Questa pagina è stata tradotta dall'API Cloud Translation.

Eseguire la migrazione dalle regole di disattivazione statiche a quelle dinamiche

Questa pagina spiega come eseguire la migrazione delle regole di disattivazione statiche esistenti alle regole di disattivazione dinamiche.

Ti consigliamo di utilizzare le regole di disattivazione dinamica esclusivamente nelle configurazioni delle regole di disattivazione, in quanto sono più flessibili di quelle statiche. Rispetto alle regole di disattivazione statiche, le regole di disattivazione dinamiche offrono tre vantaggi principali:

Le regole di disattivazione dinamiche si applicano ai risultati esistenti e nuovi. Le regole di disattivazione dinamica disattivano automaticamente i risultati esistenti e nuovi o aggiornati che corrispondono ai criteri di filtro.
Le regole di disattivazione dinamica offrono un'opzione di scadenza. Le regole di disattivazione dinamica ti consentono inoltre di impostare un periodo di scadenza personalizzato per trovare temporaneamente risultati specifici. Se non è impostato alcun periodo di scadenza, le regole di disattivazione dinamica disattivano i risultati indefinitamente finché non corrispondono più alla regola.
Le regole di disattivazione dinamica riattivano automaticamente i risultati. Quando si verifica uno dei seguenti eventi, Security Command Center riattiva automaticamente l'audio del risultato:
- La regola di disattivazione dinamica scade.
- Le proprietà di un rilevamento cambiano in modo da non corrispondere più ai criteri di filtro.
- I criteri di filtro cambiano in modo da non corrispondere più al risultato.

Sconsigliamo di utilizzare contemporaneamente regole di disattivazione statiche e dinamiche. Le regole di disattivazione statiche sostituiscono le regole di disattivazione dinamiche quando vengono applicate allo stesso risultato. Di conseguenza, le regole di disattivazione dinamica non funzioneranno come previsto, il che può creare confusione durante la gestione dei risultati.

Se vuoi utilizzare esclusivamente le regole di disattivazione dinamiche, le sezioni seguenti descrivono le autorizzazioni e i passaggi necessari per eseguire la migrazione delle regole di disattivazione statiche.

Autorizzazioni

Per ottenere le autorizzazioni necessarie per eseguire la procedura di migrazione della disattivazione dinamica, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione, nella tua cartella o nel tuo progetto Google Cloud:

Visualizzatore amministratore Centro sicurezza (roles/securitycenter.adminViewer)
Visualizzatore impostazioni Centro sicurezza (roles/securitycenter.settingsViewer)
SecurityCenter Mute Configurations Viewer (roles/securitycenter.muteConfigsViewer)
Amministratore di Security Center (roles/securitycenter.admin)
Security Center AdminEditor (roles/securitycenter.adminEditor)
Security Center Settings Editor(roles/securitycenter.settingsEditor)
Security Center Mute ConfigurationsEditor (roles/securitycenter.muteConfigsEditor)
FindingsEditor del Centro sicurezza (roles/securitycenter.findingsEditor)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Eseguire la migrazione alle regole di disattivazione dinamiche

Per utilizzare esclusivamente le regole di disattivazione dinamica, completa i seguenti passaggi per creare regole di disattivazione dinamica e assicurarti che i risultati disattivati esistenti rimangano disattivati dopo la migrazione.

Crea nuove regole di disattivazione dinamica. Non puoi modificare il tipo di una regola di disattivazione dopo la sua creazione. Pertanto, devi creare una regola di disattivazione dinamica per ogni regola di disattivazione statica che vuoi conservare. Ogni nuovo nome della regola di disattivazione dinamica deve essere univoco rispetto alle regole di disattivazione esistenti. Potrebbero essere necessarie alcune ore prima che Security Command Center applichi le regole di disattivazione dinamica ai risultati appropriati. Per istruzioni su come creare una regola di disattivazione dinamica, vedi Creare una regola di disattivazione.
Verifica lo stato di disattivazione dei risultati applicabili. Per verificare che le regole di disattivazione dinamica siano state applicate correttamente, puoi utilizzare l'attributo muteInfo nell'API Security Command Center per elencare i risultati applicabili e ispezionarne i campi di disattivazione. In questo modo, puoi stabilire se i risultati applicabili utilizzano regole di disattivazione dinamiche o statiche.

Ad esempio, utilizza muteInfo.dynamicMuteRecords in una query per elencare i risultati applicabili che vengono disattivati dalla nuova regola di disattivazione dinamica:
```
  contains(muteInfo.dynamicMuteRecords, muteConfig =
  "organizations/123/muteConfigs/my-dynamic-rule")
```
Per saperne di più su come elencare i risultati, consulta Elenco dei risultati di sicurezza utilizzando l'API Security Command Center.
Elimina tutte le regole di disattivazione statica. I risultati futuri applicabili sono coperti dalle nuove regole dinamiche che hai creato. Elimina tutte le regole di disattivazione statiche esistenti per assicurarti che non sostituiscano le nuove regole di disattivazione dinamiche per i nuovi risultati. Per istruzioni su come eliminare una regola di disattivazione audio, vedi Eliminare le regole di disattivazione audio. L'eliminazione delle regole di disattivazione statica non modifica lo stato di disattivazione statica dei risultati esistenti.
Reimposta lo stato di disattivazione statica su tutti i risultati. Per reimpostare lo stato di disattivazione statica dei risultati esistenti collettivamente, esegui una delle seguenti azioni:
- Utilizza il comando gcloud scc findings bulk-mute o il metodo API bulkMute con l'attributo muteState impostato su UNDEFINED. Procedi così per ogni regola di disattivazione statica eliminata. Per istruzioni su come eseguire operazioni di disattivazione collettiva, consulta Disattivare o reimpostare più risultati esistenti.
- Se l'operazione di disattivazione collettiva scade, puoi cancellare lo stato di disattivazione statica da tutti i risultati aggiornando il filtro di disattivazione collettiva in modo da utilizzare filtri meno granulari che coprono tutti i risultati pertinenti da aggiornare.
  
  Considera l'esempio seguente di un filtro in una regola di disattivazione audio statica:
```
filter: "category = \"OPEN_SSH_PORT\" AND
(resource.parentDisplayName = \"organizations/123\"
OR resource.parentDisplayName = \"folder/456")"
```
  Per cancellare lo stato di disattivazione su tutti i risultati che soddisfano i criteri di questo filtro di regole di disattivazione statiche, puoi modificare il filtro rimuovendo le condizioni aggiuntive che seguono la categoria di risultati. Per questo esempio, il risultato sarà il seguente:
```
filter: "category = \"OPEN_SSH_PORT""
```
  Se hai impostato manualmente lo stato di disattivazione per eventuali risultati, questo metodo potrebbe anche reimpostare lo stato di disattivazione di questi risultati.
  
  Per ulteriori informazioni sull'aggiornamento di una regola di disattivazione, vedi Aggiornare le regole di disattivazione.

Se hai bisogno di assistenza per eseguire la migrazione delle regole di disattivazione statiche a quelle dinamiche, contatta il supporto.

Passaggi successivi

Scopri di più su come creare e gestire le regole di disattivazione.