סקירה כללית של שגיאות ב-Security Command Center

‫

גלאי השגיאות יוצרים ממצאים שמצביעים על בעיות בהגדרות של סביבת Security Command Center. בעיות בהגדרות האלה מונעות משירותי זיהוי (שנקראים גם ספקי ממצאים) ליצור ממצאים. ממצאי השגיאות נוצרים על ידי מקור האבטחה Security Command Center, והם מסווגים כSCC errors.

הבחירה הזו של גלאי שגיאות מתייחסת לבעיות נפוצות בהגדרות של Security Command Center, אבל היא לא רשימה מלאה. אם לא נמצאו שגיאות, זה לא אומר ש-Security Command Center והשירותים שלו מוגדרים כראוי ופועלים כמצופה. אם אתם חושדים שיש לכם בעיות בהגדרות שלא נכללות בבדיקות האלה, כדאי לעיין במאמרים בנושא פתרון בעיות והודעות שגיאה.

רמות חומרה

רמת החומרה של ממצא שגיאה יכולה להיות אחת מהאפשרויות הבאות:

קריטית

השגיאה גורמת לאחת או יותר מהבעיות הבאות:

השגיאה מונעת מכם לראות את כל הממצאים של שירות מסוים.
השגיאה מונעת מ-Security Command Center ליצור ממצאים חדשים בכל דרגת חומרה.
השגיאה מונעת מהסימולציות של נתיבי התקפה ליצור ציוני חשיפה להתקפה ונתיבי התקפה.

גבוהה

השגיאה גורמת לאחת או יותר מהבעיות הבאות:

אי אפשר לראות או לייצא חלק מהממצאים של שירות מסוים.
בסימולציות של נתיבי תקיפה, יכול להיות שהציונים של חשיפת התקפה ונתיבי התקיפה לא יהיו מלאים או מדויקים.

התנהגות השתקה

ממצאים ששייכים לסיווג הממצאים SCC errors מדווחים על בעיות שמונעות מ-Security Command Center לפעול כמו שצריך. לכן, אי אפשר להשתיק את הממצאים של השגיאות.

מזהי שגיאות

בטבלה הבאה מתוארים גלאי השגיאות והנכסים שהם תומכים בהם. בדף Findings של Security Command Center במסוף Google Cloud , אפשר לסנן את הממצאים לפי שם הקטגוריה או סוג הממצא.

כדי לטפל בממצאים האלה, אפשר לעיין במאמר בנושא טיפול בשגיאות ב-Security Command Center.

קטגוריות הממצאים הבאות מייצגות שגיאות שאולי נגרמו כתוצאה מפעולות לא מכוונות.

פעולות לא מכוונות
שם הקטגוריה	שם ה-API	סיכום	חוּמרה
`API disabled`	`API_DISABLED`	תיאור הבעיה: ממשק API שנדרש מושבת בפרויקט. השירות המושבת לא יכול לשלוח ממצאים אל Security Command Center. רמת המחיר: Premium או Standard נכסים נתמכים cloudresourcemanager.googleapis.com/Project סריקות אצווה: כל 60 שעות פתרון הממצא	קריטית
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	תיאור הממצא: הגדרות ערכי המשאבים מוגדרות לסימולציות של נתיבי תקיפה, אבל הן לא תואמות למופעי משאבים בסביבה שלכם. הסימולציות משתמשות במקום זאת בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה. השגיאה הזו יכולה להופיע מהסיבות הבאות: אף אחת מההגדרות של ערכי המשאבים לא תואמת לאף מופע של משאב. הגדרה אחת או יותר של ערכי משאבים שבהם מצוין `NONE` מבטלת כל הגדרה תקפה אחרת. כל ההגדרות של ערכי המשאבים המוגדרים מציינות ערך של `NONE`. מסלול תמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Organizations סריקות אצווה: לפני כל סימולציה של נתיב תקיפה. פתרון הממצא	קריטית
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	תיאור הממצא: בסימולציית נתיב ההתקפה האחרונה, מספר המופעים של משאבים בעלי ערך גבוה, כפי שזוהו על ידי הגדרות ערך המשאבים, חורג מהמגבלה של 1,000 מופעים של משאבים בקבוצת משאבים בעלי ערך גבוה. כתוצאה מכך, Security Command Center לא כלל את מספר המקרים העודף בקבוצת המשאבים בעלי הערך הגבוה. המספר הכולל של מקרים תואמים והמספר הכולל של מקרים שהוחרגו מהקבוצה מופיעים ב`SCC Error`ממצאים ב Google Cloud מסוף. ציוני החשיפה להתקפות בכל הממצאים שמשפיעים על מקרים של משאבים שהוחרגו לא משקפים את הייעוד של מקרים של משאבים כבעלי ערך גבוה. מסלול תמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Organizations סריקות אצווה: לפני כל סימולציה של נתיב תקיפה. פתרון הממצא	גבוהה
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	תיאור הממצא: אי אפשר להפעיל את התכונה'זיהוי איומים בקונטיינר' באשכול כי אי אפשר למשוך (להוריד) קובץ אימג' של קונטיינר נדרש מ-`gcr.io`, מארח התמונות של Container Registry. התמונה נדרשת כדי לפרוס את Container Threat Detection DaemonSet שנדרש לזיהוי איומים בקונטיינר. הניסיון לפרוס את זיהוי איומים בקונטיינר DaemonSet הסתיים בשגיאה הבאה: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` מסלול תמחור: Premium נכסים נתמכים container.googleapis.com/Cluster סריקות אצווה: כל 30 דקות פתרון הממצא	קריטית
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	תיאור הממצא: אי אפשר להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול Kubernetes. בקר קבלה מצד שלישי מונע את הפריסה של אובייקט Kubernetes DaemonSet שנדרש לזיהוי איומים בקונטיינר. כשצופים בפרטי הממצאים במסוף Google Cloud , הם כוללים את הודעת השגיאה שהוחזרה על ידי Google Kubernetes Engine כשזיהוי איומים בקונטיינר ניסה לפרוס אובייקט DaemonSet של זיהוי איומים בקונטיינר. מסלול תמחור: Premium נכסים נתמכים container.googleapis.com/Cluster סריקות אצווה: כל 30 דקות פתרון הממצא	גבוהה
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	תיאור הממצא: לחשבון שירות חסרות הרשאות שנדרשות לזיהוי איומים בקונטיינרים. יכול להיות ש-זיהוי איומים בקונטיינר יפסיק לפעול כמו שצריך כי אי אפשר להפעיל, לשדרג או להשבית את האינסטרומנטציה לזיהוי. מסלול תמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Project סריקות אצווה: כל 30 דקות פתרון הממצא	קריטית
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	תיאור הממצא:לא ניתן ליצור ממצאים לגבי אשכול Google Kubernetes Engine, כי חשבון השירות שמוגדר כברירת מחדל ב-GKE באשכול לא כולל הרשאות. כך לא ניתן להפעיל את התכונה 'זיהוי איומים בקונטיינר' באשכול. מסלול תמחור: Premium נכסים נתמכים container.googleapis.com/Cluster סריקות אצווה: כל שבוע פתרון הממצא	גבוהה
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	תיאור הממצא: הפרויקט שהוגדר ל ייצוא רציף ל-Cloud Logging לא זמין. לא ניתן לשלוח ממצאים ל-Logging מ-Security Command Center. מסלול תמחור: Premium נכסים נתמכים cloudresourcemanager.googleapis.com/Organization סריקות אצווה: כל 30 דקות פתרון הממצא	גבוהה
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	התיאור של הממצא: לא ניתן ליצור ממצאים מסוימים עבור פרויקט ב-Security Health Analytics. הפרויקט מוגן על ידי גבולות גזרה לשירות, ולחשבון השירות של Security Command Center אין גישה לגבולות הגזרה. רמת המחיר: Premium או Standard נכסים נתמכים cloudresourcemanager.googleapis.com/Project סריקות באצווה: כל 6 שעות פתרון הממצא	גבוהה
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	תיאור הממצא: לחשבון השירות של Security Command Center חסרות הרשאות שנדרשות כדי שהשירות יפעל כמו שצריך. לא נוצרו ממצאים. רמת המחיר: Premium או Standard נכסים נתמכים cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project סריקות אצווה: כל 30 דקות פתרון הממצא	קריטית

המאמרים הבאים

איך לפתור שגיאות ב-Security Command Center
אפשר לעיין בקטע פתרון בעיות.
אפשר לעיין במאמר בנושא הודעות שגיאה.

סקירה כללית של שגיאות ב-Security Command Center

רמות חומרה

התנהגות השתקה

מזהי שגיאות

`API disabled`

`Attack path simulation: no resource value configs match any resources`

`Attack path simulation: resource value assignment limit exceeded`

`Container Threat Detection Image Pull Failure`

`Container Threat Detection Blocked By Admission Controller`

`Container Threat Detection service account missing permissions`

`GKE service account missing permissions`

`Misconfigured Cloud Logging Export`

`VPC Service Controls Restriction`

`Security Command Center service account missing permissions`

המאמרים הבאים

סקירה כללית של שגיאות ב-Security Command Center קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

רמות חומרה

התנהגות השתקה

מזהי שגיאות

API disabled

Attack path simulation: no resource value configs match any resources

Attack path simulation: resource value assignment limit exceeded

Container Threat Detection Image Pull Failure

Container Threat Detection Blocked By Admission Controller

Container Threat Detection service account missing permissions

GKE service account missing permissions

Misconfigured Cloud Logging Export

VPC Service Controls Restriction

Security Command Center service account missing permissions

המאמרים הבאים

סקירה כללית של שגיאות ב-Security Command Center

`API disabled`

`Attack path simulation: no resource value configs match any resources`

`Attack path simulation: resource value assignment limit exceeded`

`Container Threat Detection Image Pull Failure`

`Container Threat Detection Blocked By Admission Controller`

`Container Threat Detection service account missing permissions`

`GKE service account missing permissions`

`Misconfigured Cloud Logging Export`

`VPC Service Controls Restriction`

`Security Command Center service account missing permissions`