Nesta página, explicamos como migrar suas regras estáticas de silenciamento para regras dinâmicas regras de silenciamento.
Recomendamos o uso de regras de silenciamento dinâmicas exclusivamente nas configurações de regras de silenciamento porque elas são mais flexíveis do que as estáticas. Comparado Em comparação com as regras de silenciamento estáticas, elas têm três benefícios principais:
- As regras de silenciamento dinâmico se aplicam a descobertas atuais e novas. As regras de silenciamento dinâmico silenciam automaticamente as descobertas atuais e novas ou atualizadas que correspondem aos seus critérios de filtro.
- As regras de silenciamento dinâmicas oferecem uma opção de expiração. As regras de desativação de som dinâmicas também permitem definir um período de expiração personalizado para corresponder temporariamente a descobertas específicas. Se nenhum período de expiração for definido, as regras de silenciamento dinâmico silenciarão as descobertas indefinidamente até que elas não correspondam mais à regra.
As regras de silenciamento dinâmico ativam automaticamente o som das descobertas. Quando qualquer um dos seguinte ocorrer, o Security Command Center ativará automaticamente o som da descoberta:
- A regra de silenciamento dinâmica expira.
- As propriedades de uma descoberta mudam para não corresponder mais aos seus critérios de filtro.
- Os critérios de filtro mudam para não corresponder mais à descoberta.
Não recomendamos usar regras de silenciamento estáticas e dinâmicas ao mesmo tempo. Estático as regras de silenciamento dinâmicas substituem as regras dinâmicas de silenciamento quando são aplicadas à mesma descoberta. Por isso, as regras dinâmicas de silenciamento não vão funcionar como esperado, o que pode criar confusão ao gerenciar suas descobertas.
Se você quiser usar apenas regras de silenciamento dinâmicas, as seções a seguir descrevem as permissões e etapas necessárias para migrar suas regras de silenciamento estáticas.
Permissões
Para receber as permissões necessárias para realizar o processo de migração de silenciamento dinâmico, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização, pasta ou projeto do Google Cloud:
-
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer
) -
Leitor de configurações da Central de segurança (
roles/securitycenter.settingsViewer
) -
SecurityCenter Mute Configurations Viewer (
roles/securitycenter.muteConfigsViewer
) -
Administrador da Central de segurança (
roles/securitycenter.admin
) -
Editor administrador da Central de segurança (
roles/securitycenter.adminEditor
) -
Editor de configurações da Central de segurança (
roles/securitycenter.settingsEditor
) -
Editor de configurações de silenciamento da Central de segurança (
roles/securitycenter.muteConfigsEditor
) -
FindingsEditor da Central de segurança (
roles/securitycenter.findingsEditor
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Migrar para as regras dinâmicas de silenciamento
Para usar as regras de silenciamento dinâmicas exclusivamente, siga as etapas abaixo para criar regras de silenciamento dinâmicas e garantir que as descobertas silenciadas continuem silenciadas após a migração.
- Criar novas regras dinâmicas de silenciamento. Não é possível modificar o tipo de uma regra de silenciamento após ela foi criada. Portanto, é necessário criar uma regra de silenciamento dinâmica para cada regra de silenciamento estática que você quer manter. Cada novo nome de regra de silenciamento dinâmica precisa ser exclusivo das regras de silenciamento existentes. o Security Command Center pode demorar algumas horas para aplicar as regras dinâmicas de silenciamento às descobertas apropriadas. Para instruções sobre como criar uma regra de silenciamento dinâmica, consulte Criar uma regra de silenciamento específica.
Validar o estado mudo das descobertas aplicáveis. Para validar se as regras de desativação dinâmica foram aplicadas corretamente, use o atributo
muteInfo
na API Security Command Center para listar as descobertas aplicáveis e inspecionar os campos de desativação delas. Isso ajuda a determinar se as descobertas aplicáveis estão usando regras de silenciamento dinâmicas ou estáticas.Por exemplo, use
muteInfo.dynamicMuteRecords
em uma consulta para listar as aplicações que estão sendo silenciadas pela nova regra dinâmica de silenciamento:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")
Para mais informações sobre como listar descobertas, consulte Como listar descobertas de segurança usando o Security Command Center API.
Exclua todas as regras estáticas de silenciamento. As descobertas futuras aplicáveis são cobertas pelo as novas regras dinâmicas que você criou. Excluir todas as regras estáticas de silenciamento para garantir que elas não modifiquem as novas regras dinâmicas de silenciamento para novas descobertas. Para instruções sobre como excluir uma regra de silenciamento, consulte Excluir regras de silenciamento. A exclusão de regras de silenciamento estático não muda o estado de silenciamento estático das descobertas existentes.
Redefinir o estado de silenciamento estático em todas as descobertas. Para redefinir o estado de desativação estática das descobertas atuais em massa, realize uma das seguintes ações:
Use o comando
gcloud scc findings bulk-mute
ou o método da APIbulkMute
com o atributomuteState
definido comoUNDEFINED
. Faça isso para cada regra de silenciamento estático que você excluiu. Para instruções sobre como realizar operações de silenciamento em massa, consulte Silenciar ou redefinir várias descobertas existentes.Se a operação de silenciamento em massa expirar, você poderá limpar o estado de silenciamento estático de todas as descobertas atualizando o filtro de silenciamento em massa para usar filtros menos detalhados que abrangem todas as descobertas relevantes que você precisa atualizar.
Considere o exemplo a seguir de um filtro em uma regra de silenciamento estático:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456")"
Para limpar o estado de desativação de som em todas as descobertas que correspondem aos critérios deste filtro de regra de desativação de som estático, modifique o filtro removendo as condições adicionais que seguem a categoria da descoberta. Neste exemplo, o resultado seria o seguinte:
filter: "category = \"OPEN_SSH_PORT""
Se você tiver definido manualmente o estado silenciado para qualquer descoberta, este método também pode redefinir o estado mudo dessas descobertas.
Para mais informações sobre como atualizar uma regra de silenciamento, consulte Atualizar regras de silenciamento.
Se precisar de ajuda para migrar suas regras de silenciamento estático para dinâmico, entre em contato com o suporte.
A seguir
Saiba mais sobre como criar e gerenciar regras de silenciamento.