Vista geral dos erros do Security Command Center

Os detetores de erros geram resultados que apontam para problemas na configuração do seu ambiente do Security Command Center. Estes problemas de configuração impedem que os serviços de deteção (também conhecidos como fornecedores de localização) gerem resultados. Os resultados de erros são gerados pela fonte de segurança Security Command Center e têm a classe de resultado SCC errors.

Esta seleção de detetores de erros aborda as configurações incorretas comuns do Security Command Center e não é uma lista exaustiva. A ausência de resultados de erros não garante que o Security Command Center e os respetivos serviços estejam configurados corretamente e a funcionar conforme previsto. Se suspeitar que tem problemas de configuração incorreta que não são abrangidos por estes detetores de erros, consulte a secção Resolução de problemas e Mensagens de erro.

Níveis de gravidade

Um resultado de erro pode ter qualquer um dos seguintes níveis de gravidade:

Crítico

Indica que o erro está a causar um ou mais dos seguintes problemas:

  • O erro impede que veja todas as conclusões de um serviço.
  • O erro está a impedir que o Security Command Center gere novas descobertas de qualquer gravidade.
  • O erro está a impedir a geração de simulações de caminhos de ataque e pontuações de exposição a ataques.
Alto

Indica que o erro está a causar um ou mais dos seguintes problemas:

  • Não pode ver nem exportar algumas das conclusões de um serviço.
  • Para simulações de caminhos de ataque, as pontuações de exposição a ataques e os caminhos de ataque podem estar incompletos ou ser imprecisos.

Comportamento de desativação do som

As conclusões pertencentes à classe de conclusões SCC errors comunicam problemas que impedem o Security Command Center de funcionar conforme esperado. Por este motivo, não é possível ignorar as deteções de erros.

Detetores de erros

A tabela seguinte descreve os detetores de erros e os recursos que suportam. Pode filtrar as conclusões por nome da categoria ou classe de conclusões na página Conclusões do Security Command Center na Google Cloud consola.

Para corrigir estas conclusões, consulte o artigo Corrigir erros do Security Command Center.

As seguintes categorias de constatações representam erros possivelmente causados por ações não intencionais.

Ações inadvertidas
Nome da categoria Nome da API Resumo Gravidade
API_DISABLED

Descrição da localização: Uma API obrigatória está desativada para o projeto. O serviço desativado não pode enviar resultados para o Security Command Center.

Nível de preços: Premium ou Standard

Recursos suportados
cloudresourcemanager.googleapis.com/Project

Procuras em lote: a cada 60 horas

Corrija esta descoberta

Crítico
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descrição da descoberta: As configurações de valor dos recursos estão definidas para simulações de caminhos de ataque, mas não correspondem a nenhuma instância de recurso no seu ambiente. As simulações estão a usar o conjunto de recursos de valor elevado predefinido.

Este erro pode ter qualquer uma das seguintes causas:

  • Nenhuma das configurações de valor do recurso corresponde a instâncias de recursos.
  • Uma ou mais configurações de valor do recurso que especificam NONE substituem todas as outras configurações válidas.
  • Todas as configurações de valor de recurso definidas especificam um valor de NONE.

Nível de preços: Premium

Recursos suportados
cloudresourcemanager.googleapis.com/Organizations

Análises em lote: antes de cada simulação de caminho de ataque.

Corrija esta descoberta

Crítico
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descrição da descoberta: Na última simulação de caminho de ataque, o número de instâncias de recursos de elevado valor, conforme identificado pelas configurações de valor dos recursos, excedeu o limite de 1000 instâncias de recursos num conjunto de recursos de elevado valor. Como resultado, o Security Command Center excluiu o número excessivo de instâncias do conjunto de recursos de alto valor.

O número total de instâncias correspondentes e o número total de instâncias excluídas do conjunto são identificados na descoberta SCC Error na Google Cloud consola.

As pontuações de exposição a ataques em quaisquer resultados que afetem instâncias de recursos excluídas não refletem a designação de elevado valor das instâncias de recursos.

Nível de preços: Premium

Recursos suportados
cloudresourcemanager.googleapis.com/Organizations

Análises em lote: antes de cada simulação de caminho de ataque.

Corrija esta descoberta

Alto
KTD_IMAGE_PULL_FAILURE

Descrição da deteção: Não é possível ativar a Deteção de ameaças de contentores no cluster porque não é possível obter (transferir) uma imagem de contentor necessária de gcr.io, o anfitrião de imagens do Container Registry. A imagem é necessária para implementar o DaemonSet de deteção de ameaças de contentores que a deteção de ameaças de contentores requer.

A tentativa de implementar o DaemonSet de deteção de ameaças de contentores resultou no seguinte erro:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Nível de preços: Premium

Recursos suportados
container.googleapis.com/Cluster

Análises em lote: a cada 30 minutos

Corrija esta descoberta

Crítico
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descrição da deteção: Não é possível ativar a Deteção de ameaças de contentores num cluster do Kubernetes. Um controlador de admissão de terceiros está a impedir a implementação de um objeto DaemonSet do Kubernetes que a deteção de ameaças de contentores requer.

Quando visualizados na Google Cloud consola, os detalhes da deteção incluem a mensagem de erro devolvida pelo Google Kubernetes Engine quando a Deteção de ameaças de contentores tentou implementar um objeto DaemonSet de Deteção de ameaças de contentores.

Nível de preços: Premium

Recursos suportados
container.googleapis.com/Cluster

Análises em lote: a cada 30 minutos

Corrija esta descoberta

Alto
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da descoberta: Uma conta de serviço não tem as autorizações necessárias para a Deteção de ameaças de contentores. A Deteção de ameaças de contentores pode deixar de funcionar corretamente porque a instrumentação de deteção não pode ser ativada, atualizada nem desativada.

Nível de preços: Premium

Recursos suportados
cloudresourcemanager.googleapis.com/Project

Análises em lote: a cada 30 minutos

Corrija esta descoberta

Crítico
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da deteção: A Deteção de ameaças de contentores não consegue gerar resultados para um cluster do Google Kubernetes Engine, porque a conta de serviço predefinida do GKE no cluster não tem autorizações. Isto impede que a Deteção de ameaças de contentores seja ativada com êxito no cluster.

Nível de preços: Premium

Recursos suportados
container.googleapis.com/Cluster

Análises em lote: todas as semanas

Corrija esta descoberta

Alto
MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descrição da deteção: O projeto configurado para exportação contínua para o Cloud Logging está indisponível. O Security Command Center não consegue enviar resultados para o Logging.

Nível de preços: Premium

Recursos suportados
cloudresourcemanager.googleapis.com/Organization

Análises em lote: a cada 30 minutos

Corrija esta descoberta

Alto
VPC_SC_RESTRICTION

Descrição da deteção: O Security Health Analytics não consegue produzir determinadas deteções para um projeto. O projeto está protegido por um perímetro de serviço e a conta de serviço do Security Command Center não tem acesso ao perímetro.

Nível de preços: Premium ou Standard

Recursos suportados
cloudresourcemanager.googleapis.com/Project

Procuras em lote: a cada 6 horas

Corrija esta descoberta

Alto
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descrição da deteção: A conta de serviço do Security Command Center não tem as autorizações necessárias para funcionar corretamente. Não são produzidas conclusões.

Nível de preços: Premium ou Standard

Recursos suportados

Análises em lote: a cada 30 minutos

Corrija esta descoberta

Crítico

O que se segue?