Descripción general de los errores de Security Command Center

Los detectores de errores generan resultados que apuntan a problemas en la configuración del entorno de Security Command Center. Estos problemas de configuración evitan que los servicios de detección (también conocidos como proveedores de búsqueda) generen resultados. La fuente de seguridad Security Command Center genera los resultados de error y estos tienen la clase de resultado SCC errors.

Esta selección de detectores de errores aborda configuraciones incorrectas comunes de Security Command Center y no es una lista exhaustiva. La ausencia de resultados de errores no garantiza que Security Command Center y sus servicios estén configurados y funcionen de forma correcta según lo previsto. Si sospechas que tienes problemas de configuración incorrecta que no se incluyen en estos detectores de errores, consulta Solución de problemas y Mensajes de error.

Niveles de gravedad

Un resultado de error puede tener uno de los siguientes niveles de gravedad:

Crítico

Indica que el error está causando uno o más de los siguientes problemas:

  • El error te impide ver todos los resultados de un servicio.
  • El error impide que Security Command Center genere resultados nuevos de cualquier gravedad.
  • El error impide que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.
Alta

Indica que el error está causando uno o más de los siguientes problemas:

  • No puedes ver ni exportar algunos de los resultados de un servicio.
  • En el caso de las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque pueden estar incompletas o ser imprecisas.

Silenciar comportamiento

Los resultados que pertenecen a la clase de resultado SCC errors informan los problemas que impiden que Security Command Center funcione como se espera. Por este motivo, no se pueden silenciar los resultados de los errores.

Detectores de errores

En la siguiente tabla, se describen los detectores de errores y los elementos que admiten. Puedes filtrar los resultados por nombre de categoría o clase de resultado en la pestaña Resultados de Security Command Center en la consola de Google Cloud.

Para solucionar estos problemas, consulta Soluciona los errores de Security Command Center.

Las siguientes categorías de resultados representan errores posiblemente causados por acciones no intencionales.

Acciones involuntarias
Nombre de categoría Nombre de la API Resumen Gravedad
API disabled API_DISABLED

Descripción de los resultados: La API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center.

Nivel de precios: Premium o Estándar

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: Cada 60 horas

Corrige este resultado

Crítico
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descripción del problema: Los parámetros de configuración de valor de recursos se definen para las simulaciones de rutas de ataque, pero no coinciden con ninguna instancia de recursos de tu entorno. En su lugar, las simulaciones usan el conjunto de recursos de alto valor predeterminado.

Este error puede deberse a cualquiera de las siguientes causas:

  • Ninguna de las configuraciones de valores de recursos coincide con ninguna instancia de recursos.
  • Una o más configuraciones de valor de recursos que especifiquen NONE anulan todas las demás configuraciones válidas.
  • Todas las configuraciones de valores de recursos definidas especifican un valor de NONE.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Organizations

Análisis por lotes: Antes de cada simulación de ruta de ataque

Corrige este hallazgo

Crítico
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descripción del hallazgo: En la última simulación de ruta de ataque, la cantidad de instancias de recursos de alto valor, según lo identificó la configuración de valores de recursos, superó el límite de 1,000 instancias de recursos en un conjunto de recursos de alto valor. Como resultado, Security Command Center excluyó la cantidad excesiva de instancias del conjunto de recursos de alto valor.

La cantidad total de instancias que coinciden y la cantidad total de instancias excluidas del conjunto se identifican en el hallazgo SCC Error de la consola de Google Cloud.

Las puntuaciones de exposición a ataques en los resultados que afectan a las instancias de recursos excluidos no reflejan la designación de alto valor de las instancias de recursos.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Organizations

Análisis por lotes: Antes de cada simulación de ruta de ataque

Corrige este hallazgo

Alta
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Descripción del problema: La detección de amenazas a contenedores no se puede habilitar en el clúster porque no se puede extraer (descargar) una imagen de contenedor requerida de gcr.io, el host de imágenes de Container Registry. La imagen es necesaria para implementar el DaemonSet de Container Threat Detection que requiere esta función.

El intento de implementar el DaemonSet de Container Threat Detection generó el siguiente error:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítico
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descripción del resultado: La detección de amenazas a contenedores no se puede habilitar en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere la detección de amenazas a contenedores.

Cuando se visualizan en la consola de Google Cloud, los detalles del hallazgo incluyen el mensaje de error que mostró Google Kubernetes Engine cuando la Detección de amenazas en contenedores intentó implementar un objeto DaemonSet de Detección de amenazas en contenedores.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: cada 30 minutos

Corrige este resultado

Alta
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción del resultado: A una cuenta de servicio le faltan los permisos necesarios para la detección de amenazas a contenedores. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítica
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción de los resultados: La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: todas las semanas

Corrige este resultado

Alta
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descripción de los resultados: El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization

Análisis por lotes: cada 30 minutos

Corrige este resultado

Alta
VPC Service Controls Restriction VPC_SC_RESTRICTION

Descripción del resultado: Las estadísticas del estado de la seguridad no pueden producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro.

Nivel de precios: Premium o Estándar

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: Cada 6 horas

Corrige este resultado

Alta
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción del resultado: A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar de forma correcta. No se producen resultados.

Nivel de precios: Premium o Estándar

Recursos admitidos

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítica

¿Qué sigue?