitycenter.notificationServiceAgent 역할이 있어야 합니다. 서비스 계정 이름은 service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com 형식입니다.
    • 역할을 삭제하면 알림 게시가 사용 중지됩니다.
    • 역할을 삭제한 후 다시 역할을 부여하면 알림이 지연됩니다.
  • Pub/Sub 주제를 삭제하고 다시 만들면 알림이 삭제됩니다.

Web Security Scanner

이 섹션에서는 Web Security Scanner 사용 중에 문제가 발생할 경우 도움이 될 수 있는 문제해결 단계가 포함되어 있습니다.

Compute Engine 및 GKE의 스캔 오류

스캔의 URL이 잘못 구성된 경우 Web Security Scanner는 URL을 거부합니다. 거부 이유에는 다음이 포함될 수 있습니다.

URL에 임시 IP 주소가 있습니다.

이 IP 주소를 고정 주소로 설정합니다.

  • 단일 VM의 애플리케이션의 경우 VM에 IP 주소를 예약합니다.
  • 부하 분산기 뒤에 있는 애플리케이션의 경우 부하 분산기에 IP 주소를 예약합니다.

URL이 잘못된 IP 주소에 매핑되어 있습니다.

이 문제를 해결하려면 DNS 등록기관 서비스의 안내를 참조하세요.

URL이 동일한 VM의 임시 IP 주소에 매핑되어 있습니다.

이 IP 주소를 고정 주소로 설정합니다.

URL이 예약된 IP 주소에 매핑되어 있습니다.

이 오류는 URL이 동일한 조직의 다른 프로젝트에서 예약된 IP 주소에 매핑될 때 발생합니다. 이 문제를 해결하려면 스캔을 정의할 프로젝트의 VM 또는 HTTP 부하 분산기를 대상으로 하는 보안 스캔을 정의합니다.

URL이 두 개 이상의 IP 주소에 매핑되어 있습니다.

이 URL에 매핑된 모든 IP 주소가 동일한 프로젝트에 예약되어 있는지 확인합니다. 동일한 프로젝트에 예약되지 않은 IP 주소가 하나 이상 있는 경우 스캔 만들기, 수정, 업데이트 작업이 실패합니다.