Fehler in Security Command Center – Übersicht

Fehlerdetektoren generieren Ergebnisse, die auf Probleme in der Konfiguration Ihrer Security Command Center-Umgebung verweisen. Diese Konfigurationsprobleme verhindern, dass Erkennungsdienste (auch als Ergebnisanbieter) Ergebnisse generieren. Fehlerergebnisse werden von der Sicherheitsquelle Security Command Center generiert und haben die Ergebnisklasse SCC errors.

Diese Auswahl von Fehlerdetektoren bezieht sich auf häufige Fehlkonfigurationen von Security Command Center und ist keine vollständige Liste. Das Fehlen von Fehlerergebnissen garantiert nicht, dass Security Command Center und seine Dienste ordnungsgemäß konfiguriert sind und ordnungsgemäß funktionieren. Wenn Sie einen Verdacht auf Fehlkonfiguration haben, die von diesen Fehlerdetektoren nicht abgedeckt wird, finden Sie entsprechende Informationen unter Fehlerbehebung und Fehlermeldungen.

Schweregradebenen

Ein Fehlerergebnis kann eine der folgenden Schweregradebenen haben:

Kritisch

Gibt an, dass der Fehler eines oder mehrere der folgenden Probleme verursacht:

  • Der Fehler verhindert, dass alle Ergebnisse eines Dienstes angezeigt werden.
  • Der Fehler verhindert, dass Security Command Center neue Ergebnisse von beliebigem Schweregrad generiert.
  • Der Fehler verhindert, dass Angriffspfadsimulationen Angriffsrisikobewertungen und Angriffspfade generieren.
Hoch

Gibt an, dass der Fehler eines oder mehrere der folgenden Probleme verursacht:

  • Sie können einige Ergebnisse eines Dienstes nicht sehen oder exportieren.
  • Bei Angriffspfadsimulationen sind die Angriffsrisikobewertungen und Angriffspfade möglicherweise unvollständig oder ungenau.

Ausblendungsverhalten

Ergebnisse, die zur Ergebnisklasse SCC errors gehören, melden Probleme, die verhindern, dass Security Command Center wie erwartet funktioniert. Aus diesem Grund können Fehlerergebnisse nicht ausgeblendet werden.

Fehlerdetektoren

In der folgenden Tabelle werden die Fehlerdetektoren und die unterstützten Assets beschrieben. Sie können Ergebnisse nach Kategoriename oder Ergebnisklasse auf der Seite Ergebnisse von Security Command Center in der Google Cloud Console filtern.

Informationen zum Beheben dieser Ergebnisse finden Sie unter Security Command Center-Fehler beheben.

Die folgenden Ergebniskategorien stellen Fehler dar, die möglicherweise durch unbeabsichtigte Aktionen verursacht werden.

Unbeabsichtigte Aktionen
Kategoriename API-Name Fazit Schweregrad
API_DISABLED

Ergebnisbeschreibung: Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 6 Stunden

Dieses Ergebnis korrigieren

Kritisch
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Ergebnisbeschreibung: Konfigurationen für Ressourcenwerte sind für Angriffspfadsimulationen definiert, die jedoch mit keiner Ressourceninstanz in Ihrer Umgebung übereinstimmen. Stattdessen wird die Standardgruppe hochwertiger Ressourcen verwendet.

Dieser Fehler kann eine der folgenden Ursachen haben:

  • Keine der Konfigurationen für Ressourcenwerte stimmt mit einer Ressourceninstanz überein.
  • Eine oder mehrere Konfigurationen für Ressourcenwerte, die NONE angeben, überschreiben alle anderen gültigen Konfigurationen.
  • Alle definierten Konfigurationen für Ressourcenwerte geben den Wert NONE an.

**Preisstufe** Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organizations

Batch-Scans: Vor jeder Angriffspfadsimulation.

Dieses Ergebnis korrigieren

Kritisch
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Ergebnisbeschreibung: Bei der letzten Angriffspfadsimulation, hat die Anzahl der hochwertigen Ressourceninstanzen, wie durch die Konfigurationen für Ressourcenwerte ermittelt, das Limit von 1.000 Ressourceninstanzen in einer Gruppe hochwertiger Ressourcen überschritten. Daher hat Security Command Center die überschüssige Anzahl von Instanzen aus der Gruppe hochwertiger Ressourcen ausgeschlossen.

Die Gesamtzahl der übereinstimmenden Instanzen und die Gesamtzahl der aus der Gruppe ausgeschlossenen Instanzen werden in der SCC Error im Google Cloud Console angegeben.

Die Angriffsrisikobewertungen für alle Ergebnisse, die sich auf ausgeschlossene Ressourcen instanzen auswirken, spiegeln nicht die Bezeichnung „hochwertig“ der Ressourceninstanzen wider.

**Preisstufe** Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organizations

Batch-Scans: Vor jeder Angriffspfadsimulation.

Dieses Ergebnis korrigieren

Hoch
KTD_IMAGE_PULL_FAILURE

Ergebnisbeschreibung: Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von gcr.io, dem Container Registry Image-Host, abgerufen (heruntergeladen) werden kann. Das Image ist erforderlich, um das DaemonSet von Container Threat Detection bereitzustellen, das von Container Threat Detection benötigt wird.

Der Versuch, das DaemonSet von Container Threat Detection bereitzustellen, hat zu folgendem Fehler geführt:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Ergebnisbeschreibung Container Threat Detection kann in einem Kubernetes-Cluster nicht aktiviert werden. Ein Zulassungscontroller eines Drittanbieters verhindert die Bereitstellung eines Kubernetes-DaemonSet-Objekts, das von Container Threat Detection benötigt wird.

In der Google Cloud Console werden in den Ergebnisdetails die Fehlermeldung angezeigt, die von Google Kubernetes Engine zurückgegeben wurde, als Container Threat Detection versuchte, ein DaemonSet-Objekt von Container Threat Detection bereitzustellen.

**Preisstufe** Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Hoch
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Einem Dienstkonto fehlen Berechtigungen, die von Container Threat Detection benötigt werden. Container Threat Detection funktioniert möglicherweise nicht mehr ordnungsgemäß, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da das GKE-Standarddienstkonto im Cluster nicht die erforderlichen Berechtigungen hat. Auf diese Weise wird verhindert, dass Container Threat Detection auf dem Cluster erfolgreich aktiviert wird.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Batchscans: Jede Woche

Dieses Ergebnis korrigieren

Hoch
MISCONFIGURED_CLOUD_LOGGING_EXPORT

Ergebnisbeschreibung: Das für den kontinuierlichen Export nach Cloud Logging konfigurierte Projekt ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Hoch
VPC_SC_RESTRICTION

Ergebnisbeschreibung: Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 6 Stunden

Dieses Ergebnis korrigieren

Hoch
EXTERNAL_EXPOSURE_VPC_SC_RESTRICTION

Ergebnisbeschreibung: External Exposure kann keine Scans durchführen oder Ergebnisse für ein Projekt generieren. Das Projekt ist durch einen Dienstperimeter geschützt und der Dienst-Agent von External Exposure hat keinen Zugriff auf den Perimeter.

**Preisstufe** Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Batch-Scans: Alle 12 Stunden

Dieses Ergebnis korrigieren

Hoch
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Ergebnisbeschreibung: Dem Dienstkonto von Security Command Center fehlen Berechtigungen, die nötig sind, um ordnungsgemäß zu funktionieren. Es werden keine Ergebnisse erstellt.

**Preisstufe** Premium oder Standard

Unterstützte Assets

Batch Scans: Alle 30 Minuten

Dieses Ergebnis korrigieren

Kritisch

Nächste Schritte