Descubre soluciones que pueden resultarte útiles si tienes alguno de los siguientes problemas mientras usas Security Command Center.
No se puede habilitar Security Command Center
La habilitación de Security Command Center suele fallar si las políticas de tu organización restringen las identidades por dominio. Tanto tú como tu cuenta de servicio debéis formar parte de un dominio permitido:
- Antes de intentar habilitar Security Command Center, asegúrate de iniciar sesión en una cuenta que pertenezca a un dominio permitido.
- Si usas una cuenta de servicio de
@*.gserviceaccount.com, añádela como identidad a un grupo de un dominio permitido.
Los recursos de Security Command Center no se actualizan
Si usas Controles de Servicio de VPC, los recursos de Security Command Center solo se pueden detectar y actualizar cuando concedas acceso a la cuenta de servicio de Security Command Center.
Para habilitar la detección de recursos, concede acceso a la cuenta de servicio de Security Command Center. Esto permite que la cuenta de servicio complete la detección de recursos y los muestre en la Google Cloud consola.
El nombre de la cuenta de servicio tiene el siguiente formato:
service-org-organization-id@security-center-api.iam.gserviceaccount.com.
Ver, editar, crear y actualizar hallazgos y recursos
Los roles de gestión de identidades y accesos de Security Command Center se pueden conceder a nivel de organización, carpeta o proyecto. La posibilidad de ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel de acceso que se te haya concedido. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Faltan notificaciones o se retrasan
En algunas situaciones, es posible que las notificaciones no lleguen, se pierdan o se retrasen:
- Puede que no haya ningún resultado que coincida con los filtros de tu
NotificationConfig. Para probar las notificaciones, usa la API de Security Command Center para crear un resultado. - La cuenta de servicio de Security Command Center debe tener el rol
securitycenter.notificationServiceAgenten el tema de Pub/Sub. El nombre de la cuenta de servicio tiene el siguiente formato:service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- Si quitas el rol, se inhabilitará la publicación de notificaciones.
- Si quitas el rol y, después, lo vuelves a asignar, las notificaciones se retrasarán.
- Si eliminas y vuelves a crear el tema de Pub/Sub, las notificaciones se perderán.
Web Security Scanner
En esta sección se incluyen pasos para solucionar problemas que pueden resultarte útiles si tienes problemas al usar Web Security Scanner.
Errores de análisis de Compute Engine y GKE
Si la URL de un análisis no está configurada correctamente, Web Security Scanner la rechaza. Entre las posibles razones por las que se rechaza una solicitud se incluyen las siguientes:
La URL tiene una dirección IP efímera
Marca esta dirección IP como estática:
- En el caso de una aplicación en una sola VM, reserva la dirección IP en la VM.
- En el caso de una aplicación que se encuentre detrás de un balanceador de carga, reserva la dirección IP en el balanceador de carga.
La URL se asigna a una dirección IP incorrecta
Para solucionar este problema, consulta las instrucciones de tu servicio de registrador de DNS.
La URL está asignada a una dirección IP efímera de la misma VM
Marca esta dirección IP como estática.
La URL está asignada a una dirección IP reservada
Este error se produce cuando la URL se asigna a una dirección IP reservada en otro proyecto de la misma organización. Para solucionar este problema, defina análisis de seguridad para la VM o el balanceador de carga HTTP en el proyecto en el que se haya definido.
La URL se ha asignado a más de una dirección IP.
Asegúrate de que todas las direcciones IP asignadas a esta URL estén reservadas para el mismo proyecto. Si hay al menos una dirección IP que no está reservada para el mismo proyecto, la operación de creación, edición o actualización de análisis fallará.
Siguientes pasos
Consulta información sobre los errores de Security Command Center.