Von statischen zu dynamischen Ausblendungsregeln migrieren

Auf dieser Seite wird beschrieben, wie Sie Ihre vorhandenen statischen Ausblendungsregeln zu dynamischen Ausblendungsregeln migrieren.

Wir empfehlen, in Ihrer Ausblendungsregel ausschließlich dynamische Ausblendungsregeln zu verwenden Konfigurationen, da sie flexibler sind als statische Ausblendungsregeln. Dynamische Ausblendungsregeln bieten im Vergleich zu statischen Ausblendungsregeln drei wesentliche Vorteile:

• Dynamische Ausblendungsregeln werden auf vorhandene und neue Ergebnisse angewendet. Dynamische Ausblendungsregeln automatisch sowohl vorhandene als auch neue oder aktualisierte Ergebnisse ausblenden, die Ihren Filterkriterien.
• Dynamische Ausblendungsregeln bieten eine Ablaufoption. Mit dynamischen Ausblendungsregeln können Sie auch einen benutzerdefinierten Ablaufzeitraum festlegen, um bestimmte Ergebnisse vorübergehend zu berücksichtigen. Wenn kein Ablaufzeitraum festgelegt ist, werden Ergebnisse durch dynamische Ausblendungsregeln unbegrenzt ausgeblendet, bis sie nicht mehr mit der Regel übereinstimmen.

• Bei dynamischen Ausblendungsregeln wird die Ausblendung von Ergebnissen automatisch aufgehoben. In den folgenden Fällen wird die Stummschaltung des Ergebnisses in Security Command Center automatisch aufgehoben:

  • Die dynamische Ausblendungsregel läuft ab.
  • Die Eigenschaften einer Ergebnisänderung entsprechen nicht mehr Ihren Filterkriterien.
  • Die Filterkriterien ändern sich, sodass sie nicht mehr mit dem Ergebnis übereinstimmen.

Wir empfehlen nicht, statische und dynamische Stummschaltungsregeln gleichzeitig zu verwenden. Statisch Ausblendungsregeln überschreiben dynamische Ausblendungsregeln, wenn sie auf denselben zu finden. Daher funktionieren dynamische Ausblendungsregeln nicht wie vorgesehen, was bei der Verwaltung Ihrer Ergebnisse zu Verwirrung führen kann.

Wenn Sie ausschließlich dynamische Ausblendungsregeln verwenden möchten, finden Sie in den beschreiben, welche Berechtigungen und Schritte notwendig sind, um Ihre statischen Ausblendungsregeln zu migrieren

Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Google Cloud-Organisation, Ihren Google Cloud-Ordner oder Ihr Google Cloud-Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Migration der dynamischen Stummschaltung benötigen:

• Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
• Betrachter von Sicherheitscenter-Einstellungen (roles/securitycenter.settingsViewer)
• Betrachter von Sicherheitscenter-Ausblendungskonfigurationen (roles/securitycenter.muteConfigsViewer)
• Sicherheitscenter-Administrator (roles/securitycenter.admin)
• Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
• Bearbeiter von Sicherheitscenter-Einstellungen(roles/securitycenter.settingsEditor)
• Bearbeiter von Konfigurationen für Ausblendungen im Sicherheitscenter (roles/securitycenter.muteConfigsEditor)
• Sicherheitscenter-Ergebnis-Editor (roles/securitycenter.findingsEditor)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Zu dynamischen Ausblendungsregeln migrieren

Wenn Sie ausschließlich dynamische Ausblendungsregeln verwenden möchten, führen Sie die folgenden Schritte zum Erstellen dynamische Ausblendungsregeln festlegen und sicherstellen, dass vorhandene ausgeblendete Ergebnisse nach Migration.

1. Erstellen Sie neue dynamische Ausblendungsregeln. Danach können Sie den Typ einer Ausblendungsregel nicht mehr ändern dass es erstellt wurde. Daher müssen Sie für jede statische Ausblendungsregel, die Sie beibehalten möchten, eine dynamische Ausblendungsregel erstellen. Name jeder neuen dynamischen Ausblendungsregel muss sich von den vorhandenen Ausblendungsregeln unterscheiden. kann Security Command Center bis die dynamischen Ausblendungsregeln auf die entsprechenden Ergebnisse angewendet werden. Für Eine Anleitung zum Erstellen einer dynamischen Ausblendungsregel finden Sie unter Ausblendungsregeln erstellen Regel.

2. Validieren Sie den Ausblendungsstatus anwendbarer Ergebnisse. Um zu prüfen, ob die dynamischen Ausblendungsregeln richtig angewendet wurden, können Sie mit dem Attribut muteInfo in der Security Command Center API die entsprechenden Ergebnisse auflisten und die Ausblendungsfelder prüfen. So können Sie feststellen, Für die anwendbaren Ergebnisse werden dynamische oder statische Ausblendungsregeln verwendet.

   Sie können beispielsweise muteInfo.dynamicMuteRecords in einer Abfrage verwenden, um die Ergebnisse aufzulisten, die durch die neue dynamische Stummschaltungsregel ausgeblendet werden:

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   Weitere Informationen zum Auflisten finden Sie unter Sicherheitsergebnisse mit dem Security Command Center auflisten API hinzu.

3. Löschen Sie alle statischen Ausblendungsregeln. Anwendbare zukünftige Erkenntnisse werden den neuen dynamischen Regeln, die Sie erstellt haben. Alle vorhandenen statischen Ausblendungsregeln löschen damit die dynamischen Ausblendungsregeln nicht für neue Ergebnisse überschrieben werden. Eine Anleitung zum Löschen einer Ausblendungsregel finden Sie unter Ausblendung löschen Regeln. Durch das Löschen statischer Ausblendungsregeln ändert sich nicht der statische Ausblendungsstatus vorhandener Ergebnisse.

4. Setzen Sie den statischen Ausblendungsstatus für alle Ergebnisse zurück. Führen Sie eine der folgenden Aktionen aus, um den statischen Ausblendungsstatus vorhandener Ergebnisse im Bulk zurückzusetzen:

   • Verwenden Sie entweder den Befehl gcloud scc findings bulk-mute oder die bulkMute API-Methode, wobei das Attribut muteState auf UNDEFINED gesetzt ist. Das sollten Sie tun: für jede statische Ausblendungsregel, die Sie gelöscht haben. Anweisungen für zum Ausführen von Bulk-Ausblendungsvorgängen, siehe Mehrere vorhandene Ergebnisse ausblenden oder zurücksetzen.

   • Wenn beim Ausblenden im Bulk-Verfahren ein Zeitüberschreitung auftritt, können Sie den statischen Ausblendungsstatus für alle Ergebnisse aufheben. Aktualisieren Sie dazu den Filter für das Ausblenden im Bulk-Verfahren, sodass weniger detaillierte Filter verwendet werden, die alle relevanten Ergebnisse abdecken, die Sie aktualisieren möchten.

     Im folgenden Beispiel wird ein Filter in einer statischen Stummschaltungsregel verwendet:

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     Um den Ausblendungsstatus für alle Ergebnisse zu löschen, die den Kriterien dieser statische Ausblendungsregel filtern, können Sie den Filter ändern, indem Sie die zusätzliche Bedingungen nach der Ergebniskategorie. In diesem Beispiel würde das Ergebnis so aussehen:

     filter: "category = \"OPEN_SSH_PORT""
     

     Wenn Sie den Ausblendungsstatus für Ergebnisse manuell festgelegt haben, wird er durch diese Methode möglicherweise zurückgesetzt.

     Weitere Informationen zum Aktualisieren einer Ausblendungsregel finden Sie unter Ausblendungsregeln aktualisieren.

Wenn Sie Hilfe bei der Migration Ihrer statischen Ausblendungsregeln zu dynamischen Ausblendungsregeln benötigen, wenden Sie sich an Support.

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Ausblendungsregeln