בהמשך מפורטים שלבים לפתרון בעיות שיכולים לעזור לכם אם אתם נתקלים בבעיות הבאות במהלך השימוש ב-Security Command Center.
הפעלת Security Command Center נכשלת
הפעלת Security Command Center נכשלת בדרך כלל אם במדיניות הארגון שלכם יש הגבלות על זהויות לפי דומיין. אתם וחשבון השירות שלכם צריכים להיות חלק מדומיין מותר:
- לפני שמנסים להפעיל את Security Command Center, צריך לוודא שנכנסים לחשבון שנמצא בדומיין מותר.
- אם אתם משתמשים בחשבון שירות
@*.gserviceaccount.com, אתם צריכים להוסיף את חשבון השירות כזהות בקבוצה בדומיין מורשה.
הנכסים ב-Security Command Center לא מתעדכנים
אם אתם משתמשים ב-VPC Service Controls, אפשר לגלות ולעדכן נכסים ב-Security Command Center רק אם מעניקים גישה לחשבון השירות של Security Command Center.
כדי להפעיל את התכונה 'גילוי נכסים', צריך להעניק גישה לחשבון השירות של Security Command Center. כך חשבון השירות יכול להשלים את איתור הנכסים ולהציג אותם במסוף Google Cloud .
השם של חשבון השירות הוא בפורמט service-org-organization-id@security-center-api.iam.gserviceaccount.com.
צפייה בממצאים ובנכסים, עריכה, יצירה ועדכון שלהם
אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.
התראות חסרות או שהגיעו באיחור
במקרים מסוימים, יכול להיות שההתראות לא יגיעו, יבוטלו או יתעכבו:
- יכול להיות שאין ממצאים שתואמים למסננים ב
NotificationConfig. כדי לבדוק את ההתראות, משתמשים ב-Security Command Center API כדי ליצור ממצא. - לחשבון השירות של Security Command Center צריך להיות התפקיד
securitycenter.notificationServiceAgentבנושא Pub/Sub. השם של חשבון השירות הוא בפורמטservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- אם תסירו את התפקיד, פרסום ההתראות יושבת.
- אם מסירים את התפקיד ואז מעניקים אותו שוב, ההתראות מתעכבות.
- אם תמחקו את נושא ה-Pub/Sub ותיצרו אותו מחדש, ההתראות יימחקו.
Web Security Scanner
בקטע הזה מפורטים שלבים לפתרון בעיות שיכולים לעזור לכם אם נתקלתם בבעיות בשימוש ב-Web Security Scanner
שגיאות סריקה ב-Compute Engine וב-GKE
אם כתובת ה-URL של הסריקה מוגדרת באופן שגוי, Web Security Scanner דוחה אותה. הסיבות האפשריות לדחייה:
כתובת ה-URL כוללת כתובת IP זמנית
מסמנים את כתובת ה-IP הזו כסטטית:
- אם האפליקציה נמצאת במכונה וירטואלית אחת, שומרים את כתובת ה-IP במכונה הווירטואלית
- אם האפליקציה נמצאת מאחורי מאזן עומסים, צריך לשמור את כתובת ה-IP במאזן העומסים.
כתובת ה-URL ממופה לכתובת IP שגויה
כדי לתקן את הממצא הזה, צריך לפעול לפי ההוראות של שירות רשם ה-DNS.
כתובת ה-URL ממופה לכתובת IP זמנית של אותה מכונה וירטואלית
מסמנים את כתובת ה-IP הזו כסטטית.
כתובת ה-URL ממופה לכתובת IP שמורה
השגיאה הזו מתרחשת כשכתובת ה-URL ממופה לכתובת IP ששמורה בפרויקט אחר באותו הארגון. כדי לפתור את הבעיה, צריך להגדיר סריקות אבטחה למכונה הווירטואלית או למאזן העומסים של HTTP בפרויקט שבו היא מוגדרת.
כתובת ה-URL ממופה ליותר מכתובת IP אחת.
מוודאים שכל כתובות ה-IP שממופות לכתובת ה-URL הזו שמורות לאותו פרויקט. אם יש לפחות כתובת IP אחת שלא שמורה לאותו פרויקט, הפעולה Scan Create או Edit או Update תיכשל.
המאמרים הבאים
מידע נוסף על שגיאות ב-Security Command Center