疑難排解

瞭解實用的疑難排解步驟,解決您在使用 Security Command Center 時遇到的下列問題。

啟用 Security Command Center 失敗

如果機構政策依網域限制身分,啟用 Security Command Center 最常會失敗。您和服務帳戶必須屬於允許的網域:

  • 啟用 Security Command Center 前,請務必登入允許網域中的帳戶。
  • 如果您使用@*.gserviceaccount.com服務帳戶,請將服務帳戶新增為允許網域內群組的身分。

Security Command Center 中的資產未更新

如果您使用 VPC Service Controls,只有在授予 Security Command Center 服務帳戶存取權時,才能探索及更新 Security Command Center 中的資產。

如要啟用資產探索功能,請授予 Security Command Center 服務帳戶存取權。服務帳戶即可完成資產探索,並在 Google Cloud 控制台中顯示資產。服務帳戶名稱的格式為 service-org-organization-id@security-center-api.iam.gserviceaccount.com

查看、編輯、建立及更新調查結果和資產

您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全性來源,取決於您獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管

未收到通知或通知延遲

在某些情況下,通知可能會遺漏、捨棄或延遲:

  • 可能沒有任何發現項目符合 NotificationConfig 中的篩選條件。如要測試通知,請使用 Security Command Center API 建立發現項目
  • Security Command Center 服務帳戶必須在 Pub/Sub 主題中具備 securitycenter.notificationServiceAgent 角色。服務帳戶名稱的格式為 service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com
    • 如果移除角色,系統會停用通知發布功能。
    • 如果移除角色後再次授予,通知會延遲傳送。
  • 如果刪除並重新建立 Pub/Sub 主題,系統會捨棄通知。

Web Security Scanner

本節包含疑難排解步驟,協助您解決使用 Web Security Scanner 時發生的問題。

Compute Engine 和 GKE 掃描錯誤

如果掃描網址設定有誤,Web Security Scanner 會拒絕掃描。遭到拒絕的可能原因如下:

網址具有臨時的 IP 位址

將此 IP 位址標示為靜態:

  • 如為單一 VM 上的應用程式,請在 VM 上預留該 IP 位址
  • 如為位於負載平衡器背後的應用程式,請在該負載平衡器上預留 IP 位址。

網址對應至錯誤的 IP 位址

如要修正這項發現,請參閱 DNS 註冊商服務提供的操作說明。

網址對應至同個 VM 的臨時 IP 位址

請將此 IP 位址標記為靜態。

網址對應至預留的 IP 位址

如果網址對應至同機構中其他專案預留的 IP 位址,就會發生這項錯誤。如要解決這個問題,請在目標專案中,定義以專案 VM 或 HTTP 負載平衡器為目標的安全掃描作業。

網址對應至多個 IP 位址。

請確認對應至此網址的所有 IP 位址皆已保留給同個專案。如有至少一個 IP 位址未保留給相同專案,掃描建立或編輯/更新作業即會失敗。

Model Armor

本節提供疑難排解步驟,協助您解決使用 Model Armor 時遇到的問題。

對 Model Armor 的所有 API 呼叫都會傳回 404 Not Found 錯誤

建立 Private Service Connect,連線至 Model Armor API。如果使用 Private Google Access 存取 Model Armor 區域端點 (REP),或未建立 Private Service Connect,通常會發生這項錯誤。詳情請參閱「透過 Private Service Connect 端點存取區域端點」。

Sensitive Data Protection 篩選器發生錯誤或遭到略過

請確認下列事項:

  • Sensitive Data Protection 範本與所呼叫的 Model Armor 端點位於相同區域。
  • 提出 Model Armor 要求的服務代理在含有 Sensitive Data Protection 範本的專案中,具有 dlp.Userdlp.Reader 角色。

發生這項錯誤的原因是 SanitizeUserPromptSanitizeModelResponse 要求發生用戶端錯誤,或是 Sensitive Data Protection 範本有問題。

Model Armor 全球端點錯誤

請確認您是向適當的區域端點發出 API 要求,而非全域端點。

Model Armor 僅支援對區域端點執行下列作業:

  • 對範本執行建立、讀取、更新、刪除及列出作業。
  • SanitizeUserPromptSanitizeModelResponse API 要求。

如果您向全域端點提出這些作業的 API 要求,就會看到下列錯誤。

{
 "error": {
  "code": 403,
  "message": "Write access to project '<PROJECT_ID>' was denied",
  "status": "PERMISSION_DENIED"
 }
}

後續步驟

瞭解 Security Command Center 錯誤