정적 숨기기 규칙에서 동적 숨기기 규칙으로 마이그레이션

이 페이지에서는 기존의 정적 숨기기 규칙을 동적 숨기기 규칙으로 마이그레이션하는 방법을 설명합니다.

숨기기 규칙 구성에서는 동적 숨기기 규칙만 사용하는 것이 좋습니다. 정적 숨기기 규칙보다 유연하기 때문입니다. 동적 숨기기 규칙은 정적 숨기기 규칙에 비해 다음과 같은 세 가지 주요 이점이 있습니다.

• 동적 숨기기 규칙에는 기존 및 새 발견 사항에 적용됩니다. 동적 숨기기 규칙은 필터 기준과 일치하는 기존 발견 사항과 새 발견 사항 또는 업데이트된 발견 사항을 모두 자동으로 숨깁니다.
• 동적 숨기기 규칙에 만료 옵션이 제공됩니다. 동적 숨기기 규칙을 사용하면 특정 발견 사항과 일시적으로 일치하도록 커스텀 만료 기간을 설정할 수도 있습니다. 만료 기간이 설정되지 않은 경우 동적 숨기기 규칙은 규칙과 더 이상 일치하지 않을 때까지 무기한으로 발견 사항을 숨깁니다.

• 동적 숨기기 규칙은 발견 사항을 자동으로 숨기기 취소합니다. 다음 중 하나가 발생하면 Security Command Center에서 발견 사항의 숨김을 자동으로 해제합니다.

  • 동적 숨기기 규칙이 만료된 경우
  • 발견 사항의 속성이 변경되어 더 이상 필터 기준과 일치하지 않는 경우
  • 필터 기준이 변경되어 더 이상 발견 사항과 일치하지 않는 경우

정적 숨기기 규칙과 동적 숨기기 규칙을 동시에 사용하지 않는 것이 좋습니다. 정적 숨기기 규칙은 동일한 발견 사항에 적용될 때 동적 숨기기 규칙을 재정의합니다. 따라서 동적 숨기기 규칙이 의도한 대로 작동하지 않아 발견 사항을 관리할 때 혼란이 발생할 수 있습니다.

동적 숨기기 규칙만 사용하려는 경우 다음 섹션에서는 정적 숨기기 규칙을 마이그레이션하는 데 필요한 권한과 단계에 대해 설명합니다.

권한

동적 숨기기 마이그레이션 프로세스를 수행하는 데 필요한 권한을 얻으려면 관리자에게 Google Cloud 조직, 폴더 또는 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

• 보안 센터 관리자 뷰어(roles/securitycenter.adminViewer)
• 보안 센터 설정 뷰어(roles/securitycenter.settingsViewer)
• 보안 센터 숨기기 구성 뷰어(roles/securitycenter.muteConfigsViewer)
• 보안 센터 관리자(roles/securitycenter.admin)
• 보안 센터 관리자 편집자(roles/securitycenter.adminEditor)
• 보안 센터 설정 편집자(roles/securitycenter.settingsEditor)
• 보안 센터 숨기기 구성 편집자(roles/securitycenter.muteConfigsEditor)
• 보안 센터 발견 사항 편집자(roles/securitycenter.findingsEditor)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

동적 숨기기 규칙으로 마이그레이션

동적 숨기기 규칙만 사용하려면 다음 단계를 완료하여 동적 숨기기 규칙을 만들고 마이그레이션 후에도 기존 숨겨진 발견 사항이 숨겨진 상태로 유지되도록 합니다.

1. 새 동적 숨기기 규칙 만들기 숨기기 규칙을 만든 후에는 유형을 수정할 수 없습니다. 따라서 유지하려는 각 정적 숨기기 규칙에 대해 하나의 동적 숨기기 규칙을 만들어야 합니다. 새 동적 숨기기 규칙 이름은 기존 숨기기 규칙과 달라야 합니다. Security Command Center에서 적절한 발견 사항에 동적 숨기기 규칙을 적용하는 데 몇 시간이 걸릴 수 있습니다. 동적 숨기기 규칙을 만드는 방법에 관한 안내는 숨기기 규칙 만들기를 참조하세요.

2. 해당하는 발견 사항의 숨기기 상태를 확인합니다. 동적 숨기기 규칙이 적절하게 적용되었는지 확인하려면 Security Command Center API에서 muteInfo 속성을 사용하여 적용 가능한 발견 사항을 나열하고 숨기기 필드를 검사하면 됩니다. 이를 통해 해당 발견 사항이 동적 또는 정적 숨기기 규칙을 사용하는지 확인할 수 있습니다.

   예를 들어 쿼리에서 muteInfo.dynamicMuteRecords를 사용하여 새 동적 숨기기 규칙에 의해 숨기기된 관련 발견 사항을 나열할 수 있습니다.

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   발견 사항을 나열하는 방법에 대한 자세한 내용은 Security Command Center API를 사용하여 보안 발견 사항 나열을 참고하세요.

3. 모든 정적 숨기기 규칙을 삭제합니다. 생성한 새 동적 규칙이 적용 가능한 향후 발견 사항에 적용됩니다. 기존의 모든 정적 숨기기 규칙을 삭제하여 새 발견 사항에 대한 새 동적 숨기기 규칙을 재정의하지 않도록 합니다. 숨기기 규칙을 삭제하는 방법에 관한 안내는 숨기기 규칙 삭제를 참조하세요. 정적 숨기기 규칙을 삭제해도 기존 발견 사항의 정적 숨기기 상태는 변경되지 않습니다.

4. 모든 발견 사항의 정적 숨기기 상태를 재설정합니다. 기존 발견 사항의 정적 숨기기 상태를 일괄적으로 재설정하려면 다음 작업 중 하나를 실행합니다.

   • gcloud scc findings bulk-mute 명령어 또는 muteState 속성이 UNDEFINED로 설정된 bulkMute API 메서드를 사용합니다. 삭제한 각 정적 숨기기 규칙에 대해 이 작업을 실행합니다. 일괄 숨기기 작업을 수행하는 방법에 관한 안내는 여러 기존 발견 사항 숨기기 또는 재설정하기를 참조하세요.

   • 일괄 숨기기 작업이 시간 초과되면 업데이트해야 하는 모든 관련 발견 사항을 포함하는 덜 세분화된 필터를 사용하도록 일괄 숨기기 필터를 업데이트하여 모든 발견 사항에서 정적 숨기기 상태를 지울 수 있습니다.

     정적 숨기기 규칙의 필터 예시를 살펴보세요.

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     이 정적 숨기기 규칙 필터의 기준과 일치하는 모든 발견 사항의 숨기기 상태를 지우려면 발견 사항 카테고리 다음에 오는 추가 조건을 삭제하여 필터를 수정하면 됩니다. 이 예시의 결과는 다음과 같습니다.

     filter: "category = \"OPEN_SSH_PORT""
     

     발견 사항의 숨기기 상태를 수동으로 설정한 경우 이 메서드는 해당 발견 사항의 숨기기 상태도 재설정할 수 있습니다.

     숨기기 규칙 업데이트에 관한 자세한 내용은 숨기기 규칙 업데이트를 참조하세요.

정적 숨기기 규칙을 동적 숨기기 규칙으로 마이그레이션하는 데 도움이 필요한 경우 지원팀에 문의하세요.

다음 단계

숨기기 규칙 만들기 및 관리 자세히 알아보기