Saiba mais sobre os passos de resolução de problemas que podem ser úteis se tiver os seguintes problemas ao usar o Security Command Center.
A ativação do Security Command Center falha
A ativação do Centro de Comando de Segurança falha mais frequentemente se as políticas da sua organização restringirem identidades por domínio. A sua conta de serviço e a sua conta têm de fazer parte de um domínio permitido:
- Certifique-se de que inicia sessão numa conta que esteja num domínio permitido antes de tentar ativar o Centro de comandos de segurança.
- Se estiver a usar uma
@*.gserviceaccount.comconta de serviço, adicione a conta de serviço como uma identidade num grupo num domínio permitido.
Os recursos no Security Command Center não estão a ser atualizados
Se estiver a usar os VPC Service Controls, os recursos no Security Command Center só podem ser descobertos e atualizados quando concede acesso à conta de serviço do Security Command Center.
Para ativar a deteção de recursos, conceda acesso à conta de serviço do Security Command Center. Isto permite que a conta de serviço conclua a descoberta de recursos e apresente recursos na consola do Google Cloud. Google Cloud
O nome da conta de serviço está no formato
service-org-organization-id@security-center-api.iam.gserviceaccount.com.
Ver, editar, criar e atualizar descobertas e recursos
As funções do IAM para o Security Command Center podem ser concedidas ao nível da organização, da pasta ou do projeto. A sua capacidade de ver, editar, criar ou atualizar resultados, recursos e origens de segurança depende do nível para o qual lhe é concedido acesso. Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.
Notificações em falta ou atrasadas
Em algumas situações, as notificações podem estar em falta, ser ignoradas ou sofrer atrasos:
- Pode não haver conclusões que correspondam aos filtros no seu
NotificationConfig. Para testar as notificações, use a API Security Command Center para criar uma deteção. - A conta de serviço do Security Command Center tem de ter a função
securitycenter.notificationServiceAgentno tópico do Pub/Sub. O nome da conta de serviço está no formatoservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- Se remover a função, a publicação de notificações é desativada.
- Se remover a função e, em seguida, conceder a função novamente, as notificações são atrasadas.
- Se eliminar e recriar o tópico do Pub/Sub, as notificações são ignoradas.
Web Security Scanner
Esta secção contém passos de resolução de problemas que podem ser úteis se tiver problemas ao usar o Web Security Scanner
Erros de análise para o Compute Engine e o GKE
Se o URL de uma análise estiver configurado incorretamente, o Web Security Scanner rejeita-o. Possíveis motivos para a rejeição:
O URL tem um endereço IP efémero
Marque este endereço IP como estático:
- Para uma aplicação numa única VM, reserve o endereço IP na VM
- Para uma aplicação atrás de um balanceador de carga, reserve o endereço IP no balanceador de carga.
O URL está mapeado para um endereço IP incorreto
Para corrigir esta descoberta, consulte as instruções do serviço de registo de DNS.
O URL está mapeado para um endereço IP efémero da mesma VM
Marque este endereço IP como estático.
O URL está mapeado para um endereço IP reservado
Este erro ocorre quando o URL está mapeado para um endereço IP reservado num projeto diferente da mesma organização. Para resolver este problema, defina as verificações de segurança para a VM ou o balanceador de carga HTTP no projeto para o qual está definido.
O URL está mapeado para mais do que um endereço IP.
Certifique-se de que todos os endereços IP mapeados para este URL estão reservados para o mesmo projeto. Se existir, pelo menos, um endereço IP que não esteja reservado para o mesmo projeto, a operação de criação, edição ou atualização da análise falha.
O que se segue?
Saiba mais sobre os erros do Security Command Center.