Saiba mais sobre as etapas de solução de problemas que podem ser úteis se você tiver os seguintes problemas ao usar o Security Command Center.
A ativação do Security Command Center falha
A ativação do Security Command Center costuma falhar se as políticas da organização restringir identidades por domínio. Você e sua conta de serviço precisam fazer parte de um domínio permitido:
- Faça login em uma conta que esteja em um domínio permitido antes de tentar ativar o Security Command Center.
- Se você estiver usando uma conta
de serviço
@*.gserviceaccount.com, adicione-a como uma identidade em um grupo dentro de um domínio permitido.
Os recursos do Security Command Center não estão atualizando
Se você estiver usando o VPC Service Controls, os recursos do Security Command Center só poderão ser descobertos e atualizados quando você conceder acesso à conta de serviço do Security Command Center.
Para ativar a descoberta de ativos, conceda acesso à
conta de serviço do Security Command Center. Isso permite que a conta de serviço conclua a descoberta
de recursos e exiba recursos no painel do Security Command Center. O
nome da conta de serviço está no formato
service-org-organization-id@security-center-api.iam.gserviceaccount.com.
Notificações ausentes ou atrasadas
Em algumas situações, as notificações podem estar ausentes, descartadas ou com atraso:
- É possível que não haja descobertas que correspondam aos filtros no seu
NotificationConfig. Para testar as notificações, use a API Security Command Center para criar uma descoberta. - A conta de serviço do Security Command Center precisa ter o papel
securitycenter.notificationServiceAgentno tópico do Pub/Sub. O nome da conta de serviço está na forma deservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- Se você remover o papel, a publicação de notificações será desativada.
- Se você remover o papel e, em seguida, conceder o papel novamente, as notificações serão atrasadas.
- Se você excluir e recriar o tópico do Pub/Sub, as notificações serão descartadas.
Web Security Scanner
Esta seção contém etapas de solução de problemas que podem ser úteis se você tiver problemas ao usar o Web Security Scanner
Erros de verificação do Compute Engine e do GKE
Se o URL de uma verificação estiver configurado incorretamente, o Web Security Scanner o rejeitará. Os possíveis motivos para a rejeição incluem:
O URL tem um endereço IP temporário
Marque esse endereço IP como estático:
- Para um aplicativo em uma única VM, reserve o endereço IP na VM
- Para um aplicativo protegido por um balanceador de carga, reserve o endereço IP no balanceador de carga.
O URL está mapeado para um endereço IP errado
Para corrigir esse problema, consulte as instruções do seu serviço de registrador de DNS.
O URL está mapeado para um endereço IP temporário da mesma VM
Marque esse endereço IP como estático.
O URL é mapeado para um endereço IP reservado
Esse erro ocorre quando o URL é mapeado para um endereço IP reservado em um projeto diferente da mesma organização. Para resolver isso, defina verificações de segurança para a VM ou o balanceador de carga HTTP no projeto para o qual ele está definido.
O URL está mapeado para mais de um endereço IP.
Certifique-se de que todos os endereços IP mapeados para este URL estejam reservados para o mesmo projeto. Se houver pelo menos um endereço IP que não esteja reservado para o mesmo projeto, a operação de criação ou edição ou atualização de verificação falhará.