了解问题排查步骤。如果您在使用 Security Command Center 时遇到以下问题,这些问题排查步骤可能会派上用场。
启用 Security Command Center 失败
如果您的组织政策 按网域限制身份,则启用 Security Command Center 通常失败。您和您的服务账号必须是允许的网域的一部分:
- 在尝试启用 Security Command Center 之前,请确保您登录到允许的网域中的账号。
- 如果您使用的是
@*.gserviceaccount.com服务账号,请在允许的网域内将服务账号添加为身份。
Security Command Center 中的资源不会更新
如果您使用的是 VPC Service Controls,则只有在您授予对 Security Command Center 服务账号访问权限时,才能发现和更新 Security Command Center 中的资源。
如需启用资源发现功能,请向 Security Command Center 服务账号授予访问权限。这样,该服务账号就可以在 Google Cloud 控制台中完成资产发现并显示资产。
服务账号名称的格式为 service-org-organization-id@security-center-api.iam.gserviceaccount.com。
查看、修改、创建和更新发现结果和资产
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
通知缺失或延迟
在某些情况下,通知功能可能会缺失、丢失或推迟:
- 可能存在与
NotificationConfig中的过滤条件匹配的发现结果。如需测试通知,请使用 Security Command Center API 创建发现结果。 - Security Command Center 服务账号必须具有 Pub/Sub 主题的
securitycenter.notificationServiceAgent角色。服务账号名称的格式为service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com。- 如果移除角色,则停用通知发布。
- 如果您移除了角色,然后重新授予该角色,通知将被延迟。
- 如果您删除并重新创建 Pub/Sub 主题,则通知将被丢弃。
Web Security Scanner
本部分介绍了在使用 Web Security Scanner 时遇到问题时可能会有帮助的问题排查步骤
扫描 Compute Engine 和 GKE 的错误
如果扫描的网址配置错误,Web Security Scanner 会拒绝访问。拒绝的原因可能包括:
网址使用的是临时 IP 地址
将此 IP 地址标记为静态。
- 对于单个虚拟机上的应用,请预留虚拟机上的 IP 地址
- 对于位于负载均衡器的应用,可预留负载均衡器上的 IP 地址。
网址映射到错误的 IP 地址
要解决此问题,请参阅 DNS 注册商的服务说明。
网址映射到同一虚拟机的临时 IP 地址
将此 IP 地址标记为静态。
网址映射到预留的 IP 地址
当网址映射到同一组织的不同项目中预留的 IP 地址时,会发生此错误。为解决此问题,请为定义该映像的项目中的虚拟机或 HTTP 负载均衡器定义安全扫描。
网址映射到多个 IP 地址。
确保映射到此网址的所有 IP 地址都预留给同一项目。如果至少一个 IP 地址未预留给同一项目,则“扫描创建”,“修改”或“更新”操作将失败。
后续步骤
了解 Security Command Center 错误。