从静态忽略规则迁移到动态忽略规则

本页介绍了如何将现有静态忽略规则迁移到动态忽略规则 忽略规则。

我们建议仅在忽略规则中使用动态忽略规则 因为它们比静态忽略规则更灵活。与静态忽略规则相比，动态忽略规则具有以下三个主要优势：

• 动态忽略规则适用于现有和新的发现结果。动态忽略规则会自动忽略与您的过滤条件匹配的现有发现结果，以及新发现结果或更新后的发现结果。
• 动态忽略规则提供失效选项。还可使用动态忽略规则 您可以设置自定义有效期， 结果。如果未设置到期期限，动态忽略规则会无限期地忽略发现结果，直到发现结果不再与规则匹配。

• 动态忽略规则会自动取消忽略发现结果。当任何 Security Command Center 会自动取消忽略该发现结果：

  • 动态忽略规则到期。
  • 发现结果的属性将发生变化，不再与您的过滤条件匹配。
  • 过滤条件发生变化，不再与相应发现结果匹配。

我们不建议同时使用静态和动态静音规则。当静态忽略规则和动态忽略规则应用于同一发现时，静态忽略规则会覆盖动态忽略规则。因此，动态忽略规则将无法按预期运行， 在管理发现结果时造成混淆。

如果您想仅使用动态忽略规则，请参阅以下部分，了解迁移静态忽略规则所需的权限和步骤。

权限

如需获取执行动态忽略迁移过程所需的权限， 请让管理员授予您 在您的 Google Cloud 组织、文件夹或项目中拥有以下 IAM 角色：

• Security Center Admin Viewer (roles/securitycenter.adminViewer)
• Security Center Settings Viewer (roles/securitycenter.settingsViewer)
• SecurityCenter Mute Configurations Viewer (roles/securitycenter.muteConfigsViewer)
• Security Center Admin (roles/securitycenter.admin)
• Security Center AdminEditor (roles/securitycenter.adminEditor)
• Security Center Settings Editor(roles/securitycenter.settingsEditor)
• Security Center Mute Configurations Editor (roles/securitycenter.muteConfigsEditor)
• Security Center FindingsEditor (roles/securitycenter.findingsEditor)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

迁移到动态忽略规则

要专门使用动态忽略规则，请完成以下步骤以创建 动态忽略规则，并确保在现有已忽略的发现结果之后保持忽略 迁移。

1. 创建新的动态忽略规则。忽略规则创建后，您无法修改其类型。因此，您必须创建一条动态忽略规则， 您要保留的每条静态忽略规则。每个新的动态忽略规则名称都必须与现有忽略规则不同。Security Command Center 可能需要 几小时后，将动态忽略规则应用于相应的发现结果。对于 有关如何创建动态忽略规则的说明，请参阅创建忽略 规则。

2. 验证适用发现的静音状态。如需验证动态忽略规则是否已正确应用，您可以使用 Security Command Center API 中的 muteInfo 属性列出适用的发现结果并检查其忽略字段。这有助于您确定适用发现结果是使用动态忽略规则还是静态忽略规则。

   例如，在查询中使用 muteInfo.dynamicMuteRecords 可列出 被新的动态忽略规则忽略的适用发现结果：

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   如需详细了解如何列出 请参阅使用 Security Command Center 列出安全发现结果 API。

3. 删除所有静态忽略规则。涵盖未来适用的发现 您创建的新动态规则删除所有现有的静态忽略规则 以确保这些规则不会针对新发现结果覆盖新的动态忽略规则。 如需了解如何删除忽略规则，请参阅删除忽略规则。 删除静态忽略规则不会改变现有 结果。

4. 重置所有发现结果的静态忽略状态。如需批量重置现有发现结果的静态忽略状态，请执行以下操作之一：

   • 使用 gcloud scc findings bulk-mute 命令或 bulkMute API 方法，并将 muteState 属性设置为 UNDEFINED。正确做法 删除每个静态忽略规则的此项如需了解如何 执行批量忽略操作，请参阅忽略或重置多个现有发现结果。

   • 如果批量忽略操作超时，您可以更新批量忽略过滤条件，以使用更粗粒的过滤条件来涵盖您需要更新的所有相关发现，从而清除所有发现的静态忽略状态。

     请参考以下静态忽略规则中的过滤条件示例：

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     如需为与此静态忽略规则过滤条件的条件匹配的所有发现结果清除忽略状态，您可以通过移除发现结果类别后面的其他条件来修改过滤条件。对于此示例，结果如下所示：

     filter: "category = \"OPEN_SSH_PORT""
     

     如果您手动为任何发现结果设置了忽略状态，此方法可能还会重置这些发现结果的忽略状态。

     如需详细了解如何更新忽略规则，请参阅更新忽略规则。

如果您需要有关将静态忽略规则迁移到动态忽略规则的帮助，请与支持团队联系。

后续步骤

详细了解如何创建和管理忽略规则。