Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית של שגיאות ב-Security Command Center

גלאי השגיאות יוצרים ממצאים שמצביעים על בעיות בהגדרות של סביבת Security Command Center. בעיות בהגדרות האלה מונעות משירותי זיהוי (שנקראים גם ספקי ממצאים) ליצור ממצאים. ממצאי השגיאות נוצרים על ידי מקור האבטחה Security Command Center, והם מסווגים כSCC errors.

הבחירה הזו של גלאי שגיאות מתייחסת לבעיות נפוצות בהגדרות של Security Command Center, והיא לא רשימה מלאה. העובדה שלא נמצאו שגיאות לא מבטיחה ש-Security Command Center והשירותים שלו מוגדרים כראוי ופועלים כמצופה. אם אתם חושדים שיש לכם בעיות בהגדרות שלא נכללות בבדיקות האלה, תוכלו לעיין במאמרים בנושא פתרון בעיות והודעות שגיאה.

רמות חומרה

רמת החומרה של ממצא יכולה להיות אחת מהאפשרויות הבאות:

קריטית

השגיאה גורמת לאחת או יותר מהבעיות הבאות:

השגיאה מונעת מכם לראות את כל הממצאים של שירות מסוים.
השגיאה מונעת מ-Security Command Center ליצור ממצאים חדשים בכל דרגת חומרה.
השגיאה מונעת מהסימולציות של נתיבי התקפה ליצור ציוני חשיפה להתקפה ונתיבי התקפה.

גבוהה

השגיאה גורמת לאחת או יותר מהבעיות הבאות:

לא ניתן לראות או לייצא חלק מהממצאים של שירות מסוים.
בסימולציות של נתיבי תקיפה, יכול להיות שהציונים של חשיפה להתקפה ונתיבי התקיפה לא יהיו מלאים או מדויקים.

התנהגות השתקה

ממצאים ששייכים לסיווג הממצאים SCC errors מדווחים על בעיות שמונעות מ-Security Command Center לפעול כמו שצריך. מסיבה זו, אי אפשר להשתיק את הממצאים של השגיאות.

מזהי שגיאות

בטבלה הבאה מתוארים גלאי השגיאות והנכסים שהם תומכים בהם. בדף Findings של Security Command Center במסוף Google Cloud , אפשר לסנן את הממצאים לפי שם הקטגוריה או לפי סוג הממצא.

כדי לטפל בממצאים האלה, אפשר לעיין במאמר בנושא טיפול בשגיאות ב-Security Command Center.

קטגוריות הממצאים הבאות מייצגות שגיאות שאולי נגרמו כתוצאה מפעולות לא מכוונות.

פעולות לא מכוונות
שם הקטגוריה	שם ה-API	סיכום	חוּמרה
`API disabled`	`API_DISABLED`	תיאור הממצא: ממשק API נדרש מושבת בפרויקט. השירות המושבת לא יכול לשלוח ממצאים אל Security Command Center. רמת המחיר: Premium או Standard נכסים נתמכים cloudresourcemanager.googleapis.com/Project סריקות אצווה: כל 60 שעות פתרון הממצא	קריטית
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	תיאור הממצא: הגדרות ערכי משאבים מוגדרות לסימולציות של נתיבי תקיפה, אבל הן לא תואמות למופעים של משאבים בסביבה שלכם. הסימולציות משתמשות במקום זאת בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה. השגיאה הזו יכולה להופיע מהסיבות הבאות: אף אחת מההגדרות של ערכי המשאבים לא תואמת לאף מופע של משאב. הגדרה אחת או יותר של ערכי משאבים שמציינת `NONE` מבטלת כל הגדרה תקפה אחרת. כל ההגדרות של ערכי המשאבים המוגדרים מציינות ערך של `NONE`. רמת התמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Organizations סריקות אצווה: לפני כל סימולציה של נתיב תקיפה. פתרון הממצא	קריטית
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	תיאור הממצא: בסימולציית נתיב ההתקפה האחרונה, מספר המופעים של משאבים בעלי ערך גבוה, כפי שזוהו על ידי הגדרות ערך המשאבים, חורג מהמגבלה של 1,000 מופעים של משאבים בקבוצת משאבים בעלי ערך גבוה. כתוצאה מכך, Security Command Center לא כלל את מספר המקרים העודף בקבוצת המשאבים בעלי הערך הגבוה. המספר הכולל של מקרים תואמים והמספר הכולל של מקרים שהוחרגו מהקבוצה מופיעים ב`SCC Error`ממצאים במסוף Google Cloud . ציוני החשיפה להתקפות בכל הממצאים שמשפיעים על מופעי משאבים שהוחרגו לא משקפים את הייעוד של מופעי המשאבים כבעלי ערך גבוה. רמת התמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Organizations סריקות אצווה: לפני כל סימולציה של נתיב תקיפה. פתרון הממצא	גבוהה
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	תיאור הממצא: אי אפשר להפעיל את זיהוי איומים בקונטיינר באשכול כי אי אפשר למשוך (להוריד) קובץ אימג' של קונטיינר נדרש מ-`gcr.io`, מארח התמונות של Container Registry. התמונה נדרשת כדי לפרוס את Container Threat Detection DaemonSet שנדרש לזיהוי איומים בקונטיינר. הניסיון לפרוס את DaemonSet של זיהוי איומים בקונטיינר הסתיים בשגיאה הבאה: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` רמת התמחור: Premium נכסים נתמכים container.googleapis.com/Cluster סריקות אצווה: כל 30 דקות פתרון הממצא	קריטית
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	תיאור הממצא: אי אפשר להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול Kubernetes. בקר קבלה מצד שלישי מונע את הפריסה של אובייקט Kubernetes DaemonSet שנדרש לזיהוי איומים בקונטיינרים. כשצופים בפרטי הממצאים במסוף Google Cloud , הם כוללים את הודעת השגיאה שהוחזרה על ידי Google Kubernetes Engine כש-זיהוי איומים בקונטיינר ניסה לפרוס אובייקט DaemonSet של זיהוי איומים בקונטיינר. רמת התמחור: Premium נכסים נתמכים container.googleapis.com/Cluster סריקות אצווה: כל 30 דקות פתרון הממצא	גבוהה
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	תיאור הממצא: לחשבון שירות חסרות הרשאות שנדרשות לזיהוי איומים בקונטיינרים. יכול להיות שזיהוי איומים בקונטיינרים יפסיק לפעול כמו שצריך כי אי אפשר להפעיל, לשדרג או להשבית את הכלים לזיהוי איומים. רמת התמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Project סריקות אצווה: כל 30 דקות פתרון הממצא	קריטית
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	תיאור הממצא: הממצאים של Container Threat Detection לא נוצרים עבור אשכול Google Kubernetes Engine, כי חסרות הרשאות בחשבון השירות שמוגדר כברירת מחדל ב-GKE באשכול. כך לא ניתן להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול. רמת התמחור: Premium נכסים נתמכים container.googleapis.com/Cluster סריקות אצווה: כל שבוע פתרון הממצא	גבוהה
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	תיאור הממצא: הפרויקט שהוגדר ל ייצוא רציף ל-Cloud Logging לא זמין. לא ניתן לשלוח ממצאים מ-Security Command Center אל Logging. רמת התמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Organization סריקות אצווה: כל 30 דקות פתרון הממצא	גבוהה
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	ממצאים: לא ניתן ליצור ממצאים מסוימים עבור פרויקט ב-Security Health Analytics. הפרויקט מוגן על ידי גבולות גזרה לשירות, ולחשבון השירות של Security Command Center אין גישה לגבולות הגזרה. רמת המחיר: Premium או Standard נכסים נתמכים cloudresourcemanager.googleapis.com/Project סריקות אצווה: כל 6 שעות פתרון הממצא	גבוהה
`External Exposure VPC Service Controls Restriction`	`EXTERNAL_EXPOSURE_VPC_SC_RESTRICTION`	תיאור הממצא: הכלי External Exposure לא יכול לבצע סריקות או ליצור ממצאים עבור פרויקט. הפרויקט מוגן על ידי גבולות גזרה לשירות, ולסוכן השירות External Exposure אין גישה לגבולות הגזרה. רמת התמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Project סריקות אצווה: כל 12 שעות פתרון הממצא	גבוהה
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	תיאור הממצא: לחשבון השירות של Security Command Center חסרות הרשאות שנדרשות כדי שהשירות יפעל כמו שצריך. לא נוצרות תוצאות. רמת המחיר: Premium או Standard נכסים נתמכים cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project סריקות אצווה: כל 30 דקות פתרון הממצא	קריטית

המאמרים הבאים

איך לפתור שגיאות ב-Security Command Center
אפשר לעיין בקטע פתרון בעיות.
אפשר לעיין במאמר בנושא הודעות שגיאה.

סקירה כללית של שגיאות ב-Security Command Center

רמות חומרה

התנהגות השתקה

מזהי שגיאות

`API disabled`

`Attack path simulation: no resource value configs match any resources`

`Attack path simulation: resource value assignment limit exceeded`

`Container Threat Detection Image Pull Failure`

`Container Threat Detection Blocked By Admission Controller`

`Container Threat Detection service account missing permissions`

`GKE service account missing permissions`

`Misconfigured Cloud Logging Export`

`VPC Service Controls Restriction`

`External Exposure VPC Service Controls Restriction`

`Security Command Center service account missing permissions`

המאמרים הבאים

סקירה כללית של שגיאות ב-Security Command Center קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

רמות חומרה

התנהגות השתקה

מזהי שגיאות

API disabled

Attack path simulation: no resource value configs match any resources

Attack path simulation: resource value assignment limit exceeded

Container Threat Detection Image Pull Failure

Container Threat Detection Blocked By Admission Controller

Container Threat Detection service account missing permissions

GKE service account missing permissions

Misconfigured Cloud Logging Export

VPC Service Controls Restriction

External Exposure VPC Service Controls Restriction

Security Command Center service account missing permissions

המאמרים הבאים

סקירה כללית של שגיאות ב-Security Command Center

`API disabled`

`Attack path simulation: no resource value configs match any resources`

`Attack path simulation: resource value assignment limit exceeded`

`Container Threat Detection Image Pull Failure`

`Container Threat Detection Blocked By Admission Controller`

`Container Threat Detection service account missing permissions`

`GKE service account missing permissions`

`Misconfigured Cloud Logging Export`

`VPC Service Controls Restriction`

`External Exposure VPC Service Controls Restriction`

`Security Command Center service account missing permissions`