Scopri i passaggi per la risoluzione dei problemi che potrebbero essere utili se riscontri i seguenti problemi durante l'utilizzo di Security Command Center.
Abilitazione di Security Command Center non riuscita
L'abilitazione di Security Command Center non riesce più spesso se le policy dell'organizzazione limitano le identità per dominio. Tu e il tuo account di servizio dovete far parte di un dominio consentito:
- Assicurati di accedere a un account in un dominio consentito prima di provare ad abilitare Security Command Center.
- Se utilizzi un account di servizio
@*.gserviceaccount.com, aggiungilo come identità in un gruppo all'interno di un dominio consentito.
Gli asset in Security Command Center non vengono aggiornati
Se utilizzi Controlli di servizio VPC, gli asset in Security Command Center possono essere rilevati e aggiornati solo quando concedi l'accesso all'account di servizio Security Command Center.
Per abilitare il rilevamento degli asset, concedi l'accesso all'account di servizio Security Command Center. In questo modo, l'account di servizio
può completare il rilevamento degli asset e visualizzarli nella Google Cloud console.
Il nome dell'account di servizio è nel formato
service-org-organization-id@security-center-api.iam.gserviceaccount.com.
Visualizzazione, modifica, creazione e aggiornamento di risultati e asset
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per il quale ti viene concesso l'accesso. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Notifiche mancanti o in ritardo
In alcune situazioni, le notifiche potrebbero mancare, essere eliminate o subire ritardi:
- Potrebbe non essere presente alcun risultato che corrisponda ai filtri in
NotificationConfig. Per testare le notifiche, utilizza l'API Security Command Center per creare un risultato. - L'account di servizio Security Command Center deve avere il ruolo
securitycenter.notificationServiceAgentnell'argomento Pub/Sub. Il nome dell'account di servizio è nel formatoservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- Se rimuovi il ruolo, la pubblicazione delle notifiche viene disattivata.
- Se rimuovi il ruolo e poi lo concedi di nuovo, le notifiche vengono ritardate.
- Se elimini e ricrei l'argomento Pub/Sub, le notifiche verranno eliminate.
Web Security Scanner
Questa sezione contiene i passaggi per la risoluzione dei problemi che potrebbero essere utili in caso di problemi con l'utilizzo di Web Security Scanner.
Errori di scansione per Compute Engine e GKE
Se l'URL di una scansione non è configurato correttamente, Web Security Scanner lo rifiuta. I possibili motivi del rifiuto includono:
L'URL ha un indirizzo IP effimero
Contrassegna questo indirizzo IP come statico:
- Per un'applicazione su una singola VM, prenota l'indirizzo IP sulla VM.
- Per un'applicazione dietro un bilanciatore del carico, prenota l'indirizzo IP sul bilanciatore del carico.
L'URL è mappato a un indirizzo IP errato
Per correggere questo risultato, consulta le istruzioni del servizio di registrazione DNS.
L'URL è mappato a un indirizzo IP effimero della stessa VM
Contrassegna questo indirizzo IP come statico.
L'URL è mappato a un indirizzo IP riservato
Questo errore si verifica quando l'URL è mappato a un indirizzo IP riservato in un progetto diverso della stessa organizzazione. Per risolvere il problema, definisci le scansioni di sicurezza per la VM o il bilanciatore del carico HTTP nel progetto per il quale è definito.
L'URL è mappato a più di un indirizzo IP.
Assicurati che tutti gli indirizzi IP mappati a questo URL siano riservati per lo stesso progetto. Se è presente almeno un indirizzo IP non riservato per lo stesso progetto, l'operazione di creazione, modifica o aggiornamento della scansione non riesce.
Passaggi successivi
Scopri di più sugli errori di Security Command Center.