En esta página, se explica cómo reducir el volumen de resultados que recibes en Security Command Center silenciándolos.
Si silencias un resultado, este se ocultará de la vista predeterminada de los resultados en la console de Google Cloud. Puedes silenciar resultados de forma manual o programática, y crear filtros para silenciar automáticamente los resultados existentes y futuros según los criterios que especifiques.
Los servicios de detección de Security Command Center proporcionan evaluaciones de seguridad amplias de tu implementación de Google Cloud, pero es posible que ciertos resultados no sean adecuados o relevantes para tu organización o proyectos. Un gran volumen de resultados también puede dificultar a los analistas de seguridad la identificación y solución eficaz de los riesgos más importantes. La función de silenciamiento de resultados te ahorra tiempo de revisar o responder a los resultados de seguridad de los recursos aislados o que están dentro de los parámetros comerciales aceptables.
Silenciar los resultados tiene varias ventajas sobre la inhabilitación de detectores:
- Puedes crear filtros personalizados para definir mejor qué resultados se silencian.
- Puedes usar reglas de silenciamiento para silenciar los resultados de forma temporal o indefinida.
- El silenciamiento de resultados no impide que se analicen los recursos subyacentes. Los resultados se siguen generando, pero permanecen ocultos hasta que decidas verlos.
Permisos
Para silenciar los resultados, necesitas una de las siguientes funciones de Identity and Access Management (IAM) a nivel de la organización, la carpeta o el proyecto:
- Visualización de las reglas de silenciamiento:
- Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer
) - Visualizador de configuración del centro de seguridad (
roles/securitycenter.settingsViewer
) - Visualizador de parámetros de configuración de elementos silenciados del centro de seguridad (
roles/securitycenter.muteConfigsViewer
)
- Visualizador administrador del centro de seguridad (
- Visualización, creación, actualización y eliminación de las reglas de silenciamiento:
- Administrador del centro de seguridad (
roles/securitycenter.admin
) - Editor administrador del centro de seguridad (
roles/securitycenter.adminEditor
) - Editor de configuración del centro de seguridad (
roles/securitycenter.settingsEditor
) - Editor de parámetros de configuración de elementos silenciados del centro de seguridad (
roles/securitycenter.muteConfigsEditor
)
- Administrador del centro de seguridad (
- Silenciamiento manual de los resultados:
- Editor de hallazgos del centro de seguridad (
roles/securitycenter.findingsEditor
)
- Editor de hallazgos del centro de seguridad (
También puedes crear y otorgar funciones personalizadas con algunos de los siguientes permisos o todos ellos:
- Permisos de lectura de reglas de silenciamiento
securitycenter.muteconfigs.get
securitycenter.muteconfigs.list
- Permisos de escritura de reglas de silenciamiento
securitycenter.muteconfigs.create
securitycenter.muteconfigs.update
securitycenter.muteconfigs.delete
- Permisos de escritura de hallazgos
securitycenter.findings.setMute
securitycenter.findings.bulkMuteUpdate
Tu capacidad para silenciar resultados se adhiere a los roles otorgados a nivel de organización, carpeta o proyecto. Puedes silenciar los resultados en carpetas o proyectos específicos y restringir la capacidad de otros para silenciar los resultados en función del acceso que se les otorga. Por ejemplo, si tienes acceso a un solo proyecto, solo puedes silenciar los resultados en ese proyecto. Si tienes acceso a una carpeta, puedes silenciar los resultados en cualquier subcarpeta o proyecto dentro de esa carpeta.
Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Crea y administra reglas de silenciamiento
Las reglas de silenciamiento son parámetros de configuración de Security Command Center que usan filtros que creas para silenciar de forma automática los resultados existentes y futuros según los criterios que especifiques. Puedes crear filtros con reglas de silenciamiento estáticas o dinámicas.
Las reglas de silenciamiento estáticas silencian los resultados futuros de forma indefinida. Las reglas de silenciamiento dinámico silencian los resultados futuros y existentes de forma temporal hasta una fecha especificada o de forma indefinida hasta que un resultado ya no coincida con la configuración.
Tipos de reglas de silenciamiento
Security Command Center admite configuraciones de reglas de silenciamiento estáticas y dinámicas. Aunque puedes usar reglas de silenciamiento estáticas y dinámicas de forma simultánea, no lo recomendamos. Las reglas de silenciamiento estáticas anula las reglas de silenciamiento dinámico cuando se aplican al mismo resultado. Como resultado, las reglas de silenciamiento dinámico no funcionarán según lo previsto, lo que puede generar confusión cuando administras tus resultados. Por lo tanto, te recomendamos que uses un solo tipo de regla de silenciamiento.
A menos que ya uses reglas de silenciamiento estáticas, te recomendamos que uses exclusivamente las reglas de silenciamiento dinámico, ya que ofrecen más flexibilidad.
En la siguiente tabla, se proporciona una comparación de alto nivel de los dos tipos de reglas de silenciamiento. Para obtener más información, consulta Reglas de silencio estáticas y Reglas de silencio dinámicas.
Reglas de silenciamiento estáticas | Reglas de silenciamiento dinámico |
---|---|
Tomar medidas indefinidamente en función de los resultados | Puede actuar sobre un resultado de forma temporal con un tiempo de vencimiento o de forma indefinida si no se establece un tiempo de vencimiento. |
No se aplican a los resultados existentes. | Se aplica a los hallazgos existentes y nuevos. |
Tienen prioridad sobre las reglas de silenciamiento dinámico. | Tienen una prioridad más baja y se anulan con las reglas de silenciamiento estáticas cuando ambos tipos se aplican a un hallazgo. |
Reglas de silenciamiento estáticas
- Las reglas de silenciamiento estáticas actúan de forma indefinida. Cuando un resultado coincide con tu configuración de silenciamiento
estático, Security Command Center establece automáticamente la propiedad
mute
del resultado enMUTED
hasta que lo cambies de forma manual. - Las reglas de silenciamiento estáticas no tienen efecto en los hallazgos existentes. Solo se aplican a los hallazgos que se crean o actualizan después de definir la regla. Si también deseas silenciar resultados similares existentes, usa los mismos filtros para silenciar resultados de forma masiva.
- Las reglas de silenciamiento estáticas tienen prioridad sobre las reglas de silenciamiento dinámico. Por lo tanto, todos los hallazgos nuevos que coincidan con una regla de silenciamiento estático definida se consideran silenciados, incluso si también coinciden con una regla de silenciamiento dinámico definida.
Reglas de silenciamiento dinámico
- Las reglas de silenciamiento dinámico pueden actuar en un resultado de forma temporal con un período de vencimiento o de forma indefinida si no se establece un período de vencimiento. Cuando un resultado existente o nuevo coincide con tu configuración de silenciamiento dinámico, Security Command Center establece automáticamente la propiedad
mute
del resultado enMUTED
hasta la fecha de vencimiento especificada o hasta que haya cambios en el resultado o en la configuración. Cuando vence una regla de silenciamiento dinámica, Security Command Center elimina la regla del resultado. Si el resultado no coincide con ninguna otra regla de silenciamiento dinámica, la propiedadmute
se restablece automáticamente aUNDEFINED
. - Las reglas de silenciamiento dinámico se aplican automáticamente a los resultados existentes que coinciden con tu configuración, así como a los resultados que se crean o actualizan recientemente.
- Las reglas de silenciamiento dinámico tienen una prioridad más baja y se anulan con las reglas de silenciamiento estáticas cuando ambos tipos se aplican a un hallazgo.
Te recomendamos que uses exclusivamente las reglas de silenciamiento dinámico. La capacidad de silenciar y dejar de silenciar resultados de forma temporal y automática hace que las reglas de silenciamiento dinámicas sean una opción más flexible que las reglas de silenciamiento estáticas.
Si usas reglas de silenciamiento estáticas para reducir la cantidad de resultados que revisas manualmente y deseas migrar a reglas de silenciamiento dinámicas, consulta Cómo migrar de reglas de silenciamiento estáticas a dinámicas.
Alcance de las reglas de silencio
Ten en cuenta el alcance de una regla de silenciamiento cuando crees filtros.
Por ejemplo, si se escribe un filtro para silenciar los resultados en Project A
, pero el filtro en sí se crea en Project B
, es posible que el filtro no coincida con ningún resultado.
Del mismo modo, si está habilitada la residencia de datos, el alcance de una regla de silenciamiento se limita a la ubicación de Security Command Center en la que se crea. Por ejemplo, si creas una regla de silenciamiento en la ubicación de Estados Unidos (us
), la regla de silenciamiento no silencia los resultados que se almacenan en las ubicaciones de Unión Europea (eu
) o Global (global
).
Para obtener más información sobre la residencia de datos y las reglas de silenciamiento, consulta Reglas de silenciamiento, exportaciones continuas y residencia de datos.
Para obtener más información sobre cómo crear filtros, consulta Filtra notificaciones.
Restricciones de las reglas de silencio
Las reglas de silenciamiento no son compatibles con todas las propiedades de los resultados. Para obtener una lista de las propiedades que no son compatibles con las reglas de silenciamiento, consulta Propiedades de resultados no compatibles con las reglas de silenciamiento.
Puedes crear, ver, actualizar y borrar reglas de silenciamiento según el alcance de tus roles de IAM. Con las funciones a nivel de la organización, verás reglas de silenciamiento para todas las carpetas y proyectos de la organización. Si tienes funciones a nivel de carpeta, puedes acceder a las reglas de silenciamiento y administrarlas para carpetas específicas y todos los proyectos y subcarpetas dentro de ellas. Las funciones a nivel de proyecto te permiten administrar las reglas de silenciamiento en proyectos específicos.
Security Command Center Premium permite otorgar funciones a nivel de organización, carpeta y proyecto. La versión estándar de Security Command Center solo admite la asignación de funciones a nivel de organización. Para obtener más información, consulta Guía de control de acceso.
Residencia de datos y reglas de silenciamiento
Si la residencia de datos está habilitada, las configuraciones que definen las reglas de silenciamiento (recursos muteConfig
) están sujetas al control de residencia de datos y se almacenan en una ubicación de Security Command Center que selecciones.
Para aplicar una regla de silenciamiento a los resultados de una ubicación de Security Command Center, debes crearla en la misma ubicación que los resultados a los que se aplica.
Debido a que los filtros que se usan en las reglas de silenciamiento pueden contener datos sujetos a controles de residencia, asegúrate de especificar la ubicación correcta antes de crearlos. Security Command Center no restringe la ubicación en la que creas reglas de silenciamiento ni exportaciones de transmisión continua.
Las reglas de silencio se almacenan solo en la ubicación en la que se crean y no se pueden ver ni editar en otras ubicaciones.
Después de crear una regla de silenciamiento, no puedes cambiar su ubicación. Para cambiar la ubicación, debes borrar la regla de silenciamiento y volver a crearla en la ubicación nueva.
Para ver las reglas de silenciamiento en la consola de Google Cloud, primero debes configurar la vista de la consola de Google Cloud en la ubicación en la que se crearon.
Las mismas reglas se aplican a la representación de la API de una regla de silenciamiento, MuteConfig
.
Para recuperar un MuteConfig
con llamadas a la API, debes especificar la ubicación en el nombre de recurso completo del MuteConfig
. Por ejemplo:
GET https://securitycenter.googleapis.com/v2/organizations/123/locations/eu/muteConfigs/my-mute-rule-01
De manera similar, para recuperar un muteConfig
con gcloud CLI, puedes especificar la ubicación con la marca --location
. Por ejemplo:
gcloud scc muteconfigs list --organization=123 --location=us
Crea una regla de silenciamiento
Tu organización puede crear un máximo de 1,000 reglas de silenciamiento.
Puedes crear reglas de silenciamiento estáticas o dinámicas con la consola de Google Cloud, gcloud CLI o la API de Security Command Center. Te recomendamos que uses reglas de silencio dinámicas exclusivamente en tus configuraciones de reglas de silencio, ya que son más flexibles que las reglas de silencio estáticas. Para obtener una comparación de los tipos de reglas de silenciamiento, consulta Tipos de reglas de silenciamiento.
Para obtener un código de muestra que cree una regla de silenciamiento, consulta Crea una regla de silenciamiento.
Para crear una regla de silenciamiento, haz clic en la pestaña del procedimiento que desees usar:
Console
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
Haz clic en Opciones para silenciar y, luego, selecciona Administrar reglas de silenciamiento.
Haz clic en Crear regla de silenciamiento y, luego, selecciona Regla de silenciamiento dinámico o Regla de silenciamiento estático. Para obtener más información sobre los tipos de reglas de silenciamiento, consulta Tipos de reglas de silenciamiento.
Ingresa un ID de regla de silenciamiento. Es obligatorio ingresar este valor.
Ingresa una descripción de la regla de silenciamiento que proporcione contexto de los motivos por los que se silencian los resultados. Este valor es opcional, pero se recomienda.
El recurso superior indica el alcance con el que se creará y aplicará la regla de silenciamiento.
Si estás creando una regla de silenciamiento estática o una regla de silenciamiento dinámico sin vencimiento, continúa con el siguiente paso. Si creas una regla de silenciamiento dinámico para silenciar resultados temporalmente, sigue estos pasos:
- Selecciona la casilla de verificación Silenciar los resultados coincidentes temporalmente.
- Selecciona o ingresa la fecha de vencimiento de la regla de silenciamiento dinámico. Este valor indica durante cuánto tiempo la regla silenciará los resultados que coincidan.
En el campo Consulta de resultados, haz clic en Agregar filtro para compilar tus sentencias de consulta. Como alternativa, puedes escribir las sentencias de consulta de forma manual.
El diálogo Seleccionar filtro te permite elegir atributos y valores admitidos de resultados.
- Selecciona un atributo de resultado o escribe su nombre en el cuadro Buscar atributos de los hallazgos. Aparecerá una lista de los atributos secundarios disponibles.
- Selecciona un atributo secundario. Aparecerá un campo de selección en el que puedes crear la sentencia de consulta con el atributo secundario que seleccionaste, un operador de consulta y uno o más valores para el atributo secundario.
- Selecciona el operador y uno o más valores para el atributo secundario en el panel. Para obtener más información sobre los operadores de consulta y las funciones que usan, consulta Operadores de consulta en el menú Agregar filtros.
- Haz clic en Aplicar.
Se cerrará el cuadro de diálogo y se actualizará tu consulta.
- Repite hasta que la consulta de los resultados contenga todos los atributos que deseas.
Revisa el filtro para ver si es preciso. Para realizar cambios, borra o agrega propiedades y filtra los valores según sea necesario.
Haz clic en Obtener una vista previa de los resultados de coincidencias.
En una tabla, se muestran los resultados que coinciden con tu consulta.
Haz clic en Guardar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para crear reglas de silenciamiento, ejecuta el comando
gcloud scc muteconfigs create
:gcloud scc muteconfigs create CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description="RULE_DESCRIPTION" \ --filter="FILTER" \ --type=MUTE_TYPE \ --expiry-time=TIMESTAMP
Reemplaza lo siguiente:
CONFIG_ID
: Es el nombre de la regla de silenciamiento. El ID debe usar caracteres alfanuméricos y guiones, y tener entre 1 y 63 caracteres.PARENT
: Es el permiso en la jerarquía de recursos al que se aplica la regla de silenciamiento,organization
,folder
oproject
.PARENT_ID
: El ID numérico de la organización, la carpeta o el proyecto superior, o el ID alfanumérico del proyecto superior.LOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se creará una regla de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.RULE_DESCRIPTION
: Una descripción de la regla de silenciamiento de no más de 1,024 caracteres.FILTER
: Es la expresión que defines para filtrar los resultados. Por ejemplo, para silenciar los resultados deOPEN_FIREWALL
, tu filtro puede serFILTER="category=\"OPEN_FIREWALL\""
.MUTE_TYPE
: Es el tipo de regla de silenciamiento que deseas crear. Los tipos de reglas de silenciamiento válidos sonDYNAMIC
ySTATIC
. El tipo de regla de silenciamiento se establece enSTATIC
de forma predeterminada. No puedes cambiar el tipo de una regla de silenciamiento después de crearla.TIMESTAMP
: Solo se aplica si creas una regla de silenciamiento dinámica. Es la cadena de fecha y hora que indica cuándo vence la regla de silenciamiento dinámico. El valor debe establecerse en, al menos, un día en el futuro, o se rechazará la solicitud. Para obtener información sobre los formatos de hora, consultagcloud topic datetimes
. Cuando vence una regla de silenciamiento dinámico, se quita de todos los resultados coincidentes. Si deseas que la regla de silenciamiento dinámico actúe de forma indefinida en los resultados que coincidan, omite este campo.
La respuesta incluye el ID de la regla de silenciamiento que puedes usar para ver, actualizar y borrar reglas de silenciamiento, como se describe en Administra reglas de silenciamiento.
Go
Java
Python
REST
En la API de Security Command Center, usa el método muteConfigs.create
para crear una regla de silenciamiento. El cuerpo de la solicitud es una instancia de MuteConfig
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "MUTE_TYPE", "expiryTime": "TIMESTAMP" }
Reemplaza lo siguiente:
PARENT
: El recurso superior de la regla de silenciamiento (organizations
,folders
oprojects
)PARENT_ID
: El ID de la organización, la carpeta o el proyecto superiorLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se creará una regla de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.MUTE_CONFIG_ID
: El nombre de la regla de silenciamiento (entre 1 y 63 caracteres)RULE_DESCRIPTION
: Una descripción de la regla de silenciamiento (máximo: 1,024 caracteres)FILTER
: Es la expresión que defines para filtrar los resultados.Por ejemplo, para silenciar los resultados de
OPEN_FIREWALL
, tu filtro puede ser"category=\"OPEN_FIREWALL\""
.MUTE_TYPE
: Es el tipo de regla de silenciamiento que deseas crear. Los tipos de reglas de silenciamiento válidos sonDYNAMIC
ySTATIC
. No puedes cambiar el tipo de una regla de silenciamiento después de crearla.TIMESTAMP
: Solo se aplica si creas una regla de silenciamiento dinámica. Es la cadena de fecha y hora que indica cuándo vence la regla de silenciamiento dinámico. El valor debe establecerse en, al menos, un día en el futuro, o se rechazará la solicitud. Para obtener información sobre los formatos de hora, consultagcloud topic datetimes
. Cuando vence una regla de silenciamiento dinámico, se quita de todos los resultados coincidentes. Si deseas que la regla de silenciamiento dinámico actúe de forma indefinida en los resultados que coincidan, omite este campo.
La respuesta incluye el ID de configuración de silenciamiento que puedes usar para ver, actualizar y borrar reglas de silenciamiento, como se describe en Administra reglas de silenciamiento.
Los resultados nuevos que coinciden con exactitud con el filtro se ocultan y el atributo mute
de los resultados se establece en MUTED
.
Propiedades de resultados no compatibles con las reglas de silenciamiento
Las reglas de silenciamiento no son compatibles con todas las propiedades de resultados en los filtros. Las siguientes propiedades no son compatibles con los filtros de reglas de silenciamiento.
createTime
eventTime
mute
mute_initiator
mute_update_time
name
parent
security_marks
source_properties
state
Muestra una lista de reglas de silenciamiento
Puedes generar una lista de las reglas de silenciamiento en una organización, carpeta o proyecto con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Tu capacidad para enumerar reglas de silenciamiento para un alcance determinado depende de los permisos que se otorgan a tus roles de IAM.
Si la residencia de datos está habilitada para Security Command Center, el alcance del comando list también se limita a la ubicación de Security Command Center seleccionada.
Para ver un código de muestra que enumere las reglas de silenciamiento, consulta Cómo enumerar las reglas de silenciamiento.
Para enumerar las reglas de silenciamiento de una organización, carpeta o proyecto, haz clic en la pestaña del procedimiento que deseas usar:
Console
En la consola de Google Cloud, ve a la pestaña Reglas de silencio en la página Configuración de Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
En la sección Reglas de silencio, verás detalles de las reglas de silenciamiento activas, incluidas las siguientes:
- Nombre: ID de la regla de silenciamiento
- Recurso superior: El recurso en el que reside la regla de silenciamiento
- Descripción: La descripción de la regla de silenciamiento, si está disponible
- Última actualización por: La principal que actualizó por última vez la regla
- Última actualización: La fecha y hora en que se actualizó la regla por última vez
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para enumerar las reglas de silenciamiento, ejecuta el comando
gcloud scc muteconfigs list
:gcloud scc muteconfigs list --PARENT=PARENT_ID \ --location=LOCATION
Reemplaza lo siguiente:
PARENT
: Elorganization
,folder
oproject
superior para el que se enumeran las reglas de silenciamientoPARENT_ID
: El ID de la organización, la carpeta o el proyecto superiorLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se enumeran las reglas de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.
Go
Java
Python
REST
En la API de Security Command Center, usa el método muteConfigs.list
para enumerar las reglas de silenciamiento:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs
Reemplaza lo siguiente:
PARENT
: El recurso superior de la regla de silenciamiento (organizations
,folders
oprojects
)PARENT_ID
: El ID de la organización, la carpeta o el proyecto superiorLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se enumeran las reglas de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.
La respuesta incluye los nombres, las descripciones y los ID de configuración de silenciamiento de tus reglas de silenciamiento.
Cómo ver la configuración de una regla de silenciamiento
Puedes ver la configuración de una regla de silenciamiento con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Para ver un código de muestra que recupera una configuración de regla de silenciamiento, consulta Cómo ver una regla de silenciamiento.
Para ver la configuración de una regla de silenciamiento, haz clic en la pestaña del procedimiento que desees usar:
Console
En la consola de Google Cloud, ve a la pestaña Reglas de silencio en la página Configuración de Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
En la sección Reglas de silencio, verás una lista de reglas de silenciamiento.
Haz clic en el nombre de la regla que deseas ver.
Se abrirá una página con la configuración de la regla de silenciamiento.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para ver la configuración de una regla de silenciamiento, ejecuta el comando
gcloud scc muteconfigs get
:gcloud scc muteconfigs get MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Reemplaza lo siguiente:
MUTE_CONFIG_ID
: Es el ID de la regla de silenciamiento.PARENT
: El recurso superior de la regla de silenciamiento (organization
,folder
oproject
)PARENT_ID
: El ID de la organización, la carpeta o el proyectoLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se debe ver la configuración de la regla de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.
Go
Java
Python
REST
En la API de Security Command Center, usa el método muteConfigs.get
para mostrar la configuración de una regla de silenciamiento:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Reemplaza lo siguiente:
PARENT
: El recurso superior de la regla de silenciamiento (organizations
,folders
oprojects
)PARENT_ID
: El ID de la organización, la carpeta o el proyectoLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se debe ver la configuración de la regla de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.CONFIG_ID
: Es el ID numérico de la regla de silenciamiento
Actualiza reglas de silenciamiento
Puedes actualizar la descripción o el filtro de búsqueda de una regla de silenciamiento con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
No puedes cambiar el ID, la organización, la carpeta o el proyecto superiores, ni la ubicación de una regla de silenciamiento. Para cambiar cualquiera de estos valores, debes crear una regla de silenciamiento nueva.
Si dejaste de silenciar los resultados, se volverán a silenciar si coinciden con una regla de silenciamiento actualizada en la consola de Google Cloud. Para obtener más información, consulta Cómo dejar de silenciar resultados individuales.
Para ver un código de muestra que actualiza una regla de silenciamiento, consulta Actualiza una regla de silenciamiento.
Para actualizar una regla de silenciamiento, haz clic en la pestaña del procedimiento que desees usar:
Console
En la consola de Google Cloud, ve a la pestaña Reglas de silencio en la página Configuración de Security Command Center.
Selecciona la organización o el proyecto de Google Cloud que es el recurso superior de la regla de silenciamiento que deseas modificar.
Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
Haz clic en el nombre de la regla de silenciamiento que deseas modificar.
Si no seleccionaste el proyecto o la organización adecuados, es posible que veas una nota en la que se te informe que no tienes permiso para modificar la regla de silenciamiento.
Ingresa una descripción nueva y haz clic en Guardar.
En el caso de las reglas de silenciamiento dinámicas, actualiza o cambia el tiempo de vencimiento de la regla.
Actualiza o cambia el filtro.
Para obtener instrucciones, consulta Crea reglas de silenciamiento.
Para ver los resultados que coinciden con el filtro actualizado, haz clic en Obtener una vista previa de los resultados de coincidencias.
Se cargará una tabla con los resultados que coinciden con la consulta nueva.
Haz clic en Guardar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para actualizar las reglas de silenciamiento, ejecuta el comando
gcloud scc muteconfigs update
:gcloud scc muteconfigs update MUTE_CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description=RULE_DESCRIPTION \ --filter=FILTER --type=MUTE_TYPE \ --expiry-time=TIMESTAMP
Reemplaza lo siguiente:
MUTE_CONFIG_ID
: Es el ID de la regla de silenciamiento.PARENT
: El recurso superior de la regla de silenciamiento (organization
,folder
oproject
).PARENT_ID
: El ID de la organización, la carpeta o el proyecto.LOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se actualizará la regla de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.RULE_DESCRIPTION
: Es una descripción de la regla de silenciamiento (máx.: 1,024 caracteres).FILTER
: Es la expresión que defines para filtrar los resultados.Por ejemplo, para silenciar los resultados de
OPEN_FIREWALL
, tu filtro podría serFILTER="category=\"OPEN_FIREWALL\""
.MUTE_TYPE
: El tipo de regla de silenciamiento que deseas actualizar. Los tipos de reglas de silenciamiento válidos sonDYNAMIC
ySTATIC
. No puedes cambiar el tipo de una regla de silenciamiento una vez que la creaste.TIMESTAMP
: Solo se aplica si actualizas una regla de silenciamiento dinámica. Es la cadena de fecha y hora que indica cuándo vence la regla de silenciamiento dinámico. El valor debe establecerse en, al menos, un día en el futuro, o se rechazará la solicitud. Para obtener información sobre los formatos de hora, consultagcloud topic datetimes
. Cuando vence una regla de silenciamiento dinámico, se quita de todos los resultados coincidentes. Si deseas que la regla de silenciamiento dinámico actúe de forma indefinida en los resultados que coincidan, omite este campo.
Go
Java
Python
REST
En la API de Security Command Center, usa el método muteConfigs.patch
para actualizar una regla de silenciamiento. El cuerpo de la solicitud es una instancia de MuteConfig
:
PATCH https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "MUTE_TYPE", "expiryTime": "TIMESTAMP" }
Reemplaza lo siguiente:
PARENT
: El recurso superior de la regla de silenciamiento (organizations
,folders
oprojects
)PARENT_ID
: El ID de la organización, la carpeta o el proyectoLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se actualizará la regla de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.CONFIG_ID
: Es el ID numérico de la regla de silenciamientoRULE_DESCRIPTION
: Una descripción de la regla de silenciamiento (máximo: 1,024 caracteres)FILTER
: Es la expresión que defines para filtrar los resultadosPor ejemplo, para silenciar los resultados de
OPEN_FIREWALL
, tu filtro puede ser"category=\"OPEN_FIREWALL\""
.MUTE_TYPE
: El tipo de regla de silenciamiento que deseas actualizar. Los tipos de reglas de silenciamiento válidos sonDYNAMIC
ySTATIC
. No puedes cambiar el tipo de una regla de silenciamiento una vez que la creaste.TIMESTAMP
: Solo se aplica si actualizas una regla de silenciamiento dinámica. Es la cadena de fecha y hora que indica cuándo vence la regla de silenciamiento dinámico. El valor debe establecerse en, al menos, un día en el futuro, o la solicitud se rechazará. Para obtener información sobre los formatos de hora, consultagcloud topic datetimes
. Cuando vence una regla de silencio dinámico, se quita de todos los resultados coincidentes. Si deseas que la regla de silenciamiento dinámico actúe de forma indefinida en los resultados coincidentes, omite este campo.
Los resultados nuevos que coinciden con exactitud con el filtro se ocultan y el atributo mute
de los resultados se establece en MUTED
.
Borra reglas de silenciamiento
Puedes borrar una regla de silenciamiento con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Antes de borrar reglas de silenciamiento, debes comprender lo siguiente:
- No puedes recuperar las reglas de silenciamiento borradas.
- Si borras las reglas de silenciamiento estáticas, no se dejarán de silenciar automáticamente los resultados que están silenciados. Debes dejar de silenciar los resultados de manera manual o programática.
- Si borras las reglas de silenciamiento dinámicas, se quitará automáticamente la regla de todos los resultados que coincidan con la regla anterior y se dejarán de silenciar si no coinciden con ninguna regla adicional.
- No se silencian los resultados futuros que coincidan con los filtros de las reglas de silenciamiento borradas.
Para ver un código de muestra que borra una regla de silenciamiento, consulta Borra una regla de silenciamiento.
Para borrar una regla de silenciamiento, haz clic en la pestaña del procedimiento que deseas usar:
Console
En la consola de Google Cloud, ve a la pestaña Reglas de silencio en la página Configuración de Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
Haz clic en el nombre de la regla de silenciamiento que deseas borrar.
Haz clic en delete Borrar.
Lee el cuadro de diálogo y, si estás de acuerdo, haz clic en Borrar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para borrar reglas de silenciamiento, ejecuta el comando
gcloud scc muteconfigs delete
:gcloud scc muteconfigs delete MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Reemplaza lo siguiente:
MUTE_CONFIG_ID
: Es el ID de la configuración de silenciamientoPARENT
: El recurso superior de la regla de silenciamiento (organization
,folder
oproject
)PARENT_ID
: El ID de la organización, la carpeta o el proyectoLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se debe borrar la regla de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.
Confirma tu solicitud para borrar la regla de silenciamiento.
Go
Java
Python
REST
En la API de Security Command Center, usa el método muteConfigs.delete
para borrar una regla de silenciamiento:
DELETE https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Reemplaza lo siguiente:
PARENT
: El recurso superior de la regla de silenciamiento (organizations
,folders
oprojects
)PARENT_ID
: El ID de la organización, la carpeta o el proyectoLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se debe borrar la regla de silenciamiento. Si la residencia de datos no está habilitada, usa el valorglobal
.CONFIG_ID
: Es el ID numérico de la regla de silenciamiento
Cómo silenciar un resultado individual
Puedes silenciar de forma estática un hallazgo individual con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Silenciar un hallazgo de forma estática no afecta si está activo o no. Si se silencia un resultado activo, el atributo state
no se modifica: state="ACTIVE"
. El resultado se oculta, pero permanece activo hasta que se resuelve la vulnerabilidad, la configuración incorrecta o la amenaza subyacentes. Además, si silencias un resultado de forma estática, se anularán las reglas de silenciamiento dinámico que se apliquen a él.
Si silencias un hallazgo de combinación tóxica, se cerrará el caso correspondiente.
Para silenciar todos los resultados futuros que coincidan con los criterios que especifiques, consulta Cómo crear reglas de silenciamiento.
Para obtener un código de muestra para silenciar un hallazgo, consulta Cómo silenciar un hallazgo.
Para silenciar de forma estática un resultado individual, haz clic en la pestaña del procedimiento que deseas usar:
Console
En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
Si no ves el hallazgo que necesitas silenciar en el panel Resultados de la búsqueda, selecciona la categoría del hallazgo en la sección Categoría del panel Filtros rápidos.
Selecciona la casilla de verificación junto al resultado que deseas silenciar. Puedes seleccionar uno o más resultados.
En la barra de acciones de los resultados de la búsqueda de hallazgos, haz clic en Opciones para silenciar y, luego, selecciona Aplicar anulación de silenciamiento.
El atributo
mute
para los resultados seleccionados se establece enMUTED
y el resultado se quita del panel Resultados de la búsqueda de resultados.
Como alternativa, puedes silenciar un resultado desde su panel de detalles:
- En el panel Resultados de la búsqueda de la página Resultados, en la columna Categoría, haz clic en el nombre de un hallazgo individual. Se abrirá el panel de detalles del resultado.
- Haz clic en Tomar medidas.
En el menú Tomar medidas, selecciona Aplicar anulación de silenciamiento.
Si seleccionas Silenciar resultados como este, se abrirá la página Crear regla de silenciamiento, en la que puedes crear una regla de silenciamiento para resultados del mismo tipo o que incluyan el mismo atributo
Indicator
.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para establecer el estado de silenciamiento de un resultado en
MUTED
, usa el comandoset-mute
en la CLI de gcloud:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=MUTED
Reemplaza lo siguiente:
FINDING_ID
: Es el ID del resultado que deseas silenciarPara recuperar los IDs de resultados, usa la API de Security Command Center para mostrar una lista de resultados. El ID de búsqueda es la última parte del atributo
canonicalName
, por ejemplo,projects/123456789012/sources/1234567890123456789/findings`/5ee30aa342e799e4e1700826de053aa9
.PARENT
: El recurso superior (project
,folder
oorganization
), distingue entre mayúsculas y minúsculas.PARENT_ID
: El ID de la organización, la carpeta o el proyecto superiorLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se silenciará el resultado. Si la residencia de datos no está habilitada, usa el valorglobal
.SOURCE_ID
: El ID de origenPara obtener instrucciones sobre cómo recuperar un ID de origen, consulta Obtén el ID de origen.
Go
Java
Python
REST
En la API de Security Command Center, usa el método findings.setMute
para silenciar un resultado. El cuerpo de la solicitud es una enumeración que indica el estado de silenciamiento resultante:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "MUTED" }
Reemplaza lo siguiente:
PARENT
: El recurso superior (organizations
,folders
oprojects
).PARENT_ID
: El ID de la organización, la carpeta o el proyecto superior.LOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se silenciará el resultado. Si la residencia de datos no está habilitada, usa el valorglobal
.SOURCE_ID
: Es el ID numérico del origen.Para obtener instrucciones sobre cómo recuperar un ID de origen, consulta Obtén el ID de origen.
FINDING_ID
: Es el ID del resultado que deseas silenciar.Para recuperar los IDs de resultados, usa la API de Security Command Center para mostrar una lista de resultados. El ID de búsqueda es la última parte del atributo
canonicalName
, por ejemplo,projects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.
Después de silenciar un resultado, su atributo mute
se establece en MUTED
.
Deja de silenciar resultados individuales
Puedes desactivar de forma estática un hallazgo individual con la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Desactivar el silenciamiento de un resultado es útil cuando necesitas evitar que una regla de silenciamiento demasiado amplia o una regla que podría ser demasiado compleja para modificarla excluya los resultados que consideras importantes.
Para obtener un código de muestra para activar un hallazgo, consulta Cómo activar un hallazgo.
Los resultados que se dejaron de silenciar se vuelven a silenciar solo si se silencian de forma manual. Las reglas de silenciamiento creadas con gcloud CLI o la API de Security Command Center no afectarán los resultados que los usuarios dejen de silenciar.
Para obtener un código de muestra que desactive un hallazgo, consulta Cómo desactivar un hallazgo.
Console
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
Se abrirá la página Hallazgos con la consulta predeterminada que se muestra en la sección Vista previa de la consulta. La consulta predeterminada filtra los resultados silenciados, por lo que debes editarla antes de que aparezcan en el panel Resultados de la consulta de resultados.
Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
A la derecha de la sección Vista previa de la consulta, haz clic en Editar consulta para abrir el editor de consultas.
En el campo Editor de consultas, reemplaza la sentencia de silenciamiento existente por lo siguiente:
mute="MUTED"
Haz clic en Aplicar. Los resultados del panel Resultados de la búsqueda se actualizan para incluir solo los resultados silenciados.
Si es necesario, filtra otros resultados silenciados. Por ejemplo, en el panel Filtros rápidos, en Categoría, selecciona el nombre del hallazgo que necesitas activar para filtrar todas las demás categorías de hallazgos.
Selecciona la casilla de verificación junto al resultado que deseas dejar de silenciar. Puedes seleccionar uno o más resultados.
En la barra de acciones Resultados de la búsqueda de hallazgos, haz clic en Opciones para silenciar y, luego, selecciona Aplicar anulación para dejar de silenciar.
El atributo
mute
para los resultados seleccionados se establece enUNMUTED
y el resultado se quita del panel Resultados de la búsqueda de resultados.
Como alternativa, puedes activar un resultado desde su panel de detalles:
- En el panel Resultados de la búsqueda de la página Resultados, en la columna Categoría, haz clic en el nombre de un hallazgo individual. Se abrirá el panel de detalles del resultado.
- Haz clic en Tomar medidas.
- En el menú Tomar medidas, selecciona Aplicar anulación de silenciamiento.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para establecer el estado de silenciamiento de un resultado en
UNMUTED
, usa el comandoset-mute
en la CLI de gcloud:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=UNMUTED
Reemplaza lo siguiente:
FINDING_ID
: Es el ID del resultado que deseas silenciarPara recuperar los IDs de resultados, usa la API de Security Command Center para mostrar una lista de resultados. El ID de búsqueda es la última parte del atributo
canonicalName
, por ejemplo,projects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.PARENT
: El recurso superior (project
,folder
oorganization
), distingue entre mayúsculas y minúsculas.PARENT_ID
: El ID de la organización, la carpeta o el proyecto superiorLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se debe activar el hallazgo. Si la residencia de datos no está habilitada, usa el valorglobal
.SOURCE_ID
: El ID de origenPara obtener instrucciones sobre cómo recuperar un ID de origen, consulta Obtén el ID de origen.
Go
Java
Python
REST
En la API de Security Command Center, usa el método findings.setMute
para activar un resultado. El cuerpo de la solicitud es una enumeración que indica el estado de silenciamiento resultante:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
Reemplaza lo siguiente:
PARENT
: El recurso superior (organizations
,folders
oprojects
)PARENT_ID
: El ID de la organización, la carpeta o el proyecto superiorLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se debe activar el hallazgo. Si la residencia de datos no está habilitada, usa el valorglobal
.SOURCE_ID
: Es el ID numérico del origenPara obtener instrucciones sobre cómo recuperar un ID de origen, consulta Obtén el ID de origen.
FINDING_ID
: Es el ID del resultado que deseas silenciar.Para recuperar los IDs de resultados, usa la API de Security Command Center para mostrar una lista de resultados. El ID de búsqueda es la última parte del atributo
canonicalName
, por ejemplo,projects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.
Los resultados seleccionados ya no están ocultos y el atributo mute
para los resultados se establece en UNMUTED
.
Quita una anulación de estado de silenciamiento de resultados individuales
Aplicas una anulación del estado de silenciamiento cuando modificas de forma intencional el estado de silenciamiento de un resultado para silenciarlo o reactivarlo de forma estática. Por ejemplo, es posible que desees aplicar una anulación de estado de silenciamiento para ocultar un hallazgo de gravedad baja para el que no vale la pena crear una regla de silenciamiento dinámica.
Puedes quitar una anulación de estado silenciado de un hallazgo individual con la consola de Google Cloud, la gcloud CLI o la API de Security Command Center.
Antes de quitar la anulación del estado de silenciamiento de un hallazgo, ten en cuenta lo siguiente:
- Un hallazgo tiene una anulación de estado de silenciamiento si está silenciado o activado de forma estática. Puedes aplicar una anulación de estado de silenciamiento a cualquier resultado de forma manual o automática con reglas de silenciamiento estáticas.
- Una anulación de estado de silenciamiento se aplica a un resultado de forma indefinida y tiene prioridad sobre cualquier regla de silenciamiento coincidente.
- Si quitas la anulación del estado de silenciamiento de un resultado, se restablece el estado de silenciamiento del resultado para que pueda procesarse con reglas de silenciamiento estáticas o dinámicas.
- Quitar la anulación del estado de silenciamiento de un hallazgo es diferente a dejar de silenciarlo. Cuando dejas de silenciar un resultado (aplicas una anulación de silenciamiento), las reglas de silenciamiento no pueden silenciar ese resultado hasta que quites manualmente la anulación del estado de silenciamiento.
Para quitar la anulación de silenciamiento de un resultado individual, sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona tu organización o proyecto de Google Cloud.
Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
A la derecha de la sección Vista previa de la consulta, haz clic en Editar consulta para abrir el editor de consultas.
En el campo Editor de consultas, reemplaza la sentencia de silenciamiento existente por lo siguiente:
mute="MUTED" OR mute="UNMUTED"
Haz clic en Aplicar. Los resultados del panel Resultados de la búsqueda se actualizan para incluir los resultados silenciados y no silenciados de forma estática.
Si es necesario, filtra otros resultados. Por ejemplo, en el panel Filtros rápidos, en Categoría, selecciona el nombre del hallazgo que debes restablecer para filtrar todas las demás categorías de hallazgos.
Selecciona la casilla de verificación junto al resultado que deseas restablecer. Puedes seleccionar uno o más resultados.
En la barra de acciones Resultados de la búsqueda de hallazgos, haz clic en Opciones para silenciar y, luego, selecciona Quitar anulaciones de silenciamiento.
El atributo
mute
para los resultados seleccionados se establece enUNDEFINED
y el resultado se quita del panel Resultados de la búsqueda de resultados.
Como alternativa, puedes activar un resultado desde su panel de detalles:
- En el panel Resultados de la búsqueda de la página Resultados, en la columna Categoría, haz clic en el nombre de un hallazgo individual. Se abrirá el panel de detalles del resultado.
- Haz clic en Tomar medidas.
- En el menú Tomar medidas, selecciona Quitar anulaciones de silenciamiento.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para establecer el estado de silenciamiento de un resultado en
UNDEFINED
, usa el comandoset-mute
en la CLI de gcloud:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=UNDEFINED
Reemplaza lo siguiente:
FINDING_ID
: Es el ID del resultado que deseas restablecer.A fin de recuperar los ID de resultados, usa la API de Security Command Center para mostrar una lista de resultados. El ID de búsqueda es la última parte del atributo
canonicalName
, por ejemplo,projects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.PARENT
: El recurso superior (project
,folder
oorganization
), distingue entre mayúsculas y minúsculas.PARENT_ID
: El ID de la organización, la carpeta o el proyecto superiorLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se quitará la anulación del estado silenciado de un resultado. Si la residencia de datos no está habilitada, usa el valorglobal
.SOURCE_ID
: El ID de origenPara obtener instrucciones sobre cómo recuperar un ID de origen, consulta Obtén el ID de origen.
REST
En la API de Security Command Center, usa el método findings.setMute
para restablecer el estado de silenciamiento de un resultado. El cuerpo de la solicitud es una enumeración que indica el estado de silenciamiento resultante:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNDEFINED" }
Reemplaza lo siguiente:
PARENT
: El recurso superior (organizations
,folders
oprojects
)PARENT_ID
: El ID de la organización, la carpeta o el proyecto superiorLOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se quitará la anulación del estado silenciado de un resultado. Si la residencia de datos no está habilitada, usa el valorglobal
.SOURCE_ID
: Es el ID numérico del origen
Cómo silenciar o restablecer varios resultados existentes
Puedes realizar las siguientes operaciones de silenciamiento masivo para varios resultados existentes
mediante el comando gcloud scc findings bulk-mute
de gcloud CLI o el método bulkMute
de la
API de Security Command Center:
Silenciar varios resultados existentes Si silencias los resultados existentes de forma masiva, se silenciarán de forma estática y se anularán las reglas de silenciamiento dinámicas que se apliquen al resultado. Si necesitas silenciar resultados futuros similares, crea una regla de silenciamiento.
Se quitó la anulación del estado de silenciamiento en varios hallazgos existentes. Si quitas la anulación del estado de silenciamiento de un hallazgo, restableces el estado de silenciamiento de
MUTED
(silenciado de forma estática) oUNMUTED
(desactivado de forma estática) aUNDEFINED
. Esta función puede ser útil si migras de reglas de silenciamiento estáticas a dinámicas.
Especifica el conjunto de resultados que necesitas silenciar definiendo un filtro de resultados. Los filtros de silenciamiento masivo no son compatibles con todas las propiedades de los resultados. Para obtener una lista de las propiedades no compatibles, consulta Propiedades de resultados no compatibles con las reglas de silenciamiento.
Si la residencia de datos está habilitada para Security Command Center, las operaciones de silenciamiento masivo se limitan en el alcance a la ubicación de Security Command Center en la que se ejecutan.
Para ver un código de muestra que silencia resultados de forma masiva, consulta Cómo silenciar resultados de forma masiva.
Para silenciar o restablecer resultados de forma masiva, haz clic en la pestaña del procedimiento que deseas usar:
Console
En la consola de Google Cloud, solo puedes silenciar de forma masiva los resultados mediante la creación de reglas de silencio. En la consola de Google Cloud, la creación de reglas de silencio silencia los resultados existentes y futuros.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para silenciar o restablecer varios resultados de forma masiva, ejecuta el comando
gcloud scc findings bulk-mute
:gcloud scc findings bulk-mute \ --PARENT=PARENT_ID \ --location=LOCATION \ --filter="FILTER" \ --mute-state=MUTE_STATE
Reemplaza lo siguiente:
PARENT
: Es el permiso en la jerarquía de recursos al que se aplica la regla de silenciamiento,organization
,folder
oproject
.PARENT_ID
: El ID numérico de la organización, la carpeta o el proyecto superior, o el ID alfanumérico del proyecto superior.LOCATION
: Si la residencia de datos está habilitada, la ubicación de Security Command Center en la que se silenciarán o restablecerán los resultados de forma masiva. Si la residencia de datos no está habilitada, usa el valorglobal
.FILTER
: Es la expresión que defines para filtrar los resultados.Por ejemplo, para silenciar todos los resultados
OPEN_FIREWALL
yPUBLIC_IP_ADDRESS
de gravedad baja existentes en el proyectointernal-test
, el filtro puede ser"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.projectDisplayName=\"internal-test\""
.MUTE_STATE
: Es el valor que indica si el resultado está silenciado de forma estática o no. Los valores válidos sonMUTED
yUNDEFINED
. El valor se establece enMUTED
de forma predeterminada. Solo establece este valor enUNDEFINED
si restableces el estado de silenciamiento de varios resultados existentes.
REST
En la API de Security Command Center, usa el método findings.bulkMute
para silenciar o restablecer el estado de silenciamiento de varios resultados existentes. El cuerpo de la solicitud contiene la expresión que se usa para filtrar los resultados:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/findings:bulkMute { "filter": "FILTER", "muteState": "MUTE_STATE" }
Reemplaza lo siguiente:
PARENT
: El recurso superior (organizations
,folders
oprojects
).PARENT_ID
: El ID de la organización, la carpeta o el proyecto superior.LOCATION
: Si la residencia de datos está habilitada, es la ubicación de Security Command Center en la que se silencian o restablecen los resultados de forma masiva. Si la residencia de datos no está habilitada, usa el valorglobal
.FILTER
: Es la expresión que defines para filtrar los resultados.Por ejemplo, para silenciar todos los resultados
OPEN_FIREWALL
yPUBLIC_IP_ADDRESS
de gravedad baja existentes en el proyectointernal-test
, el filtro puede ser"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.projectDisplayName=\"internal-test\""
.MUTE_STATE
: Es el valor que indica si el resultado está silenciado o no. Los valores válidos sonMUTED
oUNDEFINED
. El valor se establece enMUTED
de forma predeterminada. Solo establece este valor enUNDEFINED
si restableces el estado de silenciamiento de varios resultados existentes.
Se ocultan todos los resultados existentes en el recurso que selecciones y que coincidan con exactitud con el filtro. El atributo mute
para los resultados se establece en MUTED
.
Silenciar los resultados no cambia su estado. Si silencias los resultados activos, se ocultan, pero permanecen activos hasta que se resuelven las vulnerabilidades, las configuraciones incorrectas o las amenazas subyacentes.
Cómo ver los resultados silenciados en la consola de Google Cloud
Para ver los resultados silenciados en la consola de Google Cloud, edita la consulta de resultados para seleccionar los resultados que incluyen el valor de propiedad mute="MUTED"
.
Por ejemplo, la siguiente consulta de resultados solo muestra los resultados activos que están silenciados:
state="ACTIVE"
AND mute="MUTED"
Para mostrar todos los hallazgos activos, silenciados y no silenciados, omite el atributo mute
de la consulta por completo:
state="ACTIVE"
De forma predeterminada, la consulta de resultados en la consola de Google Cloud solo muestra los resultados que no están silenciados.
Cómo ver los resultados silenciados por tipo de regla de silenciamiento
En las siguientes secciones, se describe cómo consultar los resultados activos por tipo de regla de silenciamiento.
Para obtener más información sobre cómo mostrar una lista de resultados específicos, consulta Cómo filtrar resultados.
Consulta los resultados silenciados por reglas de silenciamiento estáticas
Para mostrar los resultados activos que se silenciaron con una regla de silenciamiento estática después de un tiempo especificado, usa la siguiente consulta y, luego, inspecciona el atributo muteInitiator
para determinar si el resultado se silenció con una regla de silenciamiento estática.
state="ACTIVE" AND
muteInfo.staticMute.applyTime>=TIMESTAMP AND
muteInfo.staticMute.state="MUTED"
Reemplaza TIMESTAMP
por la cadena de fecha y hora que indica el comienzo del período que deseas consultar. Para obtener información sobre los formatos de hora, consulta gcloud topic datetimes
.
Resultados de la búsqueda silenciados por reglas de silenciamiento dinámico
Para mostrar los resultados activos que se silenciaron con una regla de silenciamiento dinámica después de un tiempo especificado, usa la siguiente consulta:
state="ACTIVE" AND
muteUpdateTime>=TIMESTAMP AND
contains(muteInfo.dynamicMuteRecords, muteConfig="PARENT_ID/muteConfigs/CONFIG_ID")
Reemplaza lo siguiente:
TIMESTAMP
: Es la cadena de fecha y hora que indica el comienzo del período que deseas consultar. Para obtener información sobre los formatos de hora, consultagcloud topic datetimes
.PARENT_ID
: El ID de la organización, la carpeta o el proyecto superior, especificado en el formatoorganizations/123
,folders/456
oprojects/789
.CONFIG_ID
: Es el nombre de la regla de silenciamiento. El ID debe usar caracteres alfanuméricos y guiones, y tener entre 1 y 63 caracteres.
Para obtener más información sobre cómo editar consultas de resultados, consulta Cómo crear o editar una consulta de resultados en el panel.
Cómo encontrar propiedades relacionadas con el silenciamiento
En esta sección, se enumeran las propiedades de los resultados que se relacionan con el estado de silenciamiento de un resultado y se describe cómo se ven afectadas por las operaciones de silenciamiento:
mute
: Se establece enUNDEFINED
cuando se crean los resultados y se modifican en las siguientes situaciones:MUTED
: Un resultado se silencia de forma manual o mediante una regla de silencio.UNMUTED
: Un usuario deja de silenciar un resultado.
muteUpdateTime
: Es el momento en el que se silencia o se deja de silenciar un resultado.muteInitiator
: Es el identificador de la regla principal o de silenciamiento que silencia un resultado.muteInfo
: Información de silenciamiento sobre el resultado, como el tipo de regla de silenciamiento (estático o dinámico) y con qué reglas de silenciamiento coincidió el resultadomuteInfo.staticMute
: Un estado de silenciamiento estático anula cualquier regla de silenciamiento dinámico que se aplique a este resultado.state
: Es un estado de silenciamiento estático que se puede configurar silenciando el resultado directamente o con una regla de silenciamiento estático.applyTime
: Es la hora en la que se aplicó el estado de silenciamiento estático al hallazgo.
muteInfo.dynamicMuteRecords
: Es el registro de una regla de silenciamiento dinámica que coincide con el resultado.muteConfig:
es el nombre de recurso relativo de la regla de silenciamiento, representado por la configuración de silenciamiento que creó el registro. Por ejemplo,organizations/123/muteConfigs/examplemuteconfig
matchTime
: Es el momento en que una regla de silenciamiento dinámico coincidió con el resultado.
Detén las notificaciones y exportaciones de resultados silenciados
Si habilitas las notificaciones de resultados, los resultados silenciados nuevos o actualizados que coincidan con tus filtros de notificaciones se seguirán exportando a Pub/Sub.
Para detener las exportaciones y las notificaciones de los resultados silenciados, usa el atributo mute
para excluir los resultados silenciados en tu filtro NotificationConfig
.
Por ejemplo, el siguiente filtro solo envía notificaciones de los resultados activos que no estén silenciados o en los que el atributo de silenciamiento no se haya establecido:
FILTER="state=\"ACTIVE\" AND -mute=\"MUTED\""
¿Qué sigue?
Obtén más información para filtrar notificaciones de resultados.
Consulta más ejemplos de filtros que puedes usar.