常见问题解答

Security Command Center API 包含一项通知功能，该功能可将信息发送到 Pub/Sub 主题，从而在几分钟内提供发现结果更新和新的发现结果。通知包含在 Google Cloud 控制台中显示的所有发现结果信息。如需开始使用，请参阅设置发现结果通知。

Security Command Center 还提供 App Engine 应用，可让您为 Notifier 应用定义自定义查询。Notifier 应用和其他 Security Command Center 工具将被弃用，因为它们的所有功能都已添加到 Security Command Center功能。现在，您可以使用该应用将查询发布到用户定义的 Pub/Sub 主题，并将 Feed 与电子邮件和短信集成。仅为所有 Security Command Center 工具尽力提供支持。

您的防火墙规则可能包含明确不会产生发现结果的目标端口。

有多种原因会导致无法创建发现结果。防火墙规则可能配置为拒绝规则。您的防火墙规则可能允许网络流量使用由模块明确忽略的协议或端口。系统会为以下规则创建发现结果：允许流量接收自采用任何协议的任何 IP 地址 (0.0.0.0/0)，或是允许流量发送至任何端口（适用于 TCP、UDP 和 SCTP 协议）；但存在如下例外情况。

不会为以下协议创建发现结果：

• ICMP
• TCP 443 (HTTPS)
• TCP 22 (SSH)
• SCTP 22 (SSH)
• TCP 3389 (RDP)
• UDP 3389 (RDP)

发现结果的具体类型决定了 Security Command Center 是否在发现结果中的问题被解决后自动将发现结果的 state 字段设置为 INACTIVE。下面的列表介绍了各种发现结果类型，以及 Security Command Center 是否会自动将这些类型的发现结果状态设置为 INACTIVE：

完成漏洞的修复步骤后，漏洞发现结果会自动更新为 INACTIVE 状态。如果漏洞资源被删除，漏洞发现结果也会自动更新为 INACTIVE 状态。Security Health Analytics 和 Web Security Scanner 检测器会生成 Security Command Center 中提供的漏洞发现结果。在 Security Command Center 中启用这些检测器后，集成服务（例如虚拟机管理器）也会生成漏洞发现结果。

威胁发现结果表示观察到了一个或多个事件的发生，例如某个进程的执行或某个网络连接的启动。

解决威胁发现结果相关问题后，Security Command Center 不会自动将 state 设为 INACTIVE。除非您手动更改威胁发现结果的状态，否则它会一直保持活跃状态。

威胁与漏洞有所不同，威胁是动态的，并指示针对一个或多个资源的可能发生的活跃漏洞，因此您的安全人员必须使用 Security Command Center 发现结果中的信息来确定最佳方法，用以修复问题并保护资源免受未来攻击。

如果您通过调查确定了某个威胁发现结果为假正例，不妨考虑为该发现结果创建忽略规则，并让其状态保持为 ACTIVE。

修复配置中的问题后，错误发现结果会自动标记为 INACTIVE 状态。错误检测器会生成发现结果，指向 Security Command Center 环境配置中的问题。这些配置问题会阻止服务（也称为发现结果提供方或来源）生成发现结果。