Solución de problemas

Obtén información sobre los pasos para solucionar problemas que pueden ser útiles si tienes los siguientes inconvenientes mientras usas Security Command Center.

No se puede habilitar Security Command Center

La habilitación de Security Command Center suele fallar si las políticas de la organización restringen identidades por dominio. Tú y tu cuenta de servicio deben ser parte de un dominio permitido:

  • Asegúrate de acceder a una cuenta que esté en un dominio permitido antes de intentar habilitar Security Command Center.
  • Si usas una cuenta de servicio @*.gserviceaccount.com, agrégala como una identidad en un grupo dentro de un dominio permitido.

No se están actualizando los elementos en Security Command Center

Si usas los Controles del servicio de VPC, los recursos en Security Command Center solo se pueden detectar y actualizar cuando otorgas acceso a la cuenta de servicio de Security Command Center.

Para habilitar la detección de recursos, otorga acceso a la cuenta de servicio de Security Command Center. Esto permite que la cuenta de servicio complete el descubrimiento de recursos y los muestre en la consola de Google Cloud. El nombre de la cuenta de servicio tiene el formato service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Mira, edita, crea y actualiza resultados y recursos

Los roles de IAM de Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Notificaciones que faltan o se retrasan

En algunas situaciones, es posible que falten notificaciones, se pierdan o se retrasen:

  • Es posible que no haya resultados que coincidan con los filtros de tu NotificationConfig. Para probar las notificaciones, usa la API de Security Command Center a fin de crear un resultado.
  • La cuenta de servicio de Security Command Center debe tener la función securitycenter.notificationServiceAgent en el tema de Pub/Sub. El nombre de la cuenta de servicio tiene el formato service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
    • Si quitas la función, se inhabilitará la publicación de notificaciones.
    • Si quitas la función y vuelves a otorgarla, se retrasan las notificaciones.
  • Si borras y vuelves a crear el tema de Pub/Sub, se descartarán las notificaciones.

Web Security Scanner

Esta sección contiene pasos para solucionar problemas que pueden resultarte útiles si tienes problemas cuando usas Web Security Scanner.

Errores de análisis para Compute Engine y GKE

Si la URL de un análisis está mal configurada, Web Security Scanner la rechaza. Las posibles razones para el rechazo incluyen:

La URL tiene una dirección IP que es efímera

Marca esta dirección IP como estática.

  • Para una aplicación en una sola VM, reserva la dirección IP en la VM.
  • Para una aplicación detrás de un balanceador de cargas, reserva la dirección IP en este.

La URL está mapeada a una dirección IP incorrecta.

Para solucionar este problema, consulta las instrucciones del servicio de registrador de DNS.

La URL está asignada a una dirección IP efímera de la misma VM.

Marca esta dirección IP como estática.

La URL está mapeada a una dirección IP incorrecta.

Este error ocurre cuando la URL se asigna a una dirección IP que está reservada en un proyecto diferente de la misma organización. A fin de resolver esto, define los análisis de seguridad para la VM o el balanceador de cargas de HTTP en el proyecto en el que se define.

La URL está mapeada a más de una dirección IP.

Asegúrate de que todas las direcciones IP asignadas a esta URL estén reservadas para el mismo proyecto. Si hay al menos una dirección IP que no está reservada para el mismo proyecto, la operación de Crear o editar o actualizar un análisis falla.

¿Qué sigue?

Obtén más información sobre los errores de Security Command Center.