Convalidare i controlli e le configurazioni di sicurezza

Questa guida è rivolta ai security engineer che vogliono testare in modo proattivo la propria sicurezza simulando attacchi nel loro ambiente Google Cloud . Spiega come implementare un percorso di convalida della sicurezza continua.

Security Validation utilizza azioni e script che imitano le tecniche degli attaccanti per attivare avvisi di rilevamento nei tuoi progetti Google Cloud . Il funzionamento continuo identifica le vulnerabilità e i team addetti alla sicurezza possono ridurre il rischio assicurandosi che le configurazioni e i controlli rispondano alle minacce più recenti come previsto.

Il completamento di questo percorso fornisce una prova misurabile del miglioramento della postura di sicurezza e garantisce che le regole di rilevamento o le integrazioni appena implementate funzionino correttamente senza intervento manuale.

Casi d'uso comuni

Questa sezione elenca i casi d'uso comuni della convalida della sicurezza.

Rilevare la regressione della postura di sicurezza

Obiettivo: identificare quando un comportamento di un attaccante precedentemente bloccato viene eseguito correttamente nell'ambiente.

Valore: avvisa i team di sicurezza e operazioni di una deriva della configurazione non intenzionale, consentendo loro di correggere le vulnerabilità prima che vengano sfruttate.

Convalidare l'ottimizzazione del controllo di sicurezza

Obiettivo: conferma che le regole di rilevamento o le integrazioni di prodotti appena implementate funzionino come previsto.

Valore: fornisce prove misurabili che gli aggiornamenti delle regole o le modifiche all'ambiente hanno migliorato la security posture, consentendo ai team di stabilire con sicurezza una nuova base di riferimento.

Terminologia chiave

  • Contesto di convalida della sicurezza: un contesto di convalida della sicurezza configura l'ambiente per i test di sicurezza. Specifica il progetto da utilizzare, l'account con cui eseguire il test e qualsiasi altro dettaglio necessario per le tue azioni.

  • Azione di convalida della sicurezza: uno script progettato per imitare le tecniche di attacco reali, utilizzato per attivare le regole di rilevamento per verificare la tua postura di sicurezza.

  • Esecuzione di base: un'esecuzione specifica e completata di convalida della sicurezza utilizzata come riferimento standard per confrontare le esecuzioni future.

  • Monitora: un job programmato (SecurityValidationJob nell'API) che esegue un'azione di convalida della sicurezza e valuta i risultati in base a una baseline definita.

  • Stato di deriva: l'indicatore di integrità di un monitor in base al fatto che le esecuzioni recenti corrispondano alla baseline (integro) o mostrino una deviazione (deriva rilevata).

  • Finestra di correlazione: il periodo di 12 ore successivo a un'esecuzione durante il quale il sistema cerca e associa eventi e rilevamenti correlati, in base al modello di filtro eventi nei metadati dell'azione eseguita.

  • Timeout monitor: la durata massima in cui il sistema attende dopo un'esecuzione che gli eventi e i rilevamenti vengano correlati prima di valutare lo stato finale della deriva. Questo timeout opera all'interno della finestra di correlazione più ampia di 12 ore. I risultati previsti devono essere osservati prima che venga raggiunto il timeout di questo monitoraggio affinché il monitoraggio venga considerato riuscito. Se i controlli non vengono superati prima di questo timeout, il sistema contrassegna il monitor come failed. Questa durata è impostata per impostazione predefinita su 8 ore, ma può essere configurata tra 15 minuti e 10 ore.

Prima di iniziare

Assicurati che siano presenti la seguente configurazione e le seguenti autorizzazioni.

Configurazione richiesta

Assicurati di aver configurato quanto segue:

  • Nel tuo tenant deve essere attivata la funzionalità Security Validation.

  • La convalida della sicurezza funziona solo con i progetti autogestiti.

  • Hai bisogno di uno o due Google Cloud progetti. Sebbene tu possa utilizzare lo stesso progetto sia per l'esecuzione che per il targeting, ti consigliamo di utilizzare progetti separati per una maggiore sicurezza, per mantenere i test puliti e per semplificare la gestione della configurazione.

    • Progetto di esecuzione: Security Validation esegue i test di sicurezza nel progetto di esecuzione. Per farlo, utilizza Cloud Run e Cloud Storage. Questi job e bucket sono destinati all'utilizzo esclusivo da parte del servizio di convalida. Gli altri utenti non devono avere accesso.

      L'API Cloud Run, l'API Resource Manager e l'API IAM devono essere abilitate in questo progetto e devi disporre delle autorizzazioni resourcemanager.projects.SetIamPolicy, storage.buckets.SetIamPolicy, storage.buckets.create e storage.buckets.delete per creare un contesto di convalida della sicurezza. Consulta la pagina Riferimento alle autorizzazioni IAM per l'elenco dei ruoli che forniscono questa autorizzazione.

    • Progetto di destinazione: in cui operano le chiamate API effettuate dallo script dell'azione di convalida della sicurezza. La riuscita delle azioni dipende dal fatto che le API richieste utilizzate dalle azioni siano abilitate in questo progetto e che i service account nel contesto di convalida della sicurezza dispongano delle autorizzazioni necessarie su di esse.

  • Service account: richiede uno o più service account nel progetto di esecuzione. Questi account eseguono gli script di azione. Qualsiasi utente che deve eseguire un'azione con un contesto specifico deve disporre dell'autorizzazione iam.serviceAccounts.actAs per account di serviziont in quel contesto.

Autorizzazioni obbligatorie

Assegna uno dei seguenti ruoli predefiniti nel progetto dell'istanza SecOps.

  • chronicle.viewer: accesso di sola lettura ad azioni, contesti, job e risorse di esecuzione di convalida della sicurezza.

  • chronicle.editor: include tutte le autorizzazioni viewer e la possibilità di creare, aggiornare, eseguire ed eliminare contesti e job di convalida della sicurezza.

  • chronicle.admin: include tutte le autorizzazioni editor e la possibilità di creare, aggiornare ed eliminare azioni di convalida della sicurezza personalizzate (solo API).

Se non utilizzi i ruoli predefiniti elencati sopra, puoi concedere autorizzazioni equivalenti utilizzando un ruolo personalizzato o assegnando il ruolo chronicle.securityValidationAdmin, che include le stesse autorizzazioni di chronicle.admin.

Per saperne di più, consulta Ruoli richiesti.

Implementare la convalida di sicurezza continua

La convalida della postura di sicurezza prevede una progressione strutturata:

  • Definizione dell'ambiente

  • Esecuzione di simulazioni per stabilire una base di riferimento

  • Automatizzazione delle simulazioni per rilevare la deriva.

Questo flusso di lavoro garantisce che i tuoi controlli di sicurezza rimangano efficaci man mano che il tuo ambiente si evolve.

Creare un contesto di convalida di sicurezza

Un contesto di convalida della sicurezza configura l'ambiente per i test di sicurezza. Specifica il progetto da utilizzare, l'account con cui eseguire il test e qualsiasi altro dettaglio necessario per le azioni. Puoi riutilizzare lo stesso contesto per azioni diverse.

Per creare un contesto di convalida della sicurezza:

  1. Accedi a Google SecOps.

  2. Vai a Convalida della sicurezza e poi alla scheda Contesti di esecuzione.

  3. Fai clic su Aggiungi contesto di esecuzione.

  4. Nella finestra di dialogo Aggiungi contesto di esecuzione, procedi nel seguente modo:

    1. In Proprietà di base, inserisci il nome e la descrizione del contesto e fai clic su Avanti.

    2. In Impostazioni ambiente, inserisci l'ID progetto Google Cloud , l'account di servizio di esecuzione e l'account di servizio di pulizia. Fai clic su Avanti.

      Ti consigliamo di utilizzare service account separati per action profile (per eseguire script di azioni) e per setup/cleanup profile (per eseguire gli script di configurazione e pulizia che fanno parte di alcune azioni). A questi account di servizio possono essere assegnate autorizzazioni diverse nel progetto di destinazione.

    3. In Variabili runtime, aggiungi una o più variabili per sostituire dinamicamente i parametri predefiniti. Aggiungi coppie chiave-valore in cui key è il nome del parametro e value è il relativo valore di override.

    4. Fai clic su Crea.

Esegui l'azione di convalida della sicurezza

Per eseguire un'azione di convalida della sicurezza per un contesto di convalida della sicurezza:

  1. Accedi a Google SecOps.

  2. Vai a Convalida della sicurezza e poi alla scheda Libreria dei contenuti.

  3. Seleziona un'azione e fai clic su Esegui.

  4. Nella finestra di dialogo, seleziona il contesto di esecuzione che hai creato e fai clic su Esegui ora.

Viene creata una nuova esecuzione, che viene visualizzata nella scheda Cronologia esecuzioni.

Gestire i monitor di convalida della sicurezza

Puoi eseguire nuovamente in modo automatico le azioni riuscite su base ricorrente utilizzando la funzionalità di monitoraggio. Consente il monitoraggio continuo della strategia di sicurezza senza intervento manuale.

Creare un monitoraggio

Puoi creare un monitor solo da un'esecuzione completata correttamente. Per creare un monitoraggio da un'esecuzione:

  1. Accedi a Google SecOps.

  2. Vai a Convalida della sicurezza e alla scheda Cronologia di esecuzione.

  3. Fai clic sull'ID esecuzione di un'esecuzione e poi su Crea monitor.

  4. (Facoltativo) Nella finestra Crea monitor, assegna un nome al monitor.

    Se non inserisci un nome per il monitor, viene fatto riferimento al monitor tramite un ID monitor.

    Esamina i dettagli di esecuzione della base di riferimento visualizzati in questa finestra.

  5. Fai clic su Avanti.

  6. Configura le impostazioni del monitor.

    Puoi eseguire un monitoraggio a orari specifici o ogni ora.

    Per eseguire il monitoraggio in orari specifici:

    1. Nel menu a discesa Ora, seleziona Esegui in un orario specifico.

    2. Specifica l'ora del giorno nella casella di testo adiacente.

    3. Nell'opzione Giorni, seleziona una delle seguenti opzioni:

      • Giornaliero: viene eseguito ogni giorno all'ora specificata.

      • Giorni della settimana: viene eseguito solo nei giorni selezionati (ad esempio, lun, mer, ven) all'ora specificata.

      • Giorno del mese: viene eseguito una volta al mese nel giorno specificato (ad esempio, il 15) all'ora specificata.

    4. Nel menu a discesa Mesi, seleziona Mensile (per l'esecuzione ogni mese) o Mesi specifici per specificare i mesi esatti in cui deve essere eseguito il monitoraggio (ad esempio gennaio, aprile, luglio).

    5. Nel menu a discesa Fuso orario, seleziona il fuso orario richiesto. Questo campo viene impostato per impostazione predefinita sul fuso orario definito nelle Preferenze utente (che potrebbero differire dalle impostazioni del browser). Per trovare o modificare questa impostazione predefinita, vai a Profilo > Preferenze utente > Localizzazione > Fuso orario.

    6. Fai clic su Avanti.

    Per eseguire il monitoraggio a intervalli orari, segui questi passaggi:

    1. Nel menu a discesa Ora, seleziona Ripeti ogni ora.

    2. Imposta la frequenza di ripetizione del ciclo di monitoraggio nel campo ore e il minuto specifico nel campo minuti. Ad esempio, se imposti 1 ora e 30 minuti, il monitor viene eseguito ogni ora 30 minuti dopo l'ora (NON viene eseguito ogni 90 minuti).

    3. Nell'opzione Ore, seleziona una delle seguenti opzioni:

      • Tutte le ore del giorno:il monitoraggio verrà eseguito 24 ore su 24, ogni ora del giorno, in base alla frequenza specificata.

      • Ora di inizio e di fine:il monitoraggio verrà eseguito solo nell'intervallo di ore di inizio e fine specificato (ad esempio, tra le 8:00 e le 17:00).

    4. Nell'opzione Giorni, seleziona una delle seguenti opzioni:

      • Giornaliero: viene eseguito ogni giorno all'ora specificata.

      • Giorni della settimana: viene eseguito solo nei giorni selezionati (ad esempio, lunedì, mercoledì, venerdì) all'ora specificata.

      • Giorno del mese: viene eseguito una volta al mese nel giorno specificato (ad esempio, il 15) all'ora specificata.

    5. Nel menu a discesa Mesi, seleziona Mensile (per l'esecuzione ogni mese) o Mesi specifici per specificare i mesi esatti in cui deve essere eseguito il monitoraggio (ad esempio gennaio, aprile, luglio).

    6. Nel menu a discesa Fuso orario, seleziona il fuso orario richiesto. Questo campo viene impostato per impostazione predefinita sul fuso orario definito nelle Preferenze utente (che potrebbero differire dalle impostazioni del browser). Per trovare o modificare questa impostazione predefinita, vai a Profilo > Preferenze utente > Localizzazione > Fuso orario.

    7. Fai clic su Avanti.

  7. In Risultati previsti, seleziona o deseleziona le condizioni in base alle esigenze. Devi selezionare almeno una condizione.

    • Il risultato dell'azione corrisponde alla base di riferimento:valuta se lo stato di esecuzione, il risultato e il motivo del risultato corrispondono alla base di riferimento. Tutti e tre i parametri devono corrispondere affinché il controllo restituisca il valore true.

    • I prodotti correlati degli eventi corrispondono alla base di riferimento:

      • Raggruppa gli eventi correlati per prodotto.

      • Verifica che l'esecuzione corrente abbia almeno un evento per ogni prodotto elencato nella baseline.

      • Il controllo ignora gli eventi dei prodotti che non hanno eventi nella base di riferimento.

      • Restituisce false se gli eventi corrispondenti al riferimento non arrivano prima del timeout.

    • Gli avvisi delle regole di rilevamento correlate corrispondono alla base di riferimento:

      • Raggruppa i rilevamenti in base alla regola e allo stato di avviso.

      • Verifica che l'esecuzione corrente abbia almeno un rilevamento da una regola che ha rilevamenti nell'esecuzione di base.

      • Ignora i rilevamenti delle regole che non hanno rilevamenti nell'esecuzione della base di riferimento.

      • Restituisce false se i rilevamenti corrispondenti alla base di riferimento non arrivano prima del timeout.

  8. Fai clic su Crea per creare il monitor.

Visualizzare ed eseguire un monitoraggio

Per visualizzare un monitor creato:

  1. Vai a Security Validation (Convalida della sicurezza) e alla scheda Monitors (Monitor). Alcune colonne sono nascoste per impostazione predefinita; fai clic su Gestione colonne per gestire la visibilità delle colonne.

  2. Individua il monitor specifico nell'elenco.

  3. Fai clic sul link del monitor per aprire la pagina dei dettagli.

  4. Fai clic su Esegui ora per eseguire il monitoraggio.

La pagina dei dettagli del monitor fornisce una panoramica generale e centralizzata del monitor. Ti aiuta a valutare a colpo d'occhio lo stato e l'integrità complessivi di un monitor. Fornisce le seguenti informazioni importanti sul Monitor:

Riepilogo della salute

Le seguenti schede delle metriche forniscono una panoramica generale della stabilità del monitor:

  • Monitoraggio dello stato di integrità: mostra lo stato attuale in base all'ultima esecuzione con un risultato di monitoraggio finalizzato (ad esempio Healthy) e per quanto tempo è stato mantenuto questo stato.

  • Ultimo risultato integro o non integro: fornisce un puntatore all'esecuzione più recente che si è discostata dalla baseline.

  • Aggiornamento dei risultati: mostra il tempo trascorso dall'ultima esecuzione con uno stato del monitor definitivo.

Risultati previsti

Questa sezione definisce i criteri di successo derivati dall'esecuzione di base.

  • Risultato e motivo dell'azione: il risultato e il motivo dell'azione che corrispondono all'esecuzione della base di riferimento (ad esempio, NOT_BLOCKED con un motivo di accompagnamento).

  • Prodotti che hanno generato eventi: l'elenco dei prodotti per gli eventi correlati che corrispondono all'esecuzione di base.

  • Regole di rilevamento degli avvisi: l'elenco delle regole di rilevamento correlate degli avvisi che corrispondono all'esecuzione di base.

La tabella Monitora risultati mostra tutte le esecuzioni del monitor. La tabella supporta la ricerca di testo, il filtro e la configurazione delle colonne.

Attivare o disattivare un monitor

Per attivare o disattivare un monitor:

  1. Vai a Security Validation (Convalida della sicurezza) e alla scheda Monitors (Monitor).

  2. Fai clic sul pulsante di attivazione/disattivazione Stato per attivare o disattivare un monitor. In alternativa, puoi fare clic su Metti in pausa monitor o Riavvia monitor nella pagina Dettagli monitor per modificarne lo stato.

Modificare o eliminare un Monitor

Per modificare o eliminare un monitor:

  1. Vai a Security Validation (Convalida della sicurezza) e alla scheda Monitors (Monitor).

  2. Fai clic sul menu del monitor che vuoi modificare.

  3. Fai clic su Modifica monitor per modificare il monitor o su Elimina monitor per eliminarlo. Puoi anche fare clic su Modifica monitor nella pagina Dettagli monitor per modificarlo.

  4. Fai clic su Aggiorna o Conferma per applicare le modifiche.

Esaminare i risultati del monitoraggio

Per visualizzare tutte le esecuzioni di un monitor, segui questi passaggi:

  1. Vai a Security Validation (Convalida della sicurezza) e alla scheda Monitors (Monitor).

  2. Fai clic sul menu sul monitor.

  3. Fai clic su Visualizza tutti i risultati. Viene visualizzata la pagina Cronologia esecuzioni.

Le esecuzioni vengono filtrate per visualizzare tutte quelle associate a questo monitor specifico.

Visualizza i risultati dell'ultima esecuzione

Per visualizzare i risultati dell'ultima esecuzione di un monitor:

  1. Vai a Security Validation (Convalida della sicurezza) e alla scheda Monitors (Monitor).

  2. Fai clic sul menu sul monitor.

  3. Fai clic su Visualizza risultati ultima esecuzione per aprire i Dettagli esecuzione.

Il sistema mostra i dettagli dell'esecuzione più recente eseguita per il monitor.

Esaminare i risultati dell'esecuzione

Puoi visualizzare l'azione di convalida della sicurezza che esegui nella scheda Cronologia esecuzione. Per esaminare i risultati dell'esecuzione:

  1. Accedi a Google SecOps.

  2. Vai a Convalida della sicurezza e alla scheda Cronologia di esecuzione per monitorare lo stato di esecuzione.

    La colonna Stato esecuzione indica se l'esecuzione è andata a buon fine o se si è verificato un errore. In caso di esito positivo, puoi visualizzare gli eventi e i rilevamenti generati attivati dall'azione di convalida della sicurezza in Google SecOps.

  3. Fai clic sull'ID esecuzione per visualizzare i dettagli dell'esecuzione.

La pagina Dettagli esecuzione azione fornisce lo stato, il risultato e l'analisi approfondita di un'azione di convalida. Utilizza questa pagina per convalidare il tuo livello di sicurezza comprendendo quali regole di rilevamento hanno attivato l'attività dell'azione.

Avanzamento correlazione mostra l'avanzamento del workflow di correlazione in tempo reale per un'esecuzione. Durante l'esecuzione della correlazione, il conteggio totale degli eventi potrebbe aumentare fino al termine dell'attività.

Analizzare la tabella Regole correlate

La tabella Regole correlate elenca le regole di rilevamento attivate durante l'esecuzione dell'azione, incluse le regole personalizzate e curate.

La tabella mostra le regole personalizzate e quelle curate. Include due gruppi: * Regole definite esplicitamente nei metadati dell'azione * Regole aggiuntive attivate da eventi correlati

In questo modo puoi identificare le regole che hanno funzionato come previsto e quelle che potrebbero richiedere ulteriori indagini.

La tabella include le seguenti colonne:

  • Nome regola:il nome della regola di rilevamento. Fai clic sul nome della regola per visualizzarne la definizione e la cronologia di rilevamento.

  • Conteggio rilevamenti:il numero di rilevamenti attivati dalla regola. Un valore pari a 0 indica che non sono stati trovati eventi corrispondenti.

  • Rilevamenti:link alla pagina Rilevamenti che mostra i rilevamenti attivati da questa esecuzione.

  • Associato all'azione:indica se la regola faceva parte dei metadati dell'azione:

    • :i metadati dell'azione includono la regola. Il sistema si aspetta che si attivi quando viene eseguita l'azione.

    • No:i metadati di questa azione non includono la regola, ma la sua logica corrispondeva agli eventi generati e l'ha attivata.

Questa tabella ti aiuta a identificare i risultati:

Colonna Associata all'azione Colonna Conteggio rilevamenti Che cosa significa
YES 1 o più Riuscito: una regola prevista ha attivato correttamente uno o più rilevamenti.
NO 1 o più L'attività ha attivato una regola imprevista.
YES 0 Una regola prevista non ha attivato alcun rilevamento.

Analizzare gli eventi correlati

Dopo aver eseguito un'azione di convalida della sicurezza, utilizza gli eventi correlati per valutare in che modo l'ambiente e i controlli di sicurezza hanno risposto alla minaccia simulata.

L'analisi include due componenti: uno stato in tempo reale del flusso di lavoro di correlazione e una tabella dettagliata di tutti gli eventi generati.

Lo stato di correlazione degli eventi mostra lo stato attuale del flusso di lavoro come uno dei seguenti:

  • In esecuzione:il sistema sta cercando attivamente eventi correlati.

  • Completata:tutte le attività di correlazione degli eventi sono state completate correttamente.

  • Errore:il workflow di correlazione ha riscontrato un errore e non è stato possibile completarlo.

Il campo Completamento workflow di correlazione indica una stima del tempo in cui è previsto il completamento della correlazione.

La tabella Eventi elenca tutti gli eventi generati dall'azione. Utilizza questi dati per analizzare le risposte individuali nei tuoi controlli di ambiente e sicurezza.

La tabella include le seguenti colonne:

  • Evento: ID evento. Fai clic per visualizzare i dettagli dell'evento in UDM Search.

  • Timestamp evento:ora in cui si è verificato l'evento nel sistema di origine (ad esempio, il server o il firewall).

  • Timestamp osservato:ora in cui il servizio di convalida della sicurezza ha trovato e correlato l'evento con l'esecuzione.

  • Prodotto:il prodotto che ha generato l'evento.

  • Azione del risultato di sicurezza:risultato dell'evento (Blocked o Not blocked), in base al campo security_result.action dell'evento UDM.

Le azioni possono avere come destinazione regioni esterne all'istanza Google SecOps in cui vengono eseguite. I risultati dell'esecuzione mostrano i log recuperati dal progetto di esecuzione.

Accedere ad asset e riferimenti avanzati

Esamina le seguenti risorse per esempi di configurazione e mappatura dei dati di riferimento.

Implementazione di esempio: genera il token di accesso utilizzando signJWT

Prendi in considerazione un esempio dell'azione Genera token di accesso utilizzando l'autorizzazione signJWT. Questo esempio presuppone che tu abbia già configurato un contesto di convalida della sicurezza e che tu stia eseguendo l'azione all'interno di questo contesto. L'azione dovrebbe generare Cloud Audit Logs e attivare la generazione di token di accesso con la regola di rilevamento delle minacce signJWT.

È richiesta la seguente configurazione:

  • API abilitate:le credenziali dell'account di servizio IAM (Identity and Access Management) devono essere abilitate sia nel progetto di destinazione sia in quello di esecuzione.

  • Autorizzazioni del service account:il account di servizio specificato nel campo profile del contesto di convalida della sicurezza deve disporre dell'autorizzazione iam.serviceAccounts.signJwt nel progetto di destinazione. Questo può essere concesso tramite il ruolo Creatore token service account (roles/iam.serviceAccountTokenCreator). Questo ruolo può essere concesso al progetto o al account di servizio di destinazione (che, per questa azione, è il account di servizio Compute Engine predefinito del progetto di destinazione).

  • Audit logging IAM:l'audit logging IAM (ADMIN_READ) deve essere abilitato nel progetto di destinazione per acquisire gli eventi generati da questa azione.

  • Filtro di esportazione personalizzato:per importare gli eventi generati da questa azione tramite l'importazione di SecOps Google Cloud , deve essere impostato un filtro di esportazione personalizzato che includa log_id("cloudaudit.googleapis.com/data_access").

  • Set di regole:il set di regole Cloud Threats -> [Google Cloud] IAM Abuse deve essere attivato e impostato per la generazione di avvisi per visualizzare i rilevamenti nella ricerca e nella visualizzazione di analisi.

Esempi di monitoraggio della pianificazione

Utilizza questi esempi come riferimento quando configuri pianificazioni ricorrenti per il monitoraggio continuo.

Configurazione Quando viene eseguito
Ora: esecuzione a un'ora specifica (22:00)
Giorni: giorni della settimana (lunedì)
Mesi: mensile
Fuso orario: EST
Viene eseguito ogni lunedì alle 22:00, ora standard della costa orientale degli Stati Uniti.
Ora: esegui a un'ora specifica (01:00)
Giorni: giorno del mese (1)
Mesi: specifica (gennaio, aprile, luglio, ottobre)
Fuso orario: PST
Viene eseguito alle 01:00 (PST) del primo giorno di gennaio, aprile, luglio e ottobre.
Ora: esegui a un'ora specifica (14:00)
Giorni: giornaliero
Mesi: mensile
Fuso orario: UTC
Eseguito ogni giorno alle 14:00 UTC.
Ora: esecuzione a un'ora specifica (09:30)
Giorni: giorno del mese (15)
Mesi: specifica (febbraio, aprile, giugno, agosto, ottobre, dicembre)
Fuso orario: EST
Viene eseguito alle 9:30, ora standard della costa orientale degli Stati Uniti, il 15° giorno di ogni secondo mese (febbraio, aprile, giugno, agosto, ottobre, dicembre).
Ora: ripeti ogni ora
Intervallo: ogni ora
Ore: tutte le ore
Funziona senza interruzioni. Viene eseguito esattamente all'inizio di ogni ora, 24 ore al giorno (ad esempio, alle 1:00, alle 2:00, alle 3:00 e così via).
Ora: ripeti ogni ora
Intervallo: ogni 4 ore
Ore: ora di inizio e fine (dalle 22:00 alle 06:00)
Viene eseguito solo durante la notte. Viene eseguito alle 22:00, alle 2:00 e alle 6:00 per acquisire lo stato del server durante i periodi di traffico ridotto.

Risoluzione dei problemi

Latenza e limiti

I risultati delle esecuzioni dei monitor appena attivati non vengono immediatamente compilati con dati di rilevamento e dati sugli eventi a causa della finestra di correlazione.

Correzione degli errori

Errore Descrizione del problema Correggi
Errore di autorizzazione IAM Autorizzazione iam.serviceaccounts.actAs negata per account di servizio. Se hai creato o aggiornato il contesto poco prima di eseguire l'azione, attendi qualche minuto e riprova. Le modifiche IAM sono coerenti, tuttavia, la propagazione delle assegnazioni di ruolo nel sistema può richiedere del tempo.

Verifica che l'identità che esegue l'azione disponga dell'autorizzazione `iam.serviceaccounts.actAs` per il account di servizio specificato.

Convalida e test

Per verificare che il monitoraggio sia configurato correttamente senza attendere il successivo intervallo pianificato, utilizza il pulsante Esegui ora nella pagina dei dettagli del monitoraggio. Aggiorna la pagina dopo la finestra di correlazione per verificare lo Stato esecuzione.