Questa pagina fornisce un elenco di guide di riferimento e tecniche per la correzione degli errori SCC.
Prima di iniziare
Per visualizzare o modificare i risultati e per accedere o modificare le risorse Google Cloud, devi disporre di ruoli IAM adeguati. Se riscontri errori di autorizzazione quando accedi a Security Command Center nella console Google Cloud, rivolgiti all'amministratore per ricevere assistenza. Per informazioni sui ruoli, consulta Controllo dell'accesso. Per risolvere gli errori relativi alle risorse, leggi la documentazione dei prodotti interessati.
Esamina i risultati nella console Google Cloud
Gli errori SCC sono errori di configurazione che impediscono il corretto funzionamento di Security Command Center. L'origineSecurity Command Center
genera questi risultati.
Se Security Command Center è configurato per la tua organizzazione o per il tuo progetto, genera risultati di errore man mano che li rileva. Puoi visualizzare gli errori SCC nella console Google Cloud.
Per esaminare i risultati nella console Google Cloud, segui questa procedura:
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Security Command Center. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona Security Command Center. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Disattivazione degli errori SCC dopo la correzione
Dopo aver corretto un risultato SCC error
, Security Command Center imposta automaticamente lo stato del risultato su INACTIVE
durante la scansione successiva. Il tempo necessario per impostare lo stato di un risultato corretto su INACTIVE
in Security Command Center dipende da quando correggi il risultato e dalla pianificazione della scansione che rileva l'errore.
Per informazioni sulla frequenza di scansione di un risultato SCC error
, consulta il riepilogo del risultato in Rilevatori di errori.
Correggere gli errori SCC
Questa sezione include istruzioni per la correzione di tutti gli errori SCC.
API disabled
Nome della categoria nell'API: API_DISABLED
Uno dei seguenti servizi è disattivato per il progetto:
Il servizio disattivato non può generare risultati.
Per risolvere il problema, segui questi passaggi:
- Esamina il rilevamento per determinare quale API è disattivata.
Abilita l'API:
Abilita l'API Container Threat Detection.
Abilita l'API Web Security Scanner.
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri leAPS no resource value configs match any resources
Nome della categoria nell'API: APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES
Le configurazioni dei valori delle risorse sono definite per le simulazioni del percorso di attacco, ma non corrispondono a nessuna istanza di risorsa nel tuo ambiente. Le simulazioni utilizzano invece il set di risorse di valore elevato predefinito.
Le configurazioni dei valori delle risorse potrebbero non corrispondere a nessuna risorsa per i seguenti motivi, identificati nella descrizione del rilevamento nella console Google Cloud:
- Nessuna delle configurazioni dei valori delle risorse corrisponde a nessuna istanza di risorsa.
- Una o più configurazioni dei valori delle risorse che specificano
NONE
sostituiscono ogni altra configurazione valida. - Tutte le configurazioni dei valori delle risorse definite specificano un valore
NONE
.
Per risolvere il problema, segui questi passaggi:
Vai alla pagina Simulazione del percorso di attacco in Impostazioni di Security Command Center:
Seleziona la tua organizzazione. Si apre la pagina Simulazione del percorso di attacco con le configurazioni esistenti visualizzate.
Nella colonna Valore della risorsa dell'elenco Configurazioni di valori delle risorse, controlla la presenza di valori di
None
.Per qualsiasi configurazione che ha specificato
None
:- Fai clic sul nome di qualsiasi configurazione del valore della risorsa per visualizzare le specifiche di configurazione.
- Se necessario, modifica le specifiche degli attributi della risorsa per ridurre il numero di istanze di risorse corrispondenti alla configurazione.
Se il problema non è causato da una specifica
None
eccessivamente ampia, svolgi i seguenti passaggi:- Fai clic sui nomi di ogni configurazione che specifica un valore
HIGH
,MEDIUM
oLOW
per visualizzare le specifiche degli attributi della risorsa. - Esamina e, se necessario, modifica la configurazione per correggere l'ambito, il tipo di risorsa, il tag o la specifica dell'etichetta in modo che corrispondano alle risorse previste.
- Fai clic sui nomi di ogni configurazione che specifica un valore
Se necessario, crea una nuova configurazione dei valori delle risorse.
Le modifiche vengono applicate alla simulazione del percorso di attacco successiva.
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri leAPS resource value assignment limit exceeded
Nome della categoria nell'API: APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED
Nell'ultima simulazione del percorso di attacco, il numero di istanze di risorse di alto valore, come identificato dalle configurazioni dei valori delle risorse, ha superato il limite di 1000 istanze di risorse in un set di risorse di alto valore. Di conseguenza, Security Command Center ha escluso il numero eccessivo di istanze dal set di risorse di valore elevato.
Per risolvere il problema, puoi provare le seguenti azioni:
- Utilizza i tag o le etichette per ridurre il numero di corrispondenze per un determinato tipo di risorsa o in un ambito specificato. I tag o le etichette devono essere applicati alle istanze delle risorse prima di poter essere abbinati da una configurazione del valore della risorsa.
Crea una configurazione del valore della risorsa che assegna un valore della risorsa di
NONE
a un sottoinsieme delle risorse specificate in un'altra configurazione.La specifica di un valore
NONE
ha la precedenza su qualsiasi altra configurazione ed esclude le istanze di risorse dal set di risorse di alto valore.Riduci la specifica dell'attributo della risorsa di ambito nella configurazione del valore della risorsa.
Elimina le configurazioni dei valori delle risorse che assegnano un valore di
LOW
.
Per istruzioni su come creare, modificare o eliminare una configurazione del valore della risorsa, consulta Definire e gestire il set di risorse di alto valore.
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri leCIEM service account missing permissions
Nome della categoria nell'API: CIEM_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Nell'account di servizio utilizzato dal servizio CIEM mancano le autorizzazioni. CIEM non può generare una o più categorie di risultati.
Per risolvere il problema, ripristina i ruoli IAM richiesti nell'account di servizio CIEM:
Nella console Google Cloud, vai alla pagina IAM.
Seleziona l'account di servizio CIEM della tua organizzazione. L'identificatore dell'account di servizio è un indirizzo email con il seguente formato:
service-org-ORGANIZATION_ID@gcp-sa-ciem.iam.gserviceaccount.com
Sostituisci
ORGANIZATION_ID
con l'ID numerico della tua organizzazione.Se non vedi l'account di servizio nell'elenco, fai clic su CONCEDI ACCESSO nella parte superiore della pagina e inserisci l'account di servizio come nuova entità.
Concedi il ruolo Agente di servizio CIEM (
roles/ciem.serviceAgent
) all'account di servizio. Se utilizzi ruoli personalizzati, assicurati che includano le seguenti autorizzazioni:cloudasset.assets.exportResource
cloudasset.assets.exportIamPolicy
Fai clic su Salva.
CIEM AWS CloudTrail configuration error
Nome della categoria nell'API: AWS_CLOUDTRAIL_CONFIGURATION_ERROR
Tutti o alcuni risultati di CIEM AWS non vengono inviati a Security Command Center. Il feed AWS CloudTrail non è riuscito e non è in grado di recuperare i dati a causa di un errore di configurazione.
Esistono tre possibili cause per questo risultato:
Feed AWS CloudTrail mancante
Per risolvere il problema, crea e configura un feed nella console Security Operations per eseguire l'importazione dei log AWS CloudTrail. Imposta la coppia chiave-valore Etichetta importazione su
CIEM
eTRUE
.Per istruzioni su come creare un feed, consulta Creare il feed nella documentazione di Google SecOps.
Errori nella configurazione del feed
Assicurati di aver configurato correttamente il feed.
Per configurare un feed, consulta Configurare il feed in Google Security Operations per importare i log AWS nella documentazione di Google SecOps.
Configurazione incompleta di AWS CloudTrail
Per risolvere il problema, configura il bucket S3 nella configurazione di AWS CloudTrail per registrare sia gli eventi di dati sia gli eventi di gestione di tutti gli account AWS in cui intendi utilizzare CIEM.
Per configurare CloudTrail, consulta Configurare AWS CloudTrail (o un altro servizio) nella documentazione di Google SecOps.
GKE service account missing permissions
Nome della categoria nell'API: GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS
Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché al account di servizio predefinito GKE del cluster mancano le autorizzazioni. In questo modo, Container Threat Detection non può essere attivato correttamente sul cluster.
Per risolvere il problema,
ripristina l'account di servizio predefinito GKE e conferma che l'account di servizio disponga del ruolo Agente di servizio Kubernetes Engine
(roles/container.serviceAgent
).
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri leKTD blocked by admission controller
Nome della categoria nell'API: KTD_BLOCKED_BY_ADMISSION_CONTROLLER
Container Threat Detection non può essere attivato su un cluster perché un controllore di ammissione di terze parti impedisce il deployment dell'oggetto DaemonSet Kubernetes richiesto.
Per risolvere il problema, assicurati che i controller di ammissione in esecuzione sul cluster consentano a Container Threat Detection di creare gli oggetti Kubernetes richiesti.
Controlla il controller di ammissione
Controlla se il controller di ammissione nel tuo cluster sta rifiutando il deployment dell'oggetto DaemonSet di Container Threat Detection.
Nella descrizione del rilevamento nei dettagli del rilevamento nella console Google Cloud, esamina il messaggio di errore incluso di Kubernetes. Il messaggio di errore Kubernetes dovrebbe essere simile al seguente:
generic::failed_precondition: incompatible admission webhook: admission webhook "example.webhook.sh" denied the request: [example-constraint] you must provide labels: {"example-required-label"}.
Nei log di controllo della Console di amministrazione di Cloud per il progetto che contiene il tuo cluster, cerca il messaggio di errore visualizzato nel campo Descrizione dei dettagli del rilevamento.
Se il controller di ammissione funziona, ma nega il deployment dell'oggetto DaemonSet di Container Threat Detection, configuralo in modo da consentire all'agente di servizio per Container Threat Detection di gestire gli oggetti nello spazio dei nomi
kube-system
.L'agente di servizio per Container Threat Detection deve essere in grado di gestire oggetti Kubernetes specifici.
Per ulteriori informazioni sull'utilizzo dei controller di ammissione con Container Threat Detection, consulta PodSecurityPolicy e controller di ammissione.
Conferma la correzione
Dopo aver corretto l'errore, Security Command Center tenta automaticamente di attivare il rilevamento delle minacce nei contenitori. Dopo aver atteso il completamento dell'attivazione, puoi verificare se il rilevamento delle minacce nei contenitori è attivo seguendo questi passaggi:
Vai alla pagina Carichi di lavoro di Kubernetes Engine nella console.
Se necessario, seleziona Mostra workload del sistema.
Nella pagina Carichi di lavoro, filtra prima i carichi di lavoro in base al nome del cluster.
Cerca il carico di lavoro
container-watcher
. Secontainer-watcher
è presente e il relativo stato èOK
, Container Threat Detection è attivo.
KTD image pull failure
Nome della categoria nell'API: KTD_IMAGE_PULL_FAILURE
Il rilevamento delle minacce ai container non può essere attivato nel cluster perché non è possibile estrarre (scaricare) un'immagine container obbligatoria da gcr.io
, l'host dell'immagine di Container Registry.
Il pull o il download di un'immagine container può non riuscire per uno di diversi possibili motivi.
Verifica quanto segue:
- Assicurati che le impostazioni della rete VPC, del DNS o del firewall non blocchino
l'accesso alla rete dal cluster all'host dell'immagine
gcr.io
. - Se il cluster è privato, assicurati che l'accesso privato Google sia abilitato per consentire l'accesso all'host dell'immagine
gcr.io
. - Se le impostazioni di rete e l'accesso privato Google non sono la causa del fallimento, consulta la documentazione per la risoluzione dei problemi di GKE per gli errori
ImagePullBackOff
eErrImagePull
.
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri leKTD service account missing permissions
Nome della categoria nell'API: KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS
All'account di servizio Container Threat Detection identificato nei dettagli del rilevamento nella console Google Cloud mancano le autorizzazioni richieste. Tutti o alcuni risultati di Container Threat Detection non vengono inviati a Security Command Center.
Per risolvere il problema, segui questi passaggi:
Concedi il ruolo Agente di servizio Container Threat Detection (
roles/containerthreatdetection.serviceAgent
) all'account di servizio. Per ulteriori informazioni, consulta Concedere un singolo ruolo.In alternativa, se vuoi utilizzare un ruolo personalizzato, assicurati che disponga delle autorizzazioni nel ruolo Agente di servizio Container Threat Detection.
Assicurati che non siano presenti criteri di rifiuto IAM che impediscano all'account di servizio di utilizzare le autorizzazioni nel ruolo Agente di servizio di rilevamento delle minacce dei contenitori. Se esiste un criterio di rifiuto che blocca l'accesso, aggiungi l'account di servizio come entità di eccezione nel criterio di rifiuto.
Per ulteriori informazioni sull'account di servizio Container Threat Detection, sul ruolo e sulle autorizzazioni richieste, consulta Autorizzazioni IAM richieste.
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri leMisconfigured Cloud Logging Export
Nome della categoria nell'API: MISCONFIGURED_CLOUD_LOGGING_EXPORT
Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Di conseguenza, Security Command Center non può inviare i risultati a Logging.
Per risolvere il problema, esegui una delle seguenti operazioni:
Se il periodo di recupero del progetto non è trascorso, ripristina il progetto mancante.
Se il progetto è stato eliminato definitivamente, configura un progetto nuovo o esistente per le esportazioni dei log.
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri leVPC Service Controls Restriction
Nome della categoria nell'API: VPC_SC_RESTRICTION
Security Health Analytics non può produrre determinati risultati per un progetto perché è protetto da un perimetro di servizio. Devi concedere all'account di servizio Security Command Center l'accesso in entrata al perimetro di servizio.
L'identificatore dell'account di servizio è un indirizzo email con il seguente formato:
service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com
Sostituisci quanto segue:
-
RESOURCE_KEYWORD
: la parola chiaveorg
oproject
, a seconda della risorsa proprietaria dell'account di servizio -
RESOURCE_ID
: uno dei seguenti valori:- L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
- Il numero del progetto se l'account di servizio è di proprietà di un progetto
Se hai account di servizio sia a livello di organizzazione che a livello di progetto, applica la correzione a entrambi.
Per risolvere il problema, segui questi passaggi.
Passaggio 1: determina quale perimetro di servizio blocca Security Health Analytics
Recupera l'ID univoco di Controlli di servizio VPC e l'ID progetto associato al risultato:
- Per visualizzare i dettagli del rilevamento, fai clic sul nome della categoria.
- Nel campo Descrizione, copia l'ID univoco di Controlli di servizio VPC, ad esempio
5e4GI409D6BTWfOp_6C-uSwmTpOQWcmW82sfZW9VIdRhGO5pXyCJPQ
. - Nel campo Percorso risorsa, copia l'ID del progetto.
Ottieni l'ID della policy di accesso e il nome del perimetro di servizio:
Nella console Google Cloud, vai alla pagina Esplora log.
Nella barra degli strumenti, seleziona il progetto associato al rilevamento.
Nella casella di ricerca, inserisci l'ID univoco dell'errore.
Se l'errore non viene visualizzato nei risultati della query, espandi la sequenza temporale nell'istogramma e poi esegui di nuovo la query.
Fai clic sull'errore visualizzato.
Fai clic su Espandi campi nidificati.
Copia il valore del campo
servicePerimeterName
. Il valore ha il seguente formato:accessPolicies/ACCESS_POLICY/servicePerimeters/SERVICE_PERIMETER
In questo esempio, il nome completo della risorsa perimetro di servizio è
accessPolicies/540107806624/servicePerimeters/vpc_sc_misconfigured
.ACCESS_POLICY
è l'ID criterio di accesso, ad esempio540107806624
.SERVICE_PERIMETER
è il nome del perimetro di servizio, ad esempiovpc_sc_misconfigured
.
Per ottenere il nome visualizzato che corrisponde all'ID criterio di accesso, utilizza gcloud CLI.
Se non puoi eseguire query a livello di organizzazione, chiedi all'amministratore di eseguire questo passaggio.
gcloud access-context-manager policies list \ --organization ORGANIZATION_ID
Sostituisci
ORGANIZATION_ID
con l'ID numerico della tua organizzazione.Viene visualizzato un output simile al seguente:
NAME ORGANIZATION SCOPES TITLE ETAG 540107806624 549441802605 default policy 2a9a7e30cbc14371 352948212018 549441802605 projects/393598488212 another_policy d7b47a9ecebd4659
Il nome visualizzato è il titolo corrispondente all'ID criterio di accesso. Prendi nota del nome visualizzato del criterio di accesso e del nome del perimetro del servizio. Ti serviranno nella sezione successiva.
Passaggio 2: crea una regola di ingresso che concede l'accesso al progetto
Per questa sezione devi disporre dell'accesso a livello di organizzazione ai Controlli di servizio VPC. Se non disponi dell'accesso a livello di organizzazione, chiedi all'amministratore di eseguire questi passaggi.
Nei passaggi che seguono, crei una regola di ingresso per il perimetro di servizio che hai identificato nel passaggio 1.
Per concedere a un account di servizio l'accesso in entrata a un perimetro di servizio, segui questi passaggi.
Vai a Controlli di servizio VPC.
Nella barra degli strumenti, seleziona la tua organizzazione Google Cloud.
Nell'elenco a discesa, seleziona il criterio di accesso che contiene il perimetro del servizio a cui vuoi concedere l'accesso.
I perimetri di servizio associati al criterio di accesso vengono visualizzati nell'elenco.
Fai clic sul nome del perimetro di servizio.
Fai clic su
Modifica perimetro.Nel menu di navigazione, fai clic su Criterio in entrata.
Fai clic su Aggiungi regola.
Configura la regola nel seguente modo:
Attributi FROM del client API
- In Origine, seleziona Tutte le origini.
- Per Identità, seleziona Identità selezionate.
- Nel campo Aggiungi utente/account di servizio, fai clic su Seleziona.
- Inserisci l'indirizzo email dell'account di servizio. Se hai account di servizio sia a livello di organizzazione sia a livello di progetto, aggiungili entrambi.
- Fai clic su Salva.
Attributi TO di servizi/risorse Google Cloud
In Progetto, seleziona Tutti i progetti o il progetto specificato nel rilevamento.
In Servizi, seleziona Tutti i servizi o seleziona ciascuno dei seguenti singoli servizi richiesti da Security Health Analytics:
- API BigQuery
- API Binary Authorization
- API Cloud Logging
- API Cloud Monitoring
- API Compute Engine
- API Kubernetes Engine
Se un perimetro di servizio limita l'accesso a un servizio richiesto, Security Health Analytics non può produrre risultati per quel servizio.
Nel menu di navigazione, fai clic su Salva.
Per ulteriori informazioni, consulta Configurare i criteri di ingresso e di uscita.
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri leSecurity Command Center service account missing permissions
Nome della categoria nell'API: SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS
All'agente di servizio di Security Command Center mancano le autorizzazioni necessarie per il funzionamento corretto.
L'identificatore dell'account di servizio è un indirizzo email con il seguente formato:
service-RESOURCE_KEYWORD-RESOURCE_ID@security-center-api.iam.gserviceaccount.com
Sostituisci quanto segue:
-
RESOURCE_KEYWORD
: la parola chiaveorg
oproject
, a seconda della risorsa proprietaria dell'account di servizio -
RESOURCE_ID
: uno dei seguenti valori:- L'ID organizzazione se l'account di servizio è di proprietà dell'organizzazione
- Il numero del progetto se l'account di servizio è di proprietà di un progetto
Se hai account di servizio sia a livello di organizzazione che a livello di progetto, applica la correzione a entrambi.
Per risolvere il problema, segui questi passaggi:
Concedi il ruolo Agente di servizio Security Center (
roles/securitycenter.serviceAgent
) all'account di servizio.Per ulteriori informazioni, consulta Concedere un singolo ruolo.
In alternativa, se vuoi utilizzare un ruolo personalizzato, assicurati che disponga delle autorizzazioni nel ruolo Agente di servizio Security Center.
Assicurati che non siano presenti criteri di rifiuto IAM che impediscano all'account di servizio di utilizzare le autorizzazioni nei ruoli richiesti. Se esiste un criterio di rifiuto che blocca l'accesso, aggiungi l'account di servizio come entità di eccezione nel criterio di rifiuto.
risorse e le impostazioni di scansione supportate di questo tipo di segnalazione.
Scopri lePassaggi successivi
Scopri di più sugli errori di Security Command Center.