정적 숨기기 규칙에서 동적 숨기기 규칙으로 마이그레이션

이 페이지에서는 기존 정적 숨기기 규칙을 동적 숨기기 규칙으로 마이그레이션하는 방법을 설명합니다.

동적 숨기기 규칙은 정적 숨기기 규칙보다 유연하므로 숨기기 규칙 구성에서만 사용하는 것이 좋습니다. 정적 숨기기 규칙에 비해 동적 숨기기 규칙에는 다음과 같은 세 가지 주요 이점이 있습니다.

• 동적 숨기기 규칙에는 기존 및 새 발견 항목에 적용됩니다. 동적 숨기기 규칙은 필터 기준과 일치하는 기존 발견 항목과 새 발견 항목 또는 업데이트된 발견 항목을 모두 자동으로 숨깁니다.
• 동적 숨기기 규칙에는 만료 옵션이 제공됩니다. 동적 숨기기 규칙을 사용하면 특정 발견 항목과 일시적으로 일치하도록 커스텀 만료 기간을 설정할 수도 있습니다. 만료 기간이 설정되지 않은 경우 동적 숨기기 규칙은 발견 항목이 더 이상 규칙과 일치하지 않을 때까지 무기한으로 숨깁니다.

• 동적 숨기기 규칙은 자동으로 발견 항목을 숨기기 취소합니다. 다음 중 하나라도 발생하면 Security Command Center가 발견 항목을 자동으로 숨기기 취소합니다.

  • 동적 숨기기 규칙이 만료됩니다.
  • 발견 항목의 속성이 더 이상 필터 기준과 일치하지 않도록 변경됩니다.
  • 필터 기준이 더 이상 발견 항목과 일치하지 않도록 변경됩니다.

정적 숨기기 규칙과 동적 숨기기 규칙을 동시에 사용하지 않는 것이 좋습니다. 동일한 발견 항목에 적용되는 경우 정적 숨기기 규칙이 동적 숨기기 규칙보다 우선 적용됩니다. 따라서 동적 숨기기 규칙이 의도한 대로 작동하지 않아 발견 항목을 관리할 때 혼란이 발생할 수 있습니다.

동적 숨기기 규칙만 사용하려는 경우 다음 섹션에서는 정적 숨기기 규칙을 마이그레이션하는 데 필요한 권한과 단계에 대해 설명합니다.

권한

동적 숨기기 마이그레이션 프로세스를 수행하는 데 필요한 권한을 얻으려면 관리자에게 Google Cloud 조직, 폴더 또는 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

• 보안 센터 관리자 뷰어(roles/securitycenter.adminViewer)
• 보안 센터 설정 뷰어(roles/securitycenter.settingsViewer)
• 보안 센터 숨기기 구성 뷰어(roles/securitycenter.muteConfigsViewer)
• 보안 센터 관리자(roles/securitycenter.admin)
• 보안 센터 관리자 편집자(roles/securitycenter.adminEditor)
• 보안 센터 설정 편집자(roles/securitycenter.settingsEditor)
• 보안 센터 숨기기 구성 편집자(roles/securitycenter.muteConfigsEditor)
• 보안 센터 발견 항목 편집자(roles/securitycenter.findingsEditor)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

동적 숨기기 규칙으로 마이그레이션

동적 숨기기 규칙만 사용하려면 다음 단계를 완료하여 동적 숨기기 규칙을 만들고 마이그레이션 후에도 기존 숨겨진 발견 항목이 숨겨진 상태로 유지되도록 합니다.

1. 새 동적 숨기기 규칙을 만듭니다. 숨기기 규칙 유형이 생성된 후에는 해당 유형을 수정할 수 없습니다. 따라서 유지하려는 각 정적 숨기기 규칙에 대해 하나의 동적 숨기기 규칙을 만들어야 합니다. 새 동적 숨기기 규칙 이름은 기존 숨기기 규칙과 달라야 합니다. Security Command Center에서 동적 숨기기 규칙을 적절한 발견 항목에 적용하는 데 몇 시간이 걸릴 수 있습니다. 동적 숨기기 규칙을 만드는 방법에 관한 안내는 숨기기 규칙 만들기를 참조하세요.

2. 해당하는 발견 항목의 숨기기 상태를 확인합니다. 동적 숨기기 규칙이 적절하게 적용되었는지 검증하려면 Security Command Center API에서 muteInfo 속성을 사용해서 적용 가능한 발견 항목을 나열하고 해당 숨기기 필드를 검사할 수 있습니다. 적용 가능한 발견 항목에 동적 또는 정적 숨기기 규칙이 사용되는지 여부를 확인하는 데 도움이 됩니다.

   예를 들어 쿼리에서 muteInfo.dynamicMuteRecords를 사용하여 새 동적 숨기기 규칙에 의해 숨기기된 관련 발견 항목을 나열할 수 있습니다.

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   발견 항목을 나열하는 방법은 Security Command Center API를 사용하여 보안 발견 항목 나열을 참조하세요.

3. 모든 정적 숨기기 규칙을 삭제합니다. 해당하는 이후의 발견 항목에는 새로 만든 동적 규칙이 적용됩니다. 기존의 정적 숨기기 규칙을 모두 삭제하여 새 발견 항목에 대한 새 동적 숨기기 규칙이 재정의되지 않도록 합니다. 숨기기 규칙을 삭제하는 방법에 관한 안내는 숨기기 규칙 삭제를 참조하세요. 정적 숨기기 규칙을 삭제해도 기존 발견 항목의 정적 숨기기 상태는 변경되지 않습니다.

4. 모든 발견 항목에서 정적 숨기기 상태를 재설정합니다. 기존 발견 항목의 정적 숨기기 상태를 일괄적으로 재설정하려면 다음 작업 중 하나를 실행합니다.

   • gcloud scc findings bulk-mute 명령어 또는 muteState 속성이 UNDEFINED로 설정된 bulkMute API 메서드를 사용합니다. 삭제한 각 정적 숨기기 규칙에 대해 이 작업을 실행합니다. 일괄 숨기기 작업을 수행하는 방법에 관한 안내는 여러 기존 발견 항목 숨기기 또는 재설정하기를 참조하세요.

   • 일괄 숨기기 작업이 시간 초과되면 업데이트해야 하는 모든 관련 발견 항목을 포함하는 덜 세분화된 필터를 사용하도록 일괄 숨기기 필터를 업데이트하여 모든 발견 항목에서 정적 숨기기 상태를 지울 수 있습니다.

     정적 숨기기 규칙의 필터 예시를 살펴보세요.

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     이 정적 숨기기 규칙 필터의 기준과 일치하는 모든 발견 항목에서 숨기기 상태를 삭제하려면 발견 항목 카테고리에 뒤따르는 추가 조건을 삭제하여 필터를 수정하면 됩니다. 이 예시의 결과는 다음과 같습니다.

     filter: "category = \"OPEN_SSH_PORT""
     

     발견 항목에 대해 숨기기 상태를 수동으로 설정한 경우 이 방법은 해당 발견 항목의 숨기기 상태를 재설정할 수도 있습니다.

     숨기기 규칙 업데이트에 관한 자세한 내용은 숨기기 규칙 업데이트를 참조하세요.

정적 숨기기 규칙을 동적 숨기기 규칙으로 마이그레이션하는 데 도움이 필요한 경우 지원팀에 문의하세요.

다음 단계

숨기기 규칙 만들기 및 관리 자세히 알아보기