Solução de problemas

>

Saiba mais sobre as etapas de solução de problemas que podem ser úteis se você tiver os seguintes problemas ao usar o Security Command Center.

A ativação do Security Command Center falha

A ativação do Security Command Center costuma falhar se as políticas da organização restringir identidades por domínio. Você e sua conta de serviço precisam fazer parte de um domínio permitido:

  • Faça login em uma conta que esteja em um domínio permitido antes de tentar ativar o Security Command Center.
  • Se você estiver usando uma conta de serviço @*.gserviceaccount.com, adicione-a como uma identidade em um grupo dentro de um domínio permitido.

Os recursos do Security Command Center não estão atualizando

Se você estiver usando o VPC Service Controls, os recursos do Security Command Center só poderão ser descobertos e atualizados quando você conceder acesso à conta de serviço do Security Command Center.

Para ativar a descoberta de ativos, conceda acesso à conta de serviço do Security Command Center. Isso permite que a conta de serviço conclua a descoberta de recursos e exiba recursos no painel do Security Command Center. O nome da conta de serviço está no formato service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Notificações ausentes ou atrasadas

Em algumas situações, as notificações podem estar ausentes, descartadas ou com atraso:

  • É possível que não haja descobertas que correspondam aos filtros no seu NotificationConfig. Para testar as notificações, use a API Security Command Center para criar uma descoberta.
  • A conta de serviço do Security Command Center precisa ter o papel securitycenter.notificationServiceAgent no tópico do Pub/Sub. O nome da conta de serviço está na forma de service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
    • Se você remover o papel, a publicação de notificações será desativada.
    • Se você remover o papel e, em seguida, conceder o papel novamente, as notificações serão atrasadas.
  • Se você excluir e recriar o tópico do Pub/Sub, as notificações serão descartadas.

Web Security Scanner

Esta seção contém etapas de solução de problemas que podem ser úteis se você tiver problemas ao usar o Web Security Scanner

Erros de verificação do Compute Engine e do GKE

Se o URL de uma verificação estiver configurado incorretamente, o Web Security Scanner o rejeitará. Os possíveis motivos para a rejeição incluem:

O URL tem um endereço IP temporário

Marque esse endereço IP como estático:

  • Para um aplicativo em uma única VM, reserve o endereço IP na VM
  • Para um aplicativo protegido por um balanceador de carga, reserve o endereço IP no balanceador de carga.

O URL está mapeado para um endereço IP errado

Para corrigir esse problema, consulte as instruções do seu serviço de registrador de DNS.

O URL está mapeado para um endereço IP temporário da mesma VM

Marque esse endereço IP como estático.

O URL é mapeado para um endereço IP reservado

Esse erro ocorre quando o URL é mapeado para um endereço IP reservado em um projeto diferente da mesma organização. Para resolver isso, defina verificações de segurança para a VM ou o balanceador de carga HTTP no projeto para o qual ele está definido.

O URL está mapeado para mais de um endereço IP.

Certifique-se de que todos os endereços IP mapeados para este URL estejam reservados para o mesmo projeto. Se houver pelo menos um endereço IP que não esteja reservado para o mesmo projeto, a operação de criação ou edição ou atualização de verificação falhará.