Security Command Center 错误概览

错误检测器会生成发现结果,指向 Security Command Center 环境配置中的问题。这些配置问题会阻止检测服务(也称为发现结果提供方)生成发现结果。错误发现结果由 Security Command Center 安全来源生成,且具有发现结果类 SCC errors

此处列出的错误检测器可以解决常见的 Security Command Center 配置错误,但列出的并非全部错误检测器。如果没有显示错误发现结果,并不意味着 Security Command Center 及其服务百分之百正确配置并按预期正常运行。如果您怀疑存在这些错误检测器未涵盖的配置错误问题,请参阅问题排查错误消息

严重级别

错误发现结果可以具有以下任一严重级别:

严重

表示该错误会导致以下一项或多项问题:

  • 此错误会导致您无法查看服务的所有发现结果。
  • 此错误会阻止 Security Command Center 生成任何严重程度的新发现结果。
  • 该错误会阻止攻击路径模拟生成攻击风险得分和攻击路径。

表示该错误会导致以下一个或多个问题:

  • 您无法查看或导出服务的某些发现结果。
  • 对于攻击路径模拟,攻击风险得分和攻击路径可能不完整或不准确。

忽略行为

属于发现结果类 SCC errors 的发现结果会报告阻止 Security Command Center 按预期正常运行的问题。因此,无法忽略此类错误发现结果。

错误检测器

下表介绍了错误检测器及其支持的资产。您可以在 Google Cloud 控制台的 Security Command Center 发现结果标签页上按类别名称或发现结果类过滤发现结果。

如需修复这些发现结果,请参阅修复 Security Command Center 错误

以下发现结果类别表示可能由意外操作导致的错误。

意外操作
类别名称 API 名称 摘要 严重程度
API disabled API_DISABLED

发现结果说明:项目已停用所需的 API。已停用的服务无法将发现结果发送到 Security Command Center。

价格层级付费方案或标准方案

支持的资产
cloudresourcemanager.googleapis.com/Project

批量扫描:每 60 小时

修正此发现结果

严重
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

发现结果说明资源值配置是为攻击路径模拟定义的,但它们与您环境中的任何资源实例都不匹配。模拟将改用默认的高价值资源集。

此错误可能由以下任何原因造成:

  • 没有任何资源值配置与任何资源实例匹配。
  • 指定 NONE 的一个或多个资源值配置替换所有其他有效配置。
  • 所有定义的资源值配置都指定值 NONE

价格层级付费方案

支持的资源
cloudresourcemanager.googleapis.com/Organizations

批量扫描:每次攻击路径模拟之前。

修正此发现结果

严重
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

发现结果说明:在上一次攻击路径模拟中,高价值资源实例的数量(由资源值配置标识)超出了高价值资源集中 1,000 个资源实例的限制。因此,Security Command Center 从高价值资源集中排除了过多的实例。

Google Cloud 控制台的 SCC Error 发现结果中标识了匹配实例总数和从资源集中排除的实例总数。

影响被排除资源实例的发现结果的攻击风险得分并不反映资源实例的高价值指定。

价格层级付费方案

支持的资源
cloudresourcemanager.googleapis.com/Organizations

批量扫描:每次攻击路径模拟之前。

修正此发现结果

Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

发现结果说明:无法为集群启用 Container Threat Detection,因为无法从 Container Registry 映像主机 gcr.io 拉取(下载)所需的容器映像。需要映像才能部署 Container Threat Detection 所需的 Container Threat Detection DaemonSet。

尝试部署 Container Threat Detection DaemonSet 会导致以下错误:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

价格层级付费方案

支持的资源
container.googleapis.com/Cluster

批量扫描:每 30 分钟

修正此发现结果

严重
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

发现结果说明:无法在 Kubernetes 集群上启用 Container Threat Detection。第三方准入控制器阻止部署 Container Threat Detection 所需的 Kubernetes DaemonSet 对象。

在 Google Cloud 控制台中查看时,发现结果详细信息包括当 Container Threat Detection 尝试部署 Container Threat Detection DaemonSet 对象时 Google Kubernetes Engine 返回的错误消息。

价格层级付费方案

支持的资源
container.googleapis.com/Cluster

批量扫描:每 30 分钟

修正此发现结果

Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

发现结果说明:服务账号缺少 Container Threat Detection 所需的权限。Container Threat Detection 可能会停止运行,因为无法启用、升级或停用检测插桩

价格层级付费方案

支持的资产
cloudresourcemanager.googleapis.com/Project

批量扫描:每 30 分钟

修正此发现结果

严重
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

发现结果说明:Container Threat Detection 无法为 Google Kubernetes Engine 集群生成发现结果,因为集群上的 GKE 默认服务账号缺少权限。这会阻止在集群上成功启用 Container Threat Detection。

价格层级付费方案

支持的资源
container.googleapis.com/Cluster

批量扫描:每周

修正此发现结果

Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

发现结果说明:配置为 持续导出到 Cloud Logging 的项目不可用。Security Command Center 无法将发现结果发送到 Logging。

价格层级付费方案

支持的资产
cloudresourcemanager.googleapis.com/Organization

批量扫描:每 30 分钟

修正此发现结果

VPC Service Controls Restriction VPC_SC_RESTRICTION

发现结果说明:Security Health Analytics 无法为项目生成某些发现结果。该项目受服务边界保护,而 Security Command Center 服务账号无权访问该边界。

价格层级付费方案或标准方案

支持的资产
cloudresourcemanager.googleapis.com/Project

批量扫描:每 6 小时

修正此发现结果

Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

发现结果说明:Security Command Center 服务账号缺少正常运行所需的权限。系统不会生成任何发现结果。

价格层级付费方案或标准方案

支持的资源

批量扫描:每 30 分钟

修正此发现结果

严重

后续步骤