Migrer des règles Ignorer statiques vers des règles Ignorer dynamiques

Cette page explique comment migrer vos règles Ignorer statiques existantes vers des règles règles Ignorer.

Nous vous recommandons d'utiliser des règles Ignorer dynamiques exclusivement dans votre règle Ignorer car elles sont plus flexibles que les règles Ignorer statiques. Comparé aux règles Ignorer statiques, les règles Ignorer dynamiques présentent trois avantages principaux:

• Les règles Ignorer dynamiques s'appliquent aux résultats existants et nouveaux. Règles Ignorer dynamiques ignorer automatiquement les résultats existants, nouveaux ou modifiés qui correspondent à votre critères de filtre.
• Les règles Ignorer dynamiques offrent une option d'expiration. Les règles Ignorer dynamiques vous permettent de définir un délai d'expiration personnalisé correspondant temporairement les résultats. Si aucune période d'expiration n'est définie, les règles de blocage dynamique ignorent les résultats indéfiniment jusqu'à ce qu'ils ne correspondent plus à la règle.

• Les règles Ignorer dynamiques réactives automatiquement les résultats. Lorsque l'un des événements suivants se produit, Security Command Center réactive automatiquement le résultat :

  • La règle Ignorer dynamique expire.
  • Les propriétés d'une recherche changent et ne correspondent plus à vos critères de filtrage.
  • Les critères de filtrage sont modifiés pour ne plus correspondre au résultat.

Nous vous déconseillons d'utiliser simultanément des règles de masquage statiques et dynamiques. Statique les règles "Ignorer" prévalent sur les règles "Ignorer" dynamiques lorsqu'elles sont appliquées au même trouver. Par conséquent, les règles de coupure du son dynamiques ne fonctionnent pas comme prévu, ce qui peut créer de la confusion lors de la gestion de vos résultats.

Si vous souhaitez utiliser uniquement des règles Ignorer dynamiques, les sections suivantes décrivent les autorisations et les étapes nécessaires pour migrer vos règles Ignorer statiques.

Autorisations

Pour obtenir les autorisations nécessaires pour effectuer le processus de migration de la mise en sourdine dynamique, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre organisation, dossier ou projet Google Cloud :

• Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer)
• Lecteur des paramètres du centre de sécurité (roles/securitycenter.settingsViewer)
• Lecteur des configurations de mise en sourdine du centre de sécurité (roles/securitycenter.muteConfigsViewer)
• Administrateur du centre de sécurité (roles/securitycenter.admin)
• Éditeur de l'administrateur du centre de sécurité (roles/securitycenter.adminEditor)
• Éditeur des paramètres du centre de sécurité(roles/securitycenter.settingsEditor)
• Éditeur des configurations de mise en sourdine du centre de sécurité (roles/securitycenter.muteConfigsEditor)
• Éditeur de résultats du centre de sécurité (roles/securitycenter.findingsEditor)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Passer aux règles Ignorer dynamiques

Pour utiliser exclusivement des règles Ignorer dynamiques, procédez comme suit afin de créer des règles Ignorer dynamiques et s'assurer que les résultats ignorés restent masqués après la migration.

1. Créez des règles Ignorer dynamiques. Vous ne pouvez pas modifier le type d'une règle Ignorer après après sa création. Vous devez donc créer une règle Ignorer dynamique pour chaque règle Ignorer statique que vous souhaitez conserver. Le nom de chaque nouvelle règle Ignorer dynamique doit être unique parmi les règles Ignorer existantes. L'application des règles de masquage dynamique aux résultats appropriés peut prendre quelques heures dans Security Command Center. Pour savoir comment créer une règle de blocage dynamique, consultez Créer une règle de blocage.

2. Validez l'état Ignorer des résultats applicables. Pour vérifier que les règles de masquage dynamique ont été appliquées correctement, vous pouvez utiliser l'attribut muteInfo dans l'API Security Command Center pour lister les résultats applicables et inspecter leurs champs de masquage. Cela vous aide à déterminer si les résultats applicables utilisent des règles Ignorer dynamiques ou statiques.

   Par exemple, utilisez muteInfo.dynamicMuteRecords dans une requête pour répertorier les Résultats applicables ignorés par la nouvelle règle Ignorer dynamique:

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   Pour en savoir plus sur la liste des résultats, consultez la section Répertorier les résultats de sécurité à l'aide de l'API Security Command Center.

3. Supprimez toutes les règles de blocage statiques. Les résultats futurs applicables sont couverts par les règles dynamiques que vous avez créées. Supprimez toutes vos règles Ignorer statiques existantes pour vous assurer qu'elles ne remplacent pas les nouvelles règles Ignorer dynamiques pour les nouveaux résultats. Pour savoir comment supprimer une règle de blocage, consultez Supprimer des règles de blocage. La suppression de règles de masquage statiques ne modifie pas l'état de masquage statique des résultats existants.

4. Réinitialisez l'état statique du mode silencieux sur tous les résultats. Pour réinitialiser le paramètre état Ignorer statique des résultats existants de façon groupée, effectuez l'une des opérations suivantes actions:

   • Utilisez la commande gcloud scc findings bulk-mute ou la méthode de l'API bulkMute avec l'attribut muteState défini sur UNDEFINED. Faites-le pour chaque règle de masquage statique que vous avez supprimée. Pour savoir comment effectuer des opérations de masquage groupé, consultez Masquer ou réinitialiser plusieurs résultats existants.

   • Si l'opération de coupure du son de manière groupée expire, vous pouvez la supprimer l'état de tous les résultats en mettant à jour votre filtre Ignorer de manière groupée afin d'utiliser moins des filtres précis qui couvrent tous les résultats pertinents que vous devez mettre à jour.

     Prenons l'exemple suivant d'un filtre dans une règle de masquage statique :

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     Pour effacer l'état Ignorer de tous les résultats qui correspondent aux critères de cette filtre de règle Ignorer statique, vous pouvez le modifier en supprimant le conditions supplémentaires qui suivent la catégorie de résultats. Pour cet exemple, le résultat est le suivant :

     filter: "category = \"OPEN_SSH_PORT""
     

     Si vous avez défini manuellement l'état "Ignorer" pour des résultats, cette méthode peut également réinitialiser l'état Ignorer de ces résultats.

     Pour plus d'informations sur la mise à jour d'une règle Ignorer, consultez l'article Mettre à jour la règle Ignorer règles.

Si vous avez besoin d'aide pour migrer vos règles Ignorer statiques vers des règles Ignorer dynamiques, contactez l'assistance.

Étape suivante

Découvrez comment créer et gérer des règles Ignorer.