Valider les contrôles et configurations de sécurité
Ce guide s'adresse aux ingénieurs en sécurité qui souhaitent tester de manière proactive leur sécurité en simulant des attaques dans leur environnement Google Cloud . Il explique comment implémenter un parcours de validation continue de la sécurité.
La validation de la sécurité utilise des actions et des scripts qui imitent les techniques des pirates informatiques pour déclencher des alertes de détection dans vos projets Google Cloud . Le fonctionnement continu permet d'identifier les failles. Les équipes de sécurité peuvent réduire les risques en s'assurant que les configurations et les contrôles répondent aux dernières menaces comme prévu.
Si vous réussissez ce parcours, vous obtiendrez une preuve mesurable de l'amélioration de votre posture de sécurité et vous vous assurerez que les règles de détection ou les intégrations nouvellement implémentées fonctionnent correctement sans intervention manuelle.
Cas d'utilisation courants
Cette section liste les cas d'utilisation courants de la validation de la sécurité.
Détecter la régression de la stratégie de sécurité
Objectif : identifier quand un comportement d'attaquant précédemment bloqué est exécuté avec succès dans l'environnement.
Valeur : alerte les équipes de sécurité et d'opérations en cas de dérive de configuration involontaire, ce qui leur permet de corriger les failles avant qu'elles ne soient exploitées.
Valider le réglage des contrôles de sécurité
Objectif : Vérifier que les règles de détection ou les intégrations de produits nouvellement implémentées fonctionnent comme prévu.
Valeur : fournit une preuve mesurable que les mises à jour des règles ou les modifications de l'environnement ont amélioré la posture de sécurité, ce qui permet aux équipes d'établir une nouvelle référence en toute confiance.
Terminologie clé
Contexte de validation de la sécurité : un contexte de validation de la sécurité configure l'environnement pour vos tests de sécurité. Il spécifie le projet à utiliser, le compte avec lequel exécuter le test et tout autre détail dont vos actions ont besoin.
Action de validation de la sécurité : script conçu pour imiter les techniques d'attaques réelles, utilisé pour déclencher des règles de détection afin de vérifier votre stratégie de sécurité.
Exécution de référence : exécution spécifique et terminée de la validation de la sécurité, utilisée comme référence standard pour comparer les futures exécutions.
Surveillance : il s'agit d'un job planifié (
SecurityValidationJobdans l'API) qui exécute une action de validation de la sécurité et évalue les résultats par rapport à une référence définie.État de la dérive : indicateur d'état d'un moniteur basé sur la correspondance des exécutions récentes avec la référence (état sain) ou sur la présence d'un écart (dérive détectée).
Période de corrélation : période de 12 heures après une exécution pendant laquelle le système recherche et associe les événements et les détections associés, en fonction du modèle de filtre d'événement dans les métadonnées de l'action exécutée.
Délai de surveillance : durée maximale pendant laquelle le système attend après une exécution que les événements et les détections soient corrélés avant d'évaluer l'état de dérive final. Ce délai avant expiration s'applique à la période de corrélation de 12 heures. Les résultats attendus doivent être observés avant que le délai d'expiration de ce moniteur ne soit atteint pour que le moniteur soit considéré comme réussi. Si les vérifications ne sont pas effectuées avant ce délai, le système marque le moniteur comme
failed. Cette durée est définie par défaut sur huit heures, mais peut être configurée entre 15 minutes et 10 heures.
Avant de commencer
Assurez-vous que la configuration et les autorisations suivantes sont en place.
Configuration requise
Assurez-vous que la configuration suivante est en place :
La validation de la sécurité doit être activée pour votre locataire.
La validation de la sécurité ne fonctionne qu'avec les projets autogérés.
Vous avez besoin d'un ou deux projets Google Cloud . Bien que vous puissiez utiliser le même projet pour l'exécution et le ciblage, nous vous recommandons d'utiliser des projets distincts pour une meilleure sécurité, pour que vos tests restent propres et pour faciliter la gestion de votre configuration.
Projet d'exécution : la validation de la sécurité exécute vos tests de sécurité dans le projet d'exécution. Pour ce faire, il utilise Cloud Run et Cloud Storage. Ces jobs et buckets ne sont destinés à être utilisés que par le service de validation. Les autres utilisateurs ne doivent pas y avoir accès.
Les API Cloud Run, API Resource Manager et IAM doivent être activées dans ce projet. Vous devez également disposer des autorisations
resourcemanager.projects.SetIamPolicy,storage.buckets.SetIamPolicy,storage.buckets.createetstorage.buckets.deletepour pouvoir créer un contexte de validation de la sécurité. Pour obtenir la liste des rôles qui fournissent cette autorisation, consultez la documentation de référence sur les autorisations IAM.Projet cible : projet dans lequel s'exécutent les appels d'API effectués par le script d'action de validation de la sécurité. Le succès des actions dépend de l'activation des API requises utilisées par les actions dans ce projet et des autorisations nécessaires des comptes de service dans le contexte de validation de la sécurité.
Comptes de service : nécessite un ou plusieurs comptes de service dans le projet d'exécution. Ces comptes exécutent les scripts d'action. Tout utilisateur qui doit exécuter une action avec un contexte spécifique doit disposer de l'autorisation
iam.serviceAccounts.actAssur le ou les comptes de service dans ce contexte.
Autorisations requises
Attribuez l'un des rôles prédéfinis suivants dans le projet de votre instance SecOps.
chronicle.viewer: accès en lecture seule aux actions, contextes, jobs et ressources d'exécution de la validation de la sécurité.chronicle.editor: inclut toutes les autorisationsviewer, ainsi que la possibilité de créer, de mettre à jour, d'exécuter et de supprimer des contextes et des jobs de validation de la sécurité.chronicle.admin: inclut toutes les autorisationseditoret la possibilité de créer, de modifier et de supprimer des actions de validation de la sécurité personnalisées (API uniquement).
Si vous n'utilisez pas les rôles prédéfinis listés ci-dessus, vous pouvez accorder des autorisations équivalentes à l'aide d'un rôle personnalisé ou en attribuant le rôle chronicle.securityValidationAdmin, qui inclut les mêmes autorisations que chronicle.admin.
Pour en savoir plus, consultez la section Rôles requis.
Implémenter une validation de sécurité continue
La validation de votre posture de sécurité implique une progression structurée :
Définir votre environnement
Exécuter des simulations pour établir une référence
Automatiser les simulations pour détecter la dérive.
Ce workflow permet de s'assurer que vos contrôles de sécurité restent efficaces à mesure que votre environnement évolue.
Créer un contexte de validation de la sécurité
Un contexte de validation de la sécurité configure l'environnement pour vos tests de sécurité. Il spécifie le projet à utiliser, le compte avec lequel exécuter le test et tout autre détail dont vos actions ont besoin. Vous pouvez réutiliser le même contexte pour différentes actions.
Pour créer un contexte de validation de la sécurité :
Accédez à Validation de la sécurité, puis à l'onglet Contextes d'exécution.
Cliquez sur Ajouter un contexte d'exécution.
Dans la boîte de dialogue Ajouter un contexte d'exécution, procédez comme suit :
Dans Propriétés de base, saisissez le nom et la description du contexte, puis cliquez sur Suivant.
Dans Paramètres de l'environnement, saisissez l'ID du projet Google Cloud , le compte de service d'exécution et le compte de service de nettoyage. Cliquez sur Next (Suivant).
Nous vous recommandons d'utiliser des comptes de service distincts pour
action profile(pour exécuter les scripts d'action) et poursetup/cleanup profile(pour exécuter les scripts de configuration et de nettoyage qui font partie de certaines actions). Différentes autorisations peuvent être accordées à ces comptes de service dans le projet cible.Dans Variables d'exécution, ajoutez une ou plusieurs variables pour remplacer dynamiquement les paramètres par défaut. Ajoutez des paires clé/valeur où
keyest le nom du paramètre etvaluesa valeur de remplacement.Cliquez sur Créer.
Exécuter l'action de validation de la sécurité
Pour exécuter une action de validation de la sécurité pour un contexte de validation de la sécurité :
Accédez à Validation de la sécurité, puis à l'onglet Bibliothèque de contenu.
Sélectionnez une action, puis cliquez sur Exécuter.
Dans la boîte de dialogue, sélectionnez le contexte d'exécution que vous avez créé, puis cliquez sur Exécuter maintenant.
Une exécution est créée et s'affiche dans l'onglet Historique des exécutions.
Gérer les écrans de validation de la sécurité
Vous pouvez réexécuter automatiquement les actions réussies de manière récurrente à l'aide de la fonctionnalité de surveillance. Il permet de surveiller en continu la stratégie de sécurité sans intervention manuelle.
Créer un moniteur
Vous ne pouvez créer un moniteur qu'à partir d'une exécution réussie. Pour créer un moniteur à partir d'une exécution :
Accédez à Validation de la sécurité, puis à l'onglet Historique d'exécution.
Cliquez sur l'ID d'exécution d'une exécution, puis sur Créer un moniteur.
Facultatif : Dans la fenêtre Créer un moniteur, donnez un nom au moniteur.
Si vous ne saisissez pas de nom de surveillance, la surveillance est référencée par un ID de surveillance.
Examinez les détails d'exécution de référence affichés dans cette fenêtre.
Cliquez sur Suivant.
Configurez les paramètres du moniteur.
Vous pouvez exécuter un moniteur à des heures spécifiques ou toutes les heures.
Pour exécuter le moniteur à des heures spécifiques :
Dans le menu déroulant Heure, sélectionnez Exécuter à une heure spécifique.
Spécifiez l'heure dans la zone de texte adjacente.
Dans l'option Jours, sélectionnez l'une des options suivantes :
Tous les jours : s'exécute tous les jours à l'heure spécifiée.
Jours de la semaine : l'opération s'exécute uniquement les jours sélectionnés (par exemple, lundi, mercredi et vendredi) à l'heure spécifiée.
Jour du mois : s'exécute une fois par mois, le jour spécifié (par exemple, le 15) à l'heure spécifiée.
Dans le menu déroulant Mois, sélectionnez Tous les mois (pour exécuter le moniteur tous les mois) ou Mois spécifiques pour indiquer les mois exacts où le moniteur doit s'exécuter (par exemple, janvier, avril, juillet).
Dans le menu déroulant Fuseau horaire, sélectionnez le fuseau horaire requis. Par défaut, ce champ est défini sur le fuseau horaire indiqué dans vos préférences utilisateur (qui peuvent être différentes des paramètres de votre navigateur). Pour trouver ou modifier ce paramètre par défaut, accédez à Profil > Préférences utilisateur > Localisation > Fuseau horaire.
Cliquez sur Suivant.
Pour exécuter la surveillance à intervalles horaires :
Dans le menu déroulant Heure, sélectionnez Répéter toutes les heures.
Définissez la fréquence de répétition du cycle de surveillance dans le champ heure(s) et la minute spécifique dans le champ minute(s). Par exemple, si vous définissez une heure et 30 minutes, le moniteur s'exécute toutes les heures et 30 minutes (et non toutes les 90 minutes).
Dans l'option Heures, sélectionnez l'une des options suivantes :
Toutes les heures de la journée : le moniteur s'exécutera 24 h/24, toutes les heures de la journée, en fonction de la fréquence spécifiée.
Heure de début et de fin : le moniteur ne s'exécute que dans la plage horaire de début et de fin spécifiée (par exemple, entre 8h et 17h).
Dans l'option Jours, sélectionnez l'une des options suivantes :
Tous les jours : s'exécute tous les jours à l'heure spécifiée.
Jours de la semaine : l'opération s'exécute uniquement les jours sélectionnés (par exemple, lundi, mercredi et vendredi) à l'heure spécifiée.
Jour du mois : s'exécute une fois par mois, le jour spécifié (par exemple, le 15) à l'heure spécifiée.
Dans le menu déroulant Mois, sélectionnez Tous les mois (pour exécuter le contrôle tous les mois) ou Mois spécifiques pour indiquer les mois exacts où le contrôle doit s'exécuter (par exemple, janvier, avril, juillet).
Dans le menu déroulant Fuseau horaire, sélectionnez le fuseau horaire requis. Par défaut, ce champ est défini sur le fuseau horaire indiqué dans vos préférences utilisateur (qui peuvent être différentes des paramètres de votre navigateur). Pour trouver ou modifier ce paramètre par défaut, accédez à Profil > Préférences utilisateur > Localisation > Fuseau horaire.
Cliquez sur Suivant.
Dans Résultats attendus, cochez ou décochez les conditions selon vos besoins. Vous devez sélectionner au moins une condition.
Le résultat de l'action correspond à la référence : évalue si l'état d'exécution, le résultat et le motif du résultat correspondent à la référence. Les trois paramètres doivent correspondre pour que la vérification renvoie la valeur "true".
Les produits d'événements corrélés correspondent à la référence :
Regroupe les événements corrélés par produit.
Vérifie que l'exécution actuelle comporte au moins un événement pour chaque produit listé dans la référence.
La vérification ignore les événements provenant de produits qui n'en ont pas dans la référence.
Elle renvoie
falsesi les événements correspondant à la référence n'arrivent pas avant le délai d'expiration.
Règles de détection corrélée alertant sur la correspondance de base :
Regroupe les détections par règle et par état d'alerte.
Vérifie que l'exécution actuelle comporte au moins une détection à partir d'une règle qui a des détections dans l'exécution de référence.
Ignore les détections des règles qui n'en ont aucune dans l'exécution de référence.
Renvoie
falsesi les détections correspondant à la référence n'arrivent pas avant le délai d'expiration.
Cliquez sur Créer pour créer le moniteur.
Afficher et exécuter un moniteur
Pour afficher un moniteur créé :
Accédez à Validation de la sécurité, puis à l'onglet Moniteurs. Certaines colonnes sont masquées par défaut. Cliquez sur Gestionnaire de colonnes pour gérer la visibilité des colonnes.
Recherchez votre écran spécifique dans la liste.
Cliquez sur le lien du moniteur pour ouvrir la page d'informations correspondante.
Cliquez sur Exécuter maintenant pour exécuter le moniteur.
La page d'informations du moniteur fournit une vue d'ensemble centralisée et générale du moniteur. Il vous permet d'évaluer rapidement l'état et l'intégrité généraux d'un moniteur. Il fournit les informations importantes suivantes sur le moniteur :
Récapitulatif de l'état
Les fiches de métriques suivantes offrent une vue d'ensemble de la stabilité du moniteur :
Surveiller l'état de fonctionnement : affiche l'état actuel en fonction de la dernière exécution avec un résultat finalisé du moniteur (par exemple,
Healthy) et la durée pendant laquelle cet état a été maintenu.Dernier résultat opérationnel ou non opérationnel : pointeur vers la dernière exécution qui s'est écartée de la référence.
Fraîcheur des résultats : indique le temps écoulé depuis la dernière exécution avec un état de surveillance finalisé.
Résultats attendus
Cette section définit les critères de réussite dérivés de l'exécution de référence.
Résultat et motif de l'action : le résultat et le motif de l'action qui correspondent à l'exécution de référence (par exemple,
NOT_BLOCKEDavec un motif associé).Produits ayant généré des événements : liste des produits pour les événements corrélés qui correspondent à l'exécution de référence.
Règles de détection des alertes : liste des règles de détection corrélée des alertes qui correspondent à l'exécution de référence.
Le tableau Résultats du contrôle affiche toutes les exécutions du contrôle. Le tableau est compatible avec la recherche textuelle, le filtrage et la configuration des colonnes.
Activer ou désactiver un écran
Pour activer ou désactiver un moniteur :
Accédez à Validation de la sécurité, puis à l'onglet Moniteurs.
Cliquez sur le bouton État pour activer ou désactiver un moniteur. Vous pouvez également cliquer sur Suspendre le moniteur ou Redémarrer le moniteur sur la page Détails du moniteur pour modifier son état.
Modifier ou supprimer un moniteur
Pour modifier ou supprimer un moniteur, procédez comme suit :
Accédez à Validation de la sécurité, puis à l'onglet Moniteurs.
Cliquez sur le menu du moniteur que vous souhaitez modifier.
Cliquez sur Modifier le moniteur pour modifier le moniteur ou sur Supprimer le moniteur pour le supprimer. Vous pouvez également cliquer sur Modifier le moniteur sur la page Détails du moniteur pour le modifier.
Cliquez sur Mettre à jour ou Confirmer pour appliquer les modifications.
Examiner les résultats de la surveillance
Pour afficher toutes les exécutions d'un moniteur, procédez comme suit :
Accédez à Validation de la sécurité, puis à l'onglet Moniteurs.
Cliquez sur le menu du moniteur.
Cliquez sur Afficher tous les résultats. La page Historique des exécutions s'affiche.
Les exécutions sont filtrées pour afficher toutes celles associées à ce moniteur spécifique.
Afficher les résultats de la dernière exécution
Pour afficher les résultats de la dernière exécution d'un moniteur :
Accédez à Validation de la sécurité, puis à l'onglet Moniteurs.
Cliquez sur le menu du moniteur.
Cliquez sur Afficher les résultats de la dernière exécution pour ouvrir les détails de l'exécution.
Le système affiche les détails de la dernière exécution du moniteur.
Examiner les résultats d'exécution
Vous pouvez afficher l'action Security Validation que vous exécutez dans l'onglet Historique des exécutions. Pour examiner les résultats de l'exécution, procédez comme suit :
Accédez à Validation de la sécurité, puis à l'onglet Historique des exécutions pour surveiller l'état de l'exécution.
La colonne État de l'exécution indique si l'exécution a réussi ou si une erreur s'est produite. Si l'opération réussit, vous pouvez afficher les événements générés et les détections déclenchées par l'action de validation de la sécurité dans Google SecOps.
Cliquez sur l'ID d'exécution pour afficher les détails de l'exécution.
La page Détails de l'exécution de l'action fournit l'état, le résultat et une analyse approfondie d'une action de validation. Utilisez cette page pour valider votre niveau de sécurité en identifiant les règles de détection déclenchées par l'activité de l'action.
La progression de la corrélation indique la progression du workflow de corrélation en temps réel pour une exécution. Pendant l'exécution de la corrélation, le nombre total d'événements peut augmenter jusqu'à la fin de la tâche.
Analyser le tableau "Règles corrélées"
Le tableau Règles corrélées liste les règles de détection déclenchées lors de l'exécution de l'action, y compris les règles personnalisées et celles sélectionnées.
Le tableau affiche à la fois les règles personnalisées et celles sélectionnées. Il comprend deux groupes : * Règles explicitement définies dans les métadonnées de l'action * Règles supplémentaires déclenchées par des événements corrélés
Cela vous permet d'identifier les règles qui ont fonctionné comme prévu et celles qui nécessitent peut-être un examen plus approfondi.
Le tableau contient les colonnes suivantes :
Nom de la règle : nom de la règle de détection. Cliquez sur le nom de la règle pour afficher sa définition et son historique de détection.
Nombre de détections : nombre de détections déclenchées par la règle. La valeur
0indique qu'aucun événement correspondant n'a été trouvé.Détections : lien vers la page Détections qui affiche les détections déclenchées lors de cette exécution.
Associé à l'action : indique si la règle faisait partie des métadonnées de l'action :
Oui : les métadonnées de l'action incluent la règle. Le système s'attend à ce qu'elle se déclenche lorsque l'action est exécutée.
Non : les métadonnées de cette action n'incluent pas la règle, mais sa logique correspond aux événements générés et l'a déclenchée.
Ce tableau vous aide à identifier les résultats :
| Colonne "Associée à l'action" | Colonne "Nombre de détections" | Signification |
|---|---|---|
YES
|
1 ou plus
|
Succès : une règle attendue a déclenché une ou plusieurs détections. |
NO
|
1 ou plus
|
Une règle inattendue a été déclenchée par l'activité. |
YES
|
0
|
Une règle attendue n'a déclenché aucune détection. |
Analyser les événements corrélés
Après avoir exécuté une action de validation de la sécurité, utilisez les événements corrélés pour évaluer la façon dont votre environnement et vos contrôles de sécurité ont réagi à la menace simulée.
Votre analyse comprend deux composants : l'état en temps réel du workflow de corrélation et un tableau détaillé de tous les événements générés.
L'état de corrélation des événements indique l'état actuel du workflow, qui peut être l'un des suivants :
En cours d'exécution : le système recherche activement des événements corrélés.
Terminée : toutes les activités de corrélation d'événements ont été effectuées.
Erreur : le workflow de corrélation a rencontré une erreur et n'a pas pu se terminer.
La mention Workflow de corrélation terminé à indique une estimation de l'heure à laquelle la corrélation devrait se terminer ou s'est terminée.
Le tableau "Événements" liste tous les événements générés par l'action. Utilisez ces données pour analyser les réponses individuelles dans votre environnement et vos contrôles de sécurité.
Le tableau contient les colonnes suivantes :
Événement : ID de l'événement. Cliquez pour afficher les détails de l'événement dans la recherche UDM.
Horodatage de l'événement : heure à laquelle l'événement s'est produit dans le système source (par exemple, le serveur ou le pare-feu).
Code temporel observé : heure à laquelle le service de validation de la sécurité a trouvé l'événement et l'a corrélé à l'exécution.
Produit : produit qui a généré l'événement.
Action du résultat de sécurité : résultat de l'événement (
BlockedouNot blocked), basé sur le champsecurity_result.actionde l'événement UDM.
Les actions peuvent cibler des régions en dehors de l'instance Google SecOps dans laquelle elles sont exécutées. Les résultats de l'exécution affichent les journaux récupérés à partir du projet d'exécution.
Accéder à des composants et des références avancés
Consultez les ressources suivantes pour obtenir des exemples de configuration et un mappage des données de référence.
Exemple d'implémentation : générer un jeton d'accès à l'aide de signJWT
Prenons l'exemple de l'action d'autorisation "Générer un jeton d'accès à l'aide de signJWT". Cet exemple suppose que vous avez déjà configuré un contexte de validation de la sécurité et que vous exécutez l'action dans ce contexte. L'action devrait générer des Cloud Audit Logs et déclencher la règle de détection des menaces "Génération de jeton d'accès avec signJWT".
La configuration suivante est requise :
API activées : l'API des identifiants de compte de service Identity and Access Management (IAM) doit être activée dans les projets cible et d'exécution.
Autorisations du compte de service : le compte de service spécifié dans le champ
profiledu contexte de validation de la sécurité doit disposer de l'autorisationiam.serviceAccounts.signJwtdans le projet cible. Vous pouvez l'accorder via le rôle Créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator). Ce rôle peut être accordé au niveau du projet ou du compte de service cible (qui, pour cette action, est le compte de service Compute Engine par défaut du projet cible).Journaux d'audit IAM : les journaux d'audit IAM (
ADMIN_READ) doivent être activés dans le projet cible pour enregistrer les événements générés par cette action.Filtre d'exportation personnalisé : pour ingérer les événements générés par cette action via l'ingestion SecOps Google Cloud , un filtre d'exportation personnalisé doit être défini pour inclure
log_id("cloudaudit.googleapis.com/data_access").Ensemble de règles : l'ensemble de règles "Menaces cloud > [Google Cloud] Utilisation abusive d'IAM" doit être activé et configuré pour générer des alertes afin que les détections s'affichent dans la vue Recherche et analyse.
Exemples de surveillance de la planification
Utilisez ces exemples comme référence lorsque vous configurez des plannings récurrents pour la surveillance continue.
| Configuration | Quand s'exécute-t-il ? |
|---|---|
| Heure : exécution à une heure spécifique (22h) Jours : jours de la semaine (lundi) Mois : mensuel Fuseau horaire : EST |
Exécution tous les lundis à 22h00 (heure normale de l'Est). |
| Heure : Exécuter à une heure spécifique (01:00) Jours : Jour du mois (1) Mois : Spécifier (janv., avr., juill., oct.) Fuseau horaire : PST |
S'exécute à 1h du matin (heure du Pacifique) le premier jour de janvier, avril, juillet et octobre. |
| Heure : exécution à une heure spécifique (14h00) Jours : tous les jours Mois : tous les mois Fuseau horaire : UTC |
Exécution tous les jours à 14h00 (temps universel coordonné). |
| Heure : exécution à une heure spécifique (9h30) Jours : jour du mois (15) Mois : spécifier (février, avril, juin, août, octobre, décembre) Fuseau horaire : EST |
Exécution à 9h30 (heure de la côte est des États-Unis) le 15 de chaque mois pair (février, avril, juin, août, octobre, décembre). |
|
Heure : Répéter toutes les heures Intervalle : Toutes les heures Heures : Toutes les heures |
Il s'exécute en continu. S'exécute précisément au début de chaque heure, 24 heures sur 24 (par exemple, à 1h00, 2h00, 3h00, etc.). |
|
Heure : Répéter toutes les heures Intervalle : Toutes les 4 heures Heures : Heure de début et de fin (22h à 6h) |
S'exécute uniquement la nuit. S'exécute à 22h, 2h et 6h pour capturer l'état du serveur pendant les périodes de faible trafic. |
Dépannage
Latence et limites
Les résultats des exécutions de moniteurs récemment déclenchés ne sont pas immédiatement renseignés avec les données de détection et d'événement en raison de la fenêtre de corrélation.
Correction des erreurs
| Erreur | Description du problème | Corriger |
|---|---|---|
| Erreur d'autorisation IAM | L'autorisation iam.serviceaccounts.actAs a été refusée pour le compte de service.
|
Si vous avez créé ou modifié le contexte juste avant d'exécuter l'action, patientez quelques minutes, puis réessayez. Les modifications IAM sont cohérentes. Toutefois, la propagation des attributions de rôle dans le système peut prendre du temps. Vérifiez que l'identité exécutant l'action dispose de l'autorisation "iam.serviceaccounts.actAs" sur le compte de service spécifié. |
Validation et test
Pour vérifier que votre moniteur est correctement configuré sans attendre le prochain intervalle planifié, utilisez le bouton Exécuter maintenant sur la page d'informations du moniteur. Actualisez la page une fois la période de corrélation écoulée pour vérifier l'état de l'exécution.