Esta página foi traduzida pela API Cloud Translation.

Migrar de regras de silenciamento estáticas para dinâmicas

Nesta página, explicamos como migrar suas regras de silenciamento estáticas para regras dinâmicas.

Recomendamos o uso de regras de silenciamento dinâmicas exclusivamente nas configurações de regras de silenciamento porque elas são mais flexíveis do que as estáticas. Em comparação com as regras de silenciamento estáticas, as regras de silenciamento dinâmicas têm três benefícios principais:

As regras de silenciamento dinâmico se aplicam a descobertas atuais e novas. As regras de silenciamento dinâmico silenciam automaticamente as descobertas atuais e novas ou atualizadas que correspondem aos seus critérios de filtro.
As regras de silenciamento dinâmicas oferecem uma opção de expiração. As regras de desativação dinâmica também permitem definir um período de expiração personalizado para corresponder temporariamente a descobertas específicas. Se nenhum período de expiração for definido, as regras de silenciamento dinâmico silenciarão as descobertas indefinidamente até que elas não correspondam mais à regra.
As regras de silenciamento dinâmicas cancelam o som das descobertas automaticamente. Quando ocorre qualquer uma das seguintes situações, o Security Command Center desativa o som da descoberta automaticamente:
- A regra de silenciamento dinâmica expira.
- As propriedades de uma descoberta mudam e não correspondem mais aos seus critérios de filtro.
- Os critérios de filtro mudam para não corresponder mais à descoberta.

Não recomendamos usar regras de silenciamento estáticas e dinâmicas simultaneamente. As regras de silenciamento estáticas substituem as regras de silenciamento dinâmico quando são aplicadas à mesma detecção. Como resultado, as regras de silenciamento dinâmico não funcionam como esperado, o que pode criar confusão ao gerenciar suas descobertas.

Se você quiser usar apenas regras de silenciamento dinâmicas, as seções a seguir descrevem as permissões e etapas necessárias para migrar suas regras de silenciamento estáticas.

Permissões

Para receber as permissões necessárias para realizar o processo de migração de silenciamento dinâmico, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização, pasta ou projeto do Google Cloud:

Leitor administrador da Central de segurança (roles/securitycenter.adminViewer)
Leitor de configurações da Central de segurança (roles/securitycenter.settingsViewer)
SecurityCenter Mute Configurations Viewer (roles/securitycenter.muteConfigsViewer)
Administrador da Central de segurança (roles/securitycenter.admin)
Editor administrador da Central de segurança (roles/securitycenter.adminEditor)
Editor de configurações da Central de segurança(roles/securitycenter.settingsEditor)
Editor de configurações de desativação de sons da Central de segurança (roles/securitycenter.muteConfigsEditor)
Editor de descobertas da Central de segurança (roles/securitycenter.findingsEditor)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Migrar para regras de silenciamento dinâmicas

Para usar as regras de silenciamento dinâmicas exclusivamente, siga as etapas abaixo para criar regras de silenciamento dinâmicas e garantir que as descobertas silenciadas continuem silenciadas após a migração.

Crie novas regras de silenciamento dinâmicas. Não é possível modificar o tipo de uma regra de silenciamento depois que ela é criada. Portanto, é necessário criar uma regra de silenciamento dinâmica para cada regra de silenciamento estática que você quer manter. Cada novo nome de regra de silenciamento dinâmico precisa ser exclusivo das regras de silenciamento atuais. O Security Command Center pode levar algumas horas para aplicar as regras de desativação dinâmica às descobertas adequadas. Para instruções sobre como criar uma regra de silenciamento dinâmica, consulte Criar uma regra de silenciamento.
Valide o estado de desativação de som das descobertas aplicáveis. Para validar se as regras de desativação dinâmica foram aplicadas corretamente, use o atributo muteInfo na API Security Command Center para listar as descobertas aplicáveis e inspecionar os campos de desativação delas. Isso ajuda a determinar se as descobertas aplicáveis estão usando regras de silenciamento dinâmicas ou estáticas.

Por exemplo, use muteInfo.dynamicMuteRecords em uma consulta para listar os resultados aplicáveis que estão sendo silenciados pela nova regra dinâmica de silenciamento:
```
  contains(muteInfo.dynamicMuteRecords, muteConfig =
  "organizations/123/muteConfigs/my-dynamic-rule")
```
Para mais informações sobre como listar descobertas, consulte Como listar descobertas de segurança usando a Security Command Center Center.
Exclua todas as regras de silenciamento estáticas. As descobertas futuras aplicáveis são cobertas pelas novas regras dinâmicas que você criou. Exclua todas as regras de silenciamento estático para garantir que elas não substituam as novas regras de silenciamento dinâmico para novas descobertas. Para instruções sobre como excluir uma regra de silenciamento, consulte Excluir regras de silenciamento. A exclusão de regras de silenciamento estático não muda o estado de silenciamento estático das descobertas existentes.
Redefinir o estado de silenciamento estático em todas as descobertas. Para redefinir o estado de desativação estática das descobertas atuais em massa, realize uma das seguintes ações:
- Use o comando gcloud scc findings bulk-mute ou o método da API bulkMute com o atributo muteState definido como UNDEFINED. Faça isso para cada regra de silenciamento estático que você excluiu. Para instruções sobre como realizar operações de desativação em massa, consulte Desativar ou redefinir várias descobertas.
- Se a operação de silenciamento em massa expirar, você poderá limpar o estado de silenciamento estático de todas as descobertas atualizando o filtro de silenciamento em massa para usar filtros menos detalhados que abrangem todas as descobertas relevantes que você precisa atualizar.
  
  Considere o exemplo a seguir de um filtro em uma regra de silenciamento estático:
```
filter: "category = \"OPEN_SSH_PORT\" AND
(resource.parentDisplayName = \"organizations/123\"
OR resource.parentDisplayName = \"folder/456")"
```
  Para limpar o estado de desativação de som em todas as descobertas que correspondem aos critérios deste filtro de regra de desativação de som estático, modifique o filtro removendo as condições adicionais que seguem a categoria da descoberta. Neste exemplo, o resultado seria o seguinte:
```
filter: "category = \"OPEN_SSH_PORT""
```
  Se você tiver definido manualmente o estado de silêncio para alguma descoberta, esse método também poderá redefinir o estado de silêncio dessas descobertas.
  
  Para mais informações sobre como atualizar uma regra de silenciamento, consulte Atualizar regras de silenciamento.

Se precisar de ajuda para migrar suas regras de silenciamento estático para dinâmico, entre em contato com o suporte.

A seguir

Saiba mais sobre como criar e gerenciar regras de silenciamento.