Esta página foi traduzida pela API Cloud Translation.

Resolução de problemas

Saiba mais sobre os passos de resolução de problemas que podem ser úteis se tiver os seguintes problemas ao usar o Security Command Center.

A ativação do Security Command Center falha

A ativação do Security Command Center falha mais frequentemente se as políticas da sua organização restringirem identidades por domínio. A sua conta e a conta de serviço têm de fazer parte de um domínio permitido:

Certifique-se de que inicia sessão numa conta que esteja num domínio permitido antes de tentar ativar o Centro de Comando de Segurança.
Se estiver a usar uma conta de serviço @*.gserviceaccount.com, adicione a conta de serviço como uma identidade num grupo num domínio permitido.

Os recursos no Security Command Center não estão a ser atualizados

Se estiver a usar os VPC Service Controls, os recursos no Security Command Center só podem ser descobertos e atualizados quando concede acesso à conta de serviço do Security Command Center.

Para ativar a deteção de recursos, conceda acesso à conta de serviço do Security Command Center. Isto permite que a conta de serviço conclua a descoberta de recursos e apresente recursos na consola Google Cloud . O nome da conta de serviço tem o formato service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Visualizar, editar, criar e atualizar resultados e recursos

As funções do IAM para o Security Command Center podem ser concedidas ao nível da organização, da pasta ou do projeto. A sua capacidade de ver, editar, criar ou atualizar resultados, recursos e origens de segurança depende do nível para o qual lhe é concedido acesso. Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.

Notificações em falta ou atrasadas

Em algumas situações, as notificações podem estar em falta, ser ignoradas ou sofrer atrasos:

Pode não haver conclusões que correspondam aos filtros no seu NotificationConfig. Para testar as notificações, use a API Security Command Center para criar uma deteção.
A conta de serviço do Security Command Center tem de ter a função securitycenter.notificationServiceAgent no tópico do Pub/Sub. O nome da conta de serviço tem o formato service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
- Se remover a função, a publicação de notificações é desativada.
- Se remover a função e, em seguida, conceder a função novamente, as notificações são atrasadas.
Se eliminar e recriar o tópico do Pub/Sub, as notificações são ignoradas.

Web Security Scanner

Esta secção contém passos de resolução de problemas que podem ser úteis se tiver problemas ao usar o Web Security Scanner

Analise erros do Compute Engine e do GKE

Se o URL de uma análise estiver configurado incorretamente, o Web Security Scanner rejeita-o. Os possíveis motivos para a rejeição incluem:

O URL tem um endereço IP efémero

Marque este endereço IP como estático:

Para uma aplicação numa única VM, reserve o endereço IP na VM
Para uma aplicação atrás de um balanceador de carga, reserve o endereço IP no balanceador de carga.

O URL está mapeado para um endereço IP incorreto

Para corrigir esta descoberta, consulte as instruções do serviço de registo de DNS.

O URL está mapeado para um endereço IP efémero da mesma VM

Marque este endereço IP como estático.

O URL está mapeado para um endereço IP reservado

Este erro ocorre quando o URL está mapeado para um endereço IP reservado num projeto diferente da mesma organização. Para resolver este problema, defina as verificações de segurança para a VM ou o balanceador de carga HTTP no projeto para o qual está definido.

O URL está mapeado para mais do que um endereço IP.

Certifique-se de que todos os endereços IP mapeados para este URL estão reservados para o mesmo projeto. Se existir, pelo menos, um endereço IP que não esteja reservado para o mesmo projeto, a operação de criação, edição ou atualização da análise falha.

Model Armor

Esta secção contém passos de resolução de problemas que podem ser úteis se tiver problemas ao usar o Model Armor.

Todas as chamadas da API Model Armor devolvem um erro 404 Not Found

Estabeleça um Private Service Connect às APIs Model Armor. Normalmente, este erro ocorre quando se acede a pontos finais regionais (REPs) do Model Armor através do acesso privado à Google ou sem um Private Service Connect. Para mais informações, consulte o artigo Acerca do acesso a pontos finais regionais através de pontos finais do Private Service Connect.

O filtro de proteção de dados confidenciais apresenta um erro ou é ignorado

Verifique o seguinte:

O modelo de proteção de dados confidenciais está na mesma região que o ponto final do Model Armor que está a ser chamado.
O agente de serviço que faz o pedido do Model Armor tem as funções dlp.User e dlp.Reader no projeto que contém o modelo do Sensitive Data Protection.

Este erro ocorre devido a erros de cliente nos pedidos SanitizeUserPrompt ou SanitizeModelResponse ou a problemas com o modelo de proteção de dados confidenciais.

Erros do ponto final global do Model Armor

Certifique-se de que está a fazer os pedidos da API ao ponto final regional adequado em vez do ponto final global.

O Model Armor suporta apenas as seguintes operações nos respetivos pontos finais regionais:

Criar, ler, atualizar, eliminar e listar operações em modelos.
SanitizeUserPrompt e SanitizeModelResponse pedidos de API.

Se fizer os pedidos de API para essas operações ao ponto final global, é apresentado o seguinte erro.

{
 "error": {
  "code": 403,
  "message": "Write access to project '<PROJECT_ID>' was denied",
  "status": "PERMISSION_DENIED"
 }
}

O que se segue?

Saiba mais sobre os erros do Security Command Center.