瞭解實用的疑難排解步驟,解決使用 Security Command Center 時發生的下列問題。
啟用 Security Command Center 失敗
如果機構政策依網域限制身分,啟用 Security Command Center 最常會失敗。您和服務帳戶必須屬於允許的網域:
- 請務必登入允許網域中的帳戶,再嘗試啟用 Security Command Center。
- 如果您使用
@*.gserviceaccount.com服務帳戶,請在允許的網域中,將服務帳戶新增為群組中的身分。
Security Command Center 中的資產未更新
如果您使用 VPC Service Controls,只有在授予 Security Command Center 服務帳戶存取權時,才能探索及更新 Security Command Center 中的資產。
如要啟用資產探索功能,請授予 Security Command Center 服務帳戶存取權。服務帳戶即可完成資產探索,並在 Google Cloud 控制台中顯示資產。服務帳戶名稱的格式為 service-org-organization-id@security-center-api.iam.gserviceaccount.com。
查看、編輯、建立及更新調查結果和資產
您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全來源,取決於獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管。
未收到通知或通知延遲
在某些情況下,通知可能會遺漏、捨棄或延遲:
- 可能沒有任何發現項目符合
NotificationConfig中的篩選條件。如要測試通知,請使用 Security Command Center API 建立發現項目。 - Security Command Center 服務帳戶必須在 Pub/Sub 主題中具備
securitycenter.notificationServiceAgent角色。服務帳戶名稱的格式為service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com。- 如果移除角色,系統就會停用通知發布功能。
- 如果移除角色後再次授予,通知會延遲傳送。
- 如果刪除並重新建立 Pub/Sub 主題,系統會捨棄通知。
Web Security Scanner
本節包含疑難排解步驟,協助您解決使用 Web Security Scanner 時發生的問題。
Compute Engine 和 GKE 的掃描錯誤
如果掃描網址設定有誤,Web Security Scanner 會拒絕掃描。遭到拒絕的可能原因如下:
網址具有臨時的 IP 位址
將此 IP 位址標示為靜態:
- 如為單一 VM 上的應用程式,請在 VM 上預留該 IP 位址
- 如為位於負載平衡器背後的應用程式,請在該負載平衡器上預留 IP 位址。
網址對應至錯誤的 IP 位址
如要修正這項發現,請參閱 DNS 註冊商服務提供的操作說明。
網址對應至同個 VM 的臨時 IP 位址
請將此 IP 位址標記為靜態。
網址對應至預留的 IP 位址
如果網址對應至同機構中其他專案預留的 IP 位址,就會發生這個錯誤。如要解決這個問題,請在目標專案中,定義以專案 VM 或 HTTP 負載平衡器為目標的安全掃描作業。
網址對應至多個 IP 位址。
請確認對應至此網址的所有 IP 位址皆已保留給同個專案。如有至少一個 IP 位址未保留給相同專案,掃描建立或編輯/更新作業即會失敗。
後續步驟
瞭解 Security Command Center 錯誤。