Questa pagina è stata tradotta dall'API Cloud Translation.

Risoluzione dei problemi

Scopri i passaggi per la risoluzione dei problemi che potrebbero essere utili in caso di problemi durante l'utilizzo di Security Command Center.

L'abilitazione di Security Command Center non va a buon fine

L'abilitazione di Security Command Center non riesce più spesso se le policy dell'organizzazione limitano le identità in base al dominio. Tu e il tuo account di serviziot dovete far parte di un dominio consentito:

Prima di tentare di attivare Security Command Center, assicurati di accedere a un account che si trova in un dominio consentito.
Se utilizzi un account di servizio @*.gserviceaccount.com, aggiungilo come identità in un gruppo all'interno di un dominio consentito.

Gli asset in Security Command Center non vengono aggiornati

Se utilizzi Controlli di servizio VPC, gli asset in Security Command Center possono essere rilevati e aggiornati solo quando concedi l'accesso all'account di servizio Security Command Center.

Per abilitare il rilevamento degli asset, concedi l'accesso all'account di servizio Security Command Center. In questo modo, il account di servizio può completare l'individuazione degli asset e visualizzarli nella console Google Cloud . Il nome del account di servizio è nel formato service-org-organization-id@security-center-api.iam.gserviceaccount.com.

Visualizzazione, modifica, creazione e aggiornamento di risultati e asset

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Notifiche mancanti o in ritardo

In alcune situazioni, le notifiche potrebbero non essere presenti, essere eliminate o subire ritardi:

Potrebbe non esserci alcun risultato corrispondente ai filtri nel tuo NotificationConfig. Per testare le notifiche, utilizza l'API Security Command Center per creare un risultato.
Il account di servizio Security Command Center deve avere il ruolo securitycenter.notificationServiceAgent nell'argomento Pub/Sub. Il nome del account di servizio è nel formato service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.
- Se rimuovi il ruolo, la pubblicazione delle notifiche viene disattivata.
- Se rimuovi il ruolo e poi lo concedi di nuovo, le notifiche vengono ritardate.
Se elimini e ricrei l'argomento Pub/Sub, le notifiche verranno eliminate.

Web Security Scanner

Questa sezione contiene passaggi per la risoluzione dei problemi che potrebbero esserti utili in caso di problemi con l'utilizzo di Web Security Scanner

Errori di scansione per Compute Engine e GKE

Se l'URL di una scansione non è configurato correttamente, Web Security Scanner lo rifiuta. I possibili motivi di rifiuto includono:

L'URL ha un indirizzo IP temporaneo

Contrassegna questo indirizzo IP come statico:

Per un'applicazione su una singola VM, prenota l'indirizzo IP sulla VM
Per un'applicazione dietro un bilanciatore del carico, prenota l'indirizzo IP sul bilanciatore del carico.

L'URL è mappato a un indirizzo IP errato

Per risolvere questo problema, segui le istruzioni del servizio di registrazione DNS.

L'URL è mappato a un indirizzo IP temporaneo della stessa VM

Contrassegna questo indirizzo IP come statico.

L'URL è mappato a un indirizzo IP riservato

Questo errore si verifica quando l'URL è mappato a un indirizzo IP riservato in un progetto diverso della stessa organizzazione. Per risolvere il problema, definisci le scansioni di sicurezza per la VM o il bilanciatore del carico HTTP nel progetto per cui è definito.

L'URL è mappato a più di un indirizzo IP.

Assicurati che tutti gli indirizzi IP mappati a questo URL siano riservati allo stesso progetto. Se è presente almeno un indirizzo IP non riservato allo stesso progetto, l'operazione di creazione, modifica o aggiornamento della scansione non va a buon fine.

Model Armor

Questa sezione contiene passaggi per la risoluzione dei problemi che potrebbero esserti utili in caso di problemi con l'utilizzo di Model Armor.

Tutte le chiamate API a Model Armor restituiscono un errore 404 Not Found

Stabilisci una connessione Private Service Connect alle API Model Armor. Questo errore si verifica in genere quando si accede agli endpoint regionali (REP) di Model Armor utilizzando l'accesso privato Google o senza un Private Service Connect. Per saperne di più, consulta Informazioni sull'accesso agli endpoint regionali tramite gli endpoint Private Service Connect.

Il filtro Sensitive Data Protection genera un errore o viene ignorato

Verifica quanto segue:

Il modello Sensitive Data Protection si trova nella stessa regione dell'endpoint Model Armor chiamato.
L'agente di servizio che effettua la richiesta Model Armor dispone dei ruoli dlp.User e dlp.Reader nel progetto contenente il modello Sensitive Data Protection.

Questo errore si verifica a causa di errori del client nelle richieste SanitizeUserPrompt o SanitizeModelResponse o di problemi con il modello Sensitive Data Protection.

Errori dell'endpoint globale di Model Armor

Assicurati di effettuare le richieste API all'endpoint regionale appropriato anziché all'endpoint globale.

Model Armor supporta solo le seguenti operazioni sui suoi endpoint regionali:

Crea, leggi, aggiorna, elimina ed elenca le operazioni sui modelli.
SanitizeUserPrompt e SanitizeModelResponse.

Se effettui le richieste API per queste operazioni all'endpoint globale, visualizzerai il seguente errore.

{
 "error": {
  "code": 403,
  "message": "Write access to project '<PROJECT_ID>' was denied",
  "status": "PERMISSION_DENIED"
 }
}

Passaggi successivi

Scopri di più sugli errori di Security Command Center.