本页面介绍了如何通过忽略发现结果来减少您在 Security Command Center 中收到的发现结果数量。
如果忽略某个发现结果,Google Cloud 控制台中的发现结果默认视图中就不会显示该发现结果。您可以手动或以编程方式忽略发现结果并创建过滤条件,以根据您指定的条件自动忽略现有和未来的发现结果。
Security Command Center 检测服务可为您的 Google Cloud 部署提供广泛的安全评估,但您可能会发现某些发现结果不适用于您的组织或项目。大量的发现结果还可能导致安全分析师难以有效识别和消除最关键的风险。忽略发现结果可以为您节省查看或响应隔离或属于可接受的业务参数的资产的安全性发现结果的时间。
与停用检测器相比,忽略发现结果有以下几个优势:
- 您可以创建自定义过滤条件,以微调要忽略的发现结果。
- 忽略发现结果不会停止扫描底层资源。发现结果仍会生成,但在您决定查看它们之前会保持隐藏状态。
权限
如需忽略发现结果,您需要组织、文件夹或项目级别的以下某个 Identity and Access Management (IAM) 角色:
- 查看忽略规则:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer
) - Security Center Settings Viewer (
roles/securitycenter.settingsViewer
) - Security Center Mute Configurations Viewer (
roles/securitycenter.muteConfigsViewer
)
- Security Center Admin Viewer (
- 查看、创建、更新和删除忽略规则:
- Security Center Admin (
roles/securitycenter.admin
) - Security Center Admin Editor (
roles/securitycenter.adminEditor
) - Security Center Settings Editor (
roles/securitycenter.settingsEditor
) - Security Center Mute Configurations Editor (
roles/securitycenter.muteConfigsEditor
)
- Security Center Admin (
- 手动忽略发现结果:
- Security Center Findings Editor (
roles/securitycenter.findingsEditor
)
- Security Center Findings Editor (
您还可以创建并授予具有以下部分或全部权限的自定义角色:
- 忽略规则读取权限
securitycenter.muteconfigs.get
securitycenter.muteconfigs.list
- 忽略规则写入权限
securitycenter.muteconfigs.create
securitycenter.muteconfigs.update
securitycenter.muteconfigs.delete
- 发现结果写入权限
securitycenter.findings.setMute
securitycenter.findings.bulkMuteUpdate
您忽略发现结果的能力遵循在组织、文件夹或项目级层授予的角色。您可以忽略特定文件夹或项目中的发现结果,并限制其他人员根据他们获得的访问权限忽略发现结果的能力。例如,如果您有权访问单个项目,则只能忽略该项目中的发现结果。如果您有权访问某一文件夹,则可以忽略该文件夹内任何子文件夹或项目中的发现结果。
如需详细了解 Security Command Center 角色,请参阅访问权限控制。
创建和管理忽略规则
忽略规则是 Security Command Center 配置,它们使用您创建的过滤条件,根据您指定的条件自动忽略未来的发现结果。匹配忽略过滤条件的新发现结果将持续自动忽略。如果您还希望忽略类似的现有发现结果,请使用相同的过滤条件批量忽略发现结果。
忽略规则的范围
在创建过滤器时,请考虑忽略规则的范围。
例如,如果编写一个过滤条件以忽略 Project A
中的发现结果,但该过滤条件本身是在 Project B
下创建的,则该过滤条件可能不匹配任何发现结果。
同样,如果启用了数据驻留,则忽略规则的范围将限制为创建忽略规则的 Security Command Center 位置。例如,如果您在美国 (us
) 位置创建忽略规则,则忽略规则不会忽略存储在欧盟 (eu
) 或全球 (global
) 位置的发现结果。如需详细了解数据驻留和忽略规则,请参阅忽略规则、持续导出和数据驻留。
如需详细了解如何创建过滤条件,请参阅过滤通知。
忽略规则限制
忽略规则并不支持所有发现结果属性。如需查看忽略规则不支持的属性列表,请参阅忽略规则不支持的发现结果属性。
您可以根据 IAM 角色的范围创建、查看、更新和删除忽略规则。使用组织级层角色,您可以查看组织中所有文件夹和项目的忽略规则。如果您拥有文件夹级层角色,则可以访问和管理特定文件夹以及这些文件夹中所有子文件夹和项目的忽略规则。项目级层角色可让您管理特定项目中的忽略规则。
Security Command Center Premium 支持在组织、文件夹和项目级层授予角色。Security Command Center Standard 仅支持在组织级层授予角色。如需了解详情,请参阅访问权限控制。
数据驻留和忽略规则
如果启用了数据驻留,则定义忽略规则的配置(muteConfig
资源)会受到数据驻留控制,并且会存储在您选择的 Security Command Center 位置中。
如需将忽略规则应用于 Security Command Center 位置中的发现结果,您必须在应用发现结果所在的位置创建忽略规则。
由于忽略规则中使用的过滤条件可能包含受驻留控制措施约束的数据,因此请确保在创建它们之前指定正确的位置。Security Command Center 不会限制您在哪个位置创建忽略规则或流式导出。
忽略规则只会存储在创建它们的位置,无法在其他位置查看或修改。
创建忽略规则后,便无法更改其位置。 如需更改位置,您需要删除忽略规则,然后在新位置重新创建该规则。
如需在 Google Cloud 控制台中查看忽略规则,您首先需要将 Google Cloud 控制台视图设置为创建这些规则的位置。
同样的规则也适用于忽略规则的 API 表示法 MuteConfig
。
如需使用 API 调用来检索 MuteConfig
,您需要在 MuteConfig
的完整资源名称中指定位置。例如:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/muteConfigs/my-mute-rule-01}
同样,如需使用 gcloud CLI 检索 muteConfig
,您可以使用 --locations
标志指定位置。例如:
gcloud scc muteconfigs list --organizations=123 --location=us
创建忽略规则
您的组织最多可以创建 1,000 条忽略规则。
您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 创建忽略规则。
如需查看创建忽略规则的示例代码,请参阅创建忽略规则。
如需创建忽略规则,请点击您要使用的过程所在的标签页:
控制台
在 Google Cloud 控制台中,转到 Security Command Center 发现结果页面。
如有必要,请选择您的 Google Cloud 项目或组织。
如果 Security Command Center 启用了数据驻留,请使用项目选择器正下方的位置选择器来选择要在哪个 Security Command Center 位置创建忽略规则。例如:
点击忽略选项,然后选择创建忽略规则。
输入忽略规则 ID。必须提供此值。
输入忽略规则说明,其提供为何忽略发现结果的上下文。该值是可选的,但我们建议您使用。
父级资源表示将创建和应用忽略规则的范围。
在发现结果查询字段中,通过点击添加过滤条件来构建查询语句。或者,您也可以手动输入查询语句。
在选择过滤条件对话框中,您可以选择支持的发现结果属性和值。
- 选择发现结果特性或在搜索发现结果特性框中输入其名称。 系统会显示可用子特性的列表。
- 选择子特性。评估选项的选择字段显示在位于发现结果的查询结果面板中的发现结果的子特性值列表上方。
- 为所选子特性的值选择评估选项。如需详细了解评估选项及其使用的运算符和函数,请参阅“添加过滤条件”菜单中的查询运算符。
- 选择应用。
对话框将会关闭,并且您的查询即会更新。
- 重复这些步骤,直到发现结果查询包含所需的所有特性。
查看过滤条件,以确保准确性。如需进行更改,请根据需要删除或添加属性和过滤条件值。
点击预览匹配的发现结果。
表会显示与您的查询匹配的发现结果。
点击保存。
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需创建忽略规则,请运行
gcloud scc muteconfigs create
命令:gcloud scc muteconfigs create CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description="RULE_DESCRIPTION" \ --filter="FILTER"
请替换以下内容:
CONFIG_ID
:忽略规则的名称。此 ID 必须使用字母数字字符和连字符,并且长度介于 1 到 63 个字符之间。PARENT
:应用忽略规则的资源层次结构中的范围,即organization
、folder
或project
。PARENT_ID
:父级组织、文件夹或项目的 ID,采用organizations/123
、folders/456
或projects/789
格式指定。LOCATION
:如果启用了数据驻留,请指定要在其中创建忽略规则的 Security Command Center 位置。系统会存储忽略规则配置,该配置仅适用于此位置中的发现结果。如果未启用数据驻留,则指定
--location
标志会使用 Security Command Center API v2 创建忽略规则,并且该标志的唯一有效值为global
。RULE_DESCRIPTION
:忽略规则的说明(不超过 1024 个字符)。FILTER
:您定义的用于过滤结果的表达式。例如,如需忽略OPEN_FIREWALL
发现结果,您可以使用FILTER="category=\"OPEN_FIREWALL\""
过滤条件。
响应包含忽略规则 ID,可用于查看、更新和删除忽略规则,如管理忽略规则中所述。
Go
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Java
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Python
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
REST API
在 Security Command Center API 中,使用 muteConfigs create
方法创建忽略规则。请求正文是 MuteConfig
的实例。
除非启用数据驻留,否则您可以使用 Security Command Center API v1 或 v2。API v2 提供预览版。启用数据驻留后,API v2 是唯一可用的 API。
如果您使用的是 Security Command Center API v1,请使用版本 1 端点来调用 muteConfigs create
。在请求正文中,使用版本 1 MuteConfig 定义:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": FILTER }
如果您使用的是 Security Command Center API v2,请使用版本 2 端点来调用 muteConfigs create
。在请求正文中,使用版本 2 MuteConfig 定义:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": FILTER "type": "STATIC" }
请替换以下内容:
PARENT
:忽略规则的父级资源(organizations
、folders
或projects
)PARENT_ID
:父级组织、文件夹或项目的 IDLOCATION
:(仅适用于 v2)指定应用忽略规则的 Security Command Center 位置。如果省略位置信息字段,则默认值为global
。MUTE_CONFIG_ID
:忽略规则的名称(介于 1 到 63 个字符之间)RULE_DESCRIPTION
:忽略规则的说明(最多 1024 个字符)FILTER
:您定义的用于过滤结果的表达式例如,如需忽略
OPEN_FIREWALL
发现结果,您的过滤条件可以是"category=\"OPEN_FIREWALL\""
。
响应包括忽略配置 ID,您可以使用该 ID 查看、更新和删除忽略规则,如管理忽略规则中所述。
与过滤条件完全匹配的新发现结果会被隐藏,发现结果的 mute
特性设置为 MUTED
。
忽略规则不支持的发现结果属性
忽略规则未必支持过滤条件中的所有发现结果属性。忽略规则过滤条件不支持以下属性。
createTime
eventTime
mute
mute_initiator
mute_update_time
name
parent
security_marks
source_properties
state
列出忽略规则
您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 列出组织、文件夹或项目中的忽略规则。
您能否列出给定范围的忽略规则取决于授予 IAM 角色的权限。
如果为 Security Command Center 启用了数据驻留,则 list 命令的范围也仅限于所选的 Security Command Center 位置。
如需查看列出忽略规则的示例代码,请参阅列表忽略规则。
如需列出组织、文件夹或项目的忽略规则,请点击您要使用的过程对应的标签页:
控制台
在 Google Cloud 控制台中,转到 Security Command Center 设置页面中的忽略规则标签页。
如有必要,请选择您的 Google Cloud 项目或组织。
如果 Security Command Center 启用了数据驻留,请使用项目选择器正下方的位置选择器,选择存储忽略规则的 Security Command Center 位置。例如:
在忽略规则部分中,您可以查看有效忽略规则的详细信息,其中包括:
- 名称:忽略规则 ID
- 父级资源:忽略规则所在的资源
- 说明:忽略规则的说明(如有)
- 上次更新者为:上次更新规则的主账号
- 上次更新时间:上次更新规则的日期和时间
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需列出忽略规则,请运行
gcloud scc muteconfigs list
命令:gcloud scc muteconfigs list --PARENT=PARENT_ID --location=LOCATION
请替换以下内容:
PARENT
:要列出其忽略规则的父organization
、folder
或project
PARENT_ID
:父级组织、文件夹或项目的 IDLOCATION
:如果启用了数据驻留,请指定要列出忽略规则的 Security Command Center 位置。如果未启用数据驻留,则指定
--location
标志会使用 Security Command Center API v2 列出忽略规则,该标志的唯一有效值为global
。
Go
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Java
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Python
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
REST API
在 Security Command Center API 中,使用 muteConfigs list
方法列出忽略规则。请求正文为空。
除非启用数据驻留,否则您可以使用 Security Command Center API v1 或 v2。API v2 提供预览版。启用数据驻留后,API v2 是唯一可用的 API。
如果您使用的是 Security Command Center API v1,请使用 v1
端点来调用 muteConfigs list
:
GET https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs
如果您使用的是 Security Command Center API v2,请使用 v2
端点来调用 muteConfigs list
:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs
请替换以下内容:
PARENT
:忽略规则的父级资源(organizations
、folders
或projects
)PARENT_ID
:父级组织、文件夹或项目的 IDLOCATION
:仅适用于 v2 - 指定要为其列出忽略规则的 Security Command Center 位置。如果省略位置信息字段,则默认值为global
。
响应包括忽略规则的名称、说明和忽略配置 ID。
查看忽略规则配置
您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 查看忽略规则配置。
如需查看用于检索忽略规则配置的示例代码,请参阅查看忽略规则。
如需查看忽略规则配置,请点击您要使用的过程所在的标签页:
控制台
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需查看忽略规则的配置,请运行
gcloud scc muteconfigs get
命令:gcloud scc muteconfigs get MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
请替换以下内容:
MUTE_CONFIG_ID
:忽略规则的 IDPARENT
:忽略规则的父级资源(organization
、folder
或project
)PARENT_ID
:组织、文件夹或项目的 IDLOCATION
:如果启用了数据驻留,请指定存储忽略规则的 Security Command Center 位置。默认值为global
。如果未启用数据驻留,则指定
--location
标志会使用 Security Command Center API v2 获取忽略规则,并且该标志的唯一有效值为global
。
Go
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Java
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Python
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
REST API
在 Security Command Center API 中,使用 muteConfigs get
方法返回忽略规则的配置。请求正文为空。
如需获取忽略规则的 CONFIG_ID
,请先对列表忽略规则执行 API 调用。响应包含返回的忽略规则的配置 ID。
除非启用数据驻留,否则您可以使用 Security Command Center API v1 或 v2。API v2 提供预览版。启用数据驻留后,API v2 是唯一可用的 API。
如果您使用的是 Security Command Center API v1,请使用 v1
端点来调用 muteConfigs get
:
GET https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID
如果您使用的是 Security Command Center API v2,请使用 v2
端点来调用 muteConfigs get
:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
请替换以下内容:
PARENT
:忽略规则的父级资源(organizations
、folders
或projects
)PARENT_ID
:组织、文件夹或项目的 IDLOCATION
:仅适用于 v2 指定存储忽略规则的 Security Command Center 位置。如果省略位置信息字段,则默认值为global
。CONFIG_ID
:忽略规则的数字 ID
更新忽略规则
您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新忽略规则的说明或发现结果过滤条件。
您无法更改 ID、父级组织、文件夹或项目,也不能更改忽略规则的位置。如需更改上述任何值,您必须创建新的忽略规则。
如果您之前已取消忽略某些发现结果,但它们与 Google Cloud 控制台中更新的忽略规则匹配,则系统会再次忽略这些发现结果。如需了解详情,请参阅取消忽略的发现结果替换忽略规则。
如需查看更新忽略规则的示例代码,请参阅更新忽略规则。
如需更新忽略规则,请点击您要使用的过程对应的标签页:
控制台
在 Google Cloud 控制台中,转到 Security Command Center 设置页面中的忽略规则标签页。
选择要修改的忽略规则的父资源的 Google Cloud 项目或组织。
如果 Security Command Center 启用了数据驻留,请使用项目选择器正下方的位置选择器,选择忽略规则的 Security Command Center 位置。例如:
点击要修改的忽略规则的名称。
如果您没有选择适当的项目或组织,可能会看到一条通知,指出您无权修改忽略规则。
输入新说明,然后点击保存。
更新或更改过滤条件。
如需了解相关说明,请参阅创建忽略规则。
如需查看与更新后的过滤条件匹配的发现结果,请点击预览匹配的发现结果。
系统会加载表,其中包含与新查询匹配的发现结果。
点击保存。
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需更新忽略规则,请运行
gcloud scc muteconfigs update
命令:gcloud scc muteconfigs update MUTE_CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description=RULE_DESCRIPTION \ --filter=FILTER
请替换以下内容:
MUTE_CONFIG_ID
:忽略规则的 ID。PARENT
:忽略规则的父级资源(organization
、folder
或project
)。PARENT_ID
:组织、文件夹或项目的 ID。LOCATION
:如果启用了数据驻留,请指定存储忽略规则的 Security Command Center 位置。默认值为global
。如果未启用数据驻留,则指定
--location
标志会使用 Security Command Center API v2 更新忽略规则配置,并且该标志的唯一有效值为global
。RULE_DESCRIPTION
:忽略规则的说明(最多 1024 个字符)。FILTER
:您定义的用于过滤结果的表达式。例如,如需忽略
OPEN_FIREWALL
发现结果,您的过滤条件可能是FILTER="category=\"OPEN_FIREWALL\""
。
Go
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Java
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Python
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
REST API
在 Security Command Center API 中,使用 muteConfigs patch
方法更新忽略规则。请求正文是 MuteConfig
的实例。
如需获取忽略规则的 CONFIG_ID
,请执行 API 调用以列出忽略规则。响应包含返回的忽略规则的配置 ID。
除非启用数据驻留,否则您可以使用 Security Command Center API v1 或 v2。API v2 提供预览版。启用数据驻留后,API v2 是唯一可用的 API。
如果您使用的是 Security Command Center API v1,请使用 v1
端点来调用 muteConfigs patch
:
PATCH https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", }
如果您使用的是 Security Command Center API v2,请使用 v2
端点来调用 muteConfigs patch
:
PATCH https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "STATIC" }
请替换以下内容:
PARENT
:忽略规则的父级资源(organizations
、folders
或projects
)PARENT_ID
:组织、文件夹或项目的 IDLOCATION
:仅适用于 v2 指定存储忽略规则的 Security Command Center 位置。如果省略位置信息字段,则默认值为global
。CONFIG_ID
:忽略规则的数字 IDRULE_DESCRIPTION
:忽略规则的说明(最多 1024 个字符)FILTER
:您定义来过滤发现结果的表达式例如,如需忽略
OPEN_FIREWALL
发现结果,您的过滤条件可以是"category=\"OPEN_FIREWALL\""
。
与过滤条件完全匹配的新发现结果会被隐藏,发现结果的 mute
特性设置为 MUTED
。
更新忽略规则不会自动取消忽略之前规则忽略的任何发现结果。您必须手动取消忽略发现结果。
删除忽略规则
您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 删除忽略规则。
在删除忽略规则之前,请先了解以下内容:
- 您无法恢复已删除的忽略规则。
- 删除忽略规则不会自动取消忽略任何已忽略的发现结果。您必须手动或以编程方式取消忽略发现结果。
- 系统不会忽略将来与已删除忽略规则中的过滤条件匹配的发现结果。
如需查看用于删除忽略规则的示例代码,请参阅删除忽略规则。
如需删除忽略规则,请点击您要使用的过程对应的标签页:
控制台
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需删除忽略规则,请运行
gcloud scc muteconfigs delete
命令:gcloud scc muteconfigs delete MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
请替换以下内容:
MUTE_CONFIG_ID
:忽略配置的 IDPARENT
:忽略规则的父级资源(organization
、folder
或project
)PARENT_ID
:组织、文件夹或项目的 IDLOCATION
:如果启用了数据驻留,请指定存储忽略规则配置的 Security Command Center 位置。默认值为global
。如果未启用数据驻留,则指定
--location
标志会使用 Security Command Center API v2 删除忽略规则,并且该标志的唯一有效值为global
。
确认您删除忽略规则的请求。
Go
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Java
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Python
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
REST API
在 Security Command Center API 中,使用 muteConfigs delete
方法删除忽略规则。请求正文为空。
如需获取忽略规则的 CONFIG_ID
,请执行对列表忽略规则的 API 调用。响应包含返回的忽略规则的配置 ID。
除非启用数据驻留,否则您可以使用 Security Command Center API v1 或 v2。API v2 提供预览版。启用数据驻留后,API v2 是唯一可用的 API。
如果您使用的是 Security Command Center API v1,请使用 v1
端点来调用 muteConfigs delete
:
DELETE https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID
如果您使用的是 Security Command Center API v2,请使用 v2
端点来调用 muteConfigs delete
:
DELETE https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
请替换以下内容:
PARENT
:忽略规则的父级资源(organizations
、folders
或projects
)PARENT_ID
:组织、文件夹或项目的 IDLOCATION
:仅适用于 v2 指定存储忽略规则的 Security Command Center 位置。如果省略位置信息字段,则默认值为global
。CONFIG_ID
:忽略规则的数字 ID
忽略个别发现结果
您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 忽略单个发现结果。
如需查看用于忽略发现结果的示例代码,请参阅忽略发现结果。
如需忽略单个发现结果,请点击您要使用的过程对应的标签页:
控制台
在 Google Cloud 控制台中,转到 Security Command Center 发现结果页面。
如有必要,请选择您的 Google Cloud 项目或组织。
如果 Security Command Center 启用了数据驻留,请使用项目选择器正下方的位置选择器,选择发现结果的 Security Command Center 位置。例如:
如果您在发现结果的查询结果面板中没有看到需要忽略的发现结果,请在快速过滤条件面板的类别部分选择该发现结果的类别。
勾选需要忽略的发现结果旁边的复选框。您可以选择一个或多个发现结果。
在发现结果的查询结果操作栏上,点击忽略选项,然后选择忽略。
所选发现结果的
mute
属性将被设置为MUTED
,并且该发现结果会从发现结果的查询结果面板中被移除。
或者,您也可以在发现结果的详细信息面板中忽略相应的发现结果:
- 在发现结果页面的发现结果的查询结果面板中,选择类别列,然后点击需要忽略的发现结果的名称。系统会打开该发现结果的详细信息面板。
- 点击执行操作。
在执行操作菜单中,选择忽略。
如果您选择忽略这类发现结果,则系统会打开创建忽略规则页面,您可以在其中为具有相同类型或包含相同
Indicator
属性的发现结果创建忽略规则。
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需将发现结果的忽略状态设置为
MUTED
,请使用 gcloud CLI 中的set-mute
命令:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION --source=SOURCE_ID \ --mute=MUTED
请替换以下内容:
FINDING_ID
:要忽略的发现结果的 ID如需检索发现结果 ID,请使用 Security Command Center API 列出发现结果。发现结果 ID 是
canonicalName
特性的最后一部分,例如projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9。PARENT
:父资源(project
、folder
或organization
),区分大小写PARENT_ID
:父级组织、文件夹或项目的 IDLOCATION
:如果启用了数据驻留,请指定存储发现结果的 Security Command Center 位置。如果未启用数据驻留,则指定
--location
标志会使用 Security Command Center API v2 忽略发现结果,并且该标志的唯一有效值为global
。SOURCE_ID
:来源 ID如需了解如何检索来源 ID,请参阅获取来源 ID。
Go
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Java
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Python
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
REST API
在 Security Command Center API 中,使用 setMute
方法忽略发现结果。请求正文是一个枚举,用于指明生成的静音状态。
除非启用数据驻留,否则您可以使用 Security Command Center API v1 或 v2。API v2 提供预览版。启用数据驻留后,API v2 是唯一可用的 API。
如果您使用的是 Security Command Center API v1,请使用 v1
端点调用 setMute
:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/sources/SOURCE_ID/findings/FINDING_ID:setMute { "mute": "MUTED" }
如果您使用的是 Security Command Center API v2,请使用 v2
端点调用 setMute
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "MUTED" }
请替换以下内容:
PARENT
:父资源(organizations
、folders
或projects
)。PARENT_ID
:父级组织、文件夹或项目的 ID。LOCATION
:仅适用于 v2,用于指定存储发现结果的 Security Command Center 位置。如果省略位置信息字段,则默认值为global
。SOURCE_ID
:来源的数字 ID。如需了解如何检索来源 ID,请参阅获取来源 ID。
FINDING_ID
:您要忽略的发现结果的 ID。如需检索发现结果 ID,请使用 Security Command Center API 列出发现结果。发现结果 ID 是
canonicalName
特性的最后一部分,例如projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9。
忽略发现结果后,其 mute
属性会被设为 MUTED
。
忽略发现结果不会影响其有效状态。如果某个有效的发现结果被忽略,其 state
属性会保持不变,即仍为 state="ACTIVE"
。虽然该发现结果被隐藏起来,但在其相关的底层漏洞、配置错误或威胁得以消除之前,它会一直保持有效状态。
如需详细了解忽略规则,请参阅创建忽略规则。
取消忽略各个发现结果
您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 取消忽略个别发现结果。
如需查看用于取消忽略发现结果的示例代码,请参阅取消忽略发现结果。
如需取消忽略单个发现结果,请点击您要使用的流程对应的标签页:
控制台
在 Google Cloud 控制台中,转到 Security Command Center 发现结果页面。
如有必要,请选择您的 Google Cloud 项目或组织。
系统随即会打开发现结果页面,并在查询预览部分中显示默认查询。由于默认查询会过滤掉已忽略的发现结果,因此您需要先修改该查询,之后系统才会在发现结果的查询结果面板中显示已忽略的发现结果。
如果 Security Command Center 启用了数据驻留,请使用项目选择器正下方的位置选择器,选择发现结果的 Security Command Center 位置。例如:
在查询预览部分右侧,点击修改查询以打开查询编辑器。
在查询编辑器字段中,将现有忽略语句替换为以下内容:
mute="MUTED"
点击应用。发现结果的查询结果面板中的发现结果会相应更新,以仅包含已忽略的发现结果。
如有必要,您可以过滤掉其他已忽略的发现结果。例如,您可以在快速过滤条件面板下方的类别部分,选择需要取消忽略的发现结果的名称,以过滤掉所有其他类别的发现结果。
勾选要取消忽略的发现结果旁边的复选框。您可以选择一个或多个发现结果。
在发现结果的查询结果操作栏上,点击忽略选项,然后选择取消忽略。
所选发现结果的
mute
属性将被设置为UNMUTED
,并且该发现结果会从发现结果的查询结果面板中被移除。
或者,您也可以在发现结果的详细信息面板中取消忽略相应的发现结果:
- 在发现结果页面的发现结果的查询结果面板中,选择类别列,然后点击需要取消忽略的发现结果的名称。系统会打开该发现结果的详细信息面板。
- 点击执行操作。
- 在执行操作菜单中,选择取消忽略。
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需将发现结果的忽略状态设置为
UNMUTED
,请使用 gcloud CLI 中的set-mute
命令:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION --source=SOURCE_ID \ --mute=UNMUTED
请替换以下内容:
FINDING_ID
:要忽略的发现结果的 ID如需检索发现结果 ID,请使用 Security Command Center API 列出发现结果。发现结果 ID 是
canonicalName
特性的最后一部分,例如projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9。PARENT
:父资源(project
、folder
或organization
),区分大小写PARENT_ID
:父级组织、文件夹或项目的 IDLOCATION
:如果启用了数据驻留,请指定存储发现结果的 Security Command Center 位置。如果未启用数据驻留,则指定
--location
标志会使用 Security Command Center API v2 取消发现结果,并且该标志的唯一有效值为global
。SOURCE_ID
:来源 ID如需了解如何检索来源 ID,请参阅获取来源 ID
Go
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Java
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Python
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
REST API
在 Security Command Center API 中,使用 setMute
方法将发现结果取消静音。请求正文是一个枚举,用于指明生成的静音状态。
除非启用数据驻留,否则您可以使用 Security Command Center API v1 或 v2。API v2 提供预览版。启用数据驻留后,API v2 是唯一可用的 API。
如果您使用的是 Security Command Center API v1,请使用 v1
端点调用 setMute
:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/sources/SOURCE_ID/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
如果您使用的是 Security Command Center API v2,请使用 v2
端点调用 setMute
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
请替换以下内容:
PARENT
:父级资源(organizations
、folders
或projects
)PARENT_ID
:父级组织、文件夹或项目的 IDLOCATION
:仅适用于 v2,用于指定存储发现结果的 Security Command Center 位置。如果省略位置信息字段,则默认值为global
。SOURCE_ID
:来源的数字 ID如需了解如何检索来源 ID,请参阅获取来源 ID
FINDING_ID
:您要忽略的发现结果的 ID。如需检索发现结果 ID,请使用 Security Command Center API 列出发现结果。发现结果 ID 是
canonicalName
特性的最后一部分,例如projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9。
所选的发现结果不再隐藏,并且发现结果的 mute
特性设置为 UNMUTED
。
取消忽略的发现结果会覆盖忽略规则
如果用户取消忽略发现结果,则即使现有的忽略规则仍与发现结果匹配,它们仍会保持取消忽略状态。实际上,用户取消忽略操作会覆盖忽略规则。
仅当用户手动忽略发现结果或在 Google Cloud 控制台中创建新的匹配忽略规则时,未忽略的发现结果才会再次忽略。使用 gcloud CLI 或 Security Command Center API 创建的忽略规则不会影响用户取消忽略的发现结果。
忽略多个现有发现结果
您可以使用 gcloud scc findings bulk-mute
gcloud CLI 命令或 Security Command Center API 的 bulkMute
方法批量忽略多个现有发现结果。如果您需要忽略类似的未来发现结果,请创建忽略规则。
通过定义发现结果过滤条件,指定需要忽略的一组发现结果。批量忽略过滤条件并不支持所有发现结果属性。如需查看不受支持的属性列表,请参阅忽略规则不支持的发现结果属性。
如果为 Security Command Center 启用了数据驻留,则批量忽略操作的范围仅限于执行批量控制的 Security Command Center 位置。
如需查看批量忽略发现结果的示例代码,请参阅批量忽略发现结果。
如需批量忽略发现结果,请点击您要使用的过程对应的标签页:
控制台
在 Google Cloud 控制台中,您只能通过创建忽略规则来批量忽略发现结果。在 Google Cloud 控制台中,创建忽略规则会隐藏现有和未来的发现结果。
gcloud
-
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需批量忽略多个发现结果,请运行
gcloud scc findings bulk-mute
命令:gcloud scc findings bulk-mute --PARENT=PARENT_ID \ --location=LOCATION --filter="FILTER" \
请替换以下内容:
PARENT
:应用忽略规则的资源层次结构中的范围,即organization
、folder
或project
。PARENT_ID
:父级组织、文件夹或项目的 ID,采用organizations/123
、folders/456
或projects/789
格式指定。LOCATION
:如果启用了数据驻留,请指定用于批量忽略发现结果的 Security Command Center 位置。只有此位置中的发现结果会被忽略。如果未启用数据驻留,则指定
--location
标志会使用 Security Command Center API v2 忽略发现结果,并且该标志的唯一有效值为global
。FILTER
:您定义的用于过滤结果的表达式
例如,如需忽略
internal-test
项目中所有现有的低严重级别OPEN_FIREWALL
和PUBLIC_IP_ADDRESS
发现结果,您的过滤条件可以是"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.project_display_name=\"internal-test\""
。
Go
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Java
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
Python
以下示例使用 v1 API。如需修改 v2 的示例,请将 v1
替换为 v2
,并将 /locations/LOCATION
添加到资源名称中。
对于大多数资源,请在资源名称的 /PARENT/PARENT_ID
后添加 /locations/LOCATION
,其中 PARENT
为 organizations
、folders
或 projects
。
对于发现结果,请在资源名称的 /sources/SOURCE_ID
后添加 /locations/LOCATION
,其中 SOURCE_ID
是发出发现结果的 Security Command Center 服务的 ID。
REST API
在 Security Command Center API 中,使用 bulkMute
方法忽略多个现有发现结果。请求正文包含用于过滤结果的表达式。
除非启用数据驻留,否则您可以使用 Security Command Center API v1 或 v2。API v2 提供预览版。启用数据驻留后,API v2 是唯一可用的 API。
如果您使用的是 Security Command Center API v1,请使用 v1
端点调用 bulkMute
:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/findings:bulkMute -d { "filter": "FILTER" }
如果您使用的是 Security Command Center API v2,请使用 v2
端点调用 bulkMute
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/findings:bulkMute -d { "filter": "FILTER" }
请替换以下内容:
PARENT
:父资源(organizations
、folders
或projects
)。PARENT_ID
:父级组织、文件夹或项目的 ID。LOCATION
:仅适用于 v2,用于指定存储发现结果的 Security Command Center 位置。如果省略位置信息字段,则默认值为global
。FILTER
:您定义的用于过滤结果的表达式。例如,如需忽略
internal-test
项目中所有现有的低严重级别OPEN_FIREWALL
和PUBLIC_IP_ADDRESS
发现结果,您的过滤条件可以是"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.project_display_name=\"internal-test\""
。
系统会隐藏您选择的资源中与过滤条件完全匹配的所有现有发现结果。发现结果的 mute
特性设置为 MUTED
。
如果忽略发现结果,则系统不会更改其状态。如果有效的发现结果被忽略,这些发现结果会隐藏起来,但在底层漏洞、配置错误或威胁得以消除之前会保持有效状态。
在 Google Cloud 控制台中查看已忽略的发现结果
您可以在 Google Cloud 控制台中查看已忽略的发现结果,方法是修改发现结果查询,选择包含属性值 mute="MUTED"
的发现结果。
例如,以下发现结果查询仅显示已忽略的有效发现结果:
state="ACTIVE"
AND mute="MUTED"
如需显示所有活跃的发现结果(包括已忽略的发现结果和取消忽略的发现结果),请完全省略查询中的 mute
属性:
state="ACTIVE"
默认情况下,Google Cloud 控制台中的发现结果查询仅显示未忽略的发现结果。
如需详细了解如何修改发现结果查询,请参阅在信息中心内创建或修改发现结果查询。
查找与忽略相关的属性
本部分列出了与发现结果的忽略状态相关的发现结果属性,并说明了忽略操作对这些属性的影响:
mute
:在创建发现结果时设置为UNDEFINED
并在以下情况下进行更改:MUTED
:发现结果被手动忽略或通过忽略规则忽略。UNMUTED
:用户取消忽略发现结果。
mute_update_time
:发现结果被忽略或取消忽略的时间mute_initiator
:忽略发现结果的主账号或忽略规则的标识符
停止通知和导出已忽略的发现结果
如果您启用发现结果通知,与您的通知过滤条件匹配的新发现结果或已更新的已忽略发现结果仍会导出到 Pub/Sub。
如需停止导出已忽略的发现结果并发送通知,请使用 mute
属性在 NotificationConfig
过滤条件中排除已忽略的发现结果。例如,以下过滤条件仅发送有关未忽略或未设置忽略特性的有效发现结果的通知:
FILTER="state=\"ACTIVE\" AND -mute=\"MUTED\""
后续步骤
详细了解如何过滤发现结果通知。
浏览您可以使用的更多过滤条件示例。