Migrar de reglas de silencio estáticas a dinámicas

En esta página se explica cómo migrar las reglas de silencio estáticas a reglas de silencio dinámicas.

Te recomendamos que uses reglas de silencio dinámicas exclusivamente en tus configuraciones de reglas de silencio, ya que son más flexibles que las reglas de silencio estáticas. En comparación con las reglas de silencio estáticas, las reglas de silencio dinámicas ofrecen tres ventajas clave:

• Las reglas de silencio dinámico se aplican a las detecciones nuevas y a las que ya existen. Las reglas de silencio dinámicas silencian automáticamente las detecciones nuevas o actualizadas, así como las que ya existían, que coincidan con tus criterios de filtro.
• Las reglas de silencio dinámicas ofrecen una opción de vencimiento. Las reglas de silenciado dinámico también te permiten definir un periodo de vencimiento personalizado para que coincida temporalmente con resultados específicos. Si no se define ningún periodo de vencimiento, las reglas de silencio dinámico silenciarán las detecciones indefinidamente hasta que dejen de coincidir con la regla.

• Las reglas de silenciado dinámicas reactivan automáticamente el sonido de los resultados. Cuando se produce alguna de las siguientes situaciones, Security Command Center reactiva automáticamente el hallazgo:

  • La regla de silencio dinámico caduca.
  • Las propiedades de una detección cambian y dejan de coincidir con los criterios de tu filtro.
  • Los criterios de filtro cambian y dejan de coincidir con el resultado.

No recomendamos usar reglas de silencio estáticas y dinámicas al mismo tiempo. Las reglas de silencio estáticas anulan las reglas de silencio dinámicas cuando se aplican a la misma detección. Por lo tanto, las reglas de silenciado dinámico no funcionarán como deberían, lo que puede generar confusión al gestionar las detecciones.

Si quieres usar exclusivamente las reglas de silencio dinámicas, en las siguientes secciones se describen los permisos y los pasos necesarios para migrar tus reglas de silencio estáticas.

Permisos

Para obtener los permisos que necesitas para llevar a cabo el proceso de migración de la función de silenciar dinámicamente, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu Google Cloud organización, carpeta o proyecto:

• Lector de administración del centro de seguridad (roles/securitycenter.adminViewer)
• Lector de configuración del centro de seguridad (roles/securitycenter.settingsViewer)
• Visor de configuraciones de silencio de SecurityCenter (roles/securitycenter.muteConfigsViewer)
• Administrador del Centro de Seguridad (roles/securitycenter.admin)
• Editor de administración del centro de seguridad (roles/securitycenter.adminEditor)
• Editor de configuración del centro de seguridad(roles/securitycenter.settingsEditor)
• Editor de configuraciones de silencio del Centro de Seguridad (roles/securitycenter.muteConfigsEditor)
• Editor de resultados del Centro de Seguridad (roles/securitycenter.findingsEditor)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Migrar a reglas de silencio dinámicas

Para usar las reglas de silencio dinámico exclusivamente, sigue estos pasos para crear reglas de silencio dinámico y asegúrate de que las detecciones silenciadas sigan silenciadas después de la migración.

1. Crea reglas de silencio dinámicas. No puedes modificar el tipo de una regla de silencio después de crearla. Por lo tanto, debes crear una regla de silencio dinámica por cada regla de silencio estática que quieras conservar. Cada nuevo nombre de regla de silencio dinámica debe ser único y diferente de los nombres de las reglas de silencio que ya tengas. Security Command Center puede tardar unas horas en aplicar las reglas de silencio dinámico a los hallazgos correspondientes. Para obtener instrucciones sobre cómo crear una regla de silencio dinámica, consulta Crear una regla de silencio.

2. Valida el estado de silencio de las detecciones aplicables. Para comprobar que las reglas de silencio dinámicas se han aplicado correctamente, puedes usar el atributo muteInfo de la API de Security Command Center para enumerar los resultados aplicables e inspeccionar sus campos de silencio. De esta forma, puede determinar si las detecciones aplicables usan reglas de silencio dinámicas o estáticas.

   Por ejemplo, usa muteInfo.dynamicMuteRecords en una consulta para enumerar las detecciones aplicables que se están silenciando con la nueva regla de silencio dinámico:

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   Para obtener más información sobre cómo enumerar resultados, consulta el artículo Enumerar resultados de seguridad con la API de Security Command Center.

3. Eliminar todas las reglas de silencio estáticas. Los futuros resultados aplicables se incluyen en las nuevas reglas dinámicas que ha creado. Elimina todas las reglas de silencio estáticas que tengas para asegurarte de que no anulen las nuevas reglas de silencio dinámicas de los nuevos resultados. Para obtener instrucciones sobre cómo eliminar una regla de silencio, consulta Eliminar reglas de silencio. Si eliminas reglas de silencio estáticas, no cambiará el estado de silencio estático de las detecciones.

4. Restablece el estado de silencio estático de todos los resultados. Para restablecer el estado de silencio estático de las detecciones en bloque, realiza una de las siguientes acciones:

   • Usa el comando gcloud scc findings bulk-mute o el método de la API bulkMute con el atributo muteState definido como UNDEFINED. Hazlo con cada regla de silencio estático que hayas eliminado. Para obtener instrucciones sobre cómo silenciar varios resultados a la vez, consulta Silenciar o restablecer varios resultados a la vez.

   • Si se agota el tiempo de espera de la operación de silenciar en bloque, puedes borrar el estado de silencio estático de todos los resultados actualizando el filtro de silencio en bloque para usar filtros menos granulares que cubran todos los resultados relevantes que necesites actualizar.

     Veamos un ejemplo de filtro en una regla de silencio estática:

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     Para quitar el silencio de todos los resultados que coincidan con los criterios de este filtro de regla de silencio estática, puedes modificar el filtro quitando las condiciones adicionales que siguen a la categoría del resultado. En este ejemplo, el resultado sería el siguiente:

     filter: "category = \"OPEN_SSH_PORT""
     

     Si has silenciado manualmente algún resultado, este método también podría restablecer el estado de silencio de esos resultados.

     Para obtener más información sobre cómo actualizar una regla de silencio, consulta Actualizar reglas de silencio.

Si necesitas ayuda para migrar tus reglas de silencio estáticas a reglas de silencio dinámicas, ponte en contacto con el equipo de Asistencia.

Siguientes pasos

Consulta más información sobre cómo crear y gestionar reglas de silencio.