In questa pagina viene spiegato come ridurre il volume dei risultati che ricevi in Security Command Center disattivando i risultati.
La disattivazione di un risultato lo nasconde dalla visualizzazione predefinita dei risultati nella console Google Cloud. Puoi disattivare i risultati manualmente o in modo programmatico e creare filtri per silenziare automaticamente i risultati esistenti e futuri in base ai criteri da te specificati.
I servizi di rilevamento di Security Command Center forniscono ampie valutazioni di sicurezza del tuo deployment Google Cloud, ma potresti scoprire che alcuni risultati non sono appropriati o pertinenti per la tua organizzazione o i tuoi progetti. Un volume elevato di risultati può inoltre rendere difficile per gli analisti della sicurezza identificare e risolvere in modo efficace i rischi più critici. La disattivazione dei risultati consente di risparmiare tempo, perché non consente di esaminare o rispondere ai risultati sulla sicurezza per gli asset isolati o che rientrano nei parametri aziendali accettabili.
La disattivazione dei risultati offre diversi vantaggi rispetto alla disattivazione dei rilevatori:
- Puoi creare filtri personalizzati per ottimizzare i risultati disattivati.
- La disattivazione dei risultati non impedisce l'analisi degli asset sottostanti. I risultati vengono comunque generati, ma rimangono nascosti finché non decidi di visualizzarli.
Autorizzazioni
Per disattivare i risultati, devi disporre di uno dei seguenti ruoli IAM (Identity and Access Management) a livello di organizzazione, cartella o progetto:
- Visualizza le regole di disattivazione:
- Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer
) - Security Center Settings Viewer (
roles/securitycenter.settingsViewer
) (Visualizzatore impostazioni Centro sicurezza) - Visualizzatore configurazioni di disattivazione Centro sicurezza
(
roles/securitycenter.muteConfigsViewer
)
- Visualizzatore amministratore Centro sicurezza (
- Visualizza, crea, aggiorna ed elimina le regole di disattivazione:
- Amministratore Centro sicurezza (
roles/securitycenter.admin
) - Editor amministratore Centro sicurezza (
roles/securitycenter.adminEditor
) - Editor impostazioni del Centro sicurezza
(
roles/securitycenter.settingsEditor
) - Editor configurazioni di disattivazione del Centro sicurezza
(
roles/securitycenter.muteConfigsEditor
)
- Amministratore Centro sicurezza (
- Disattiva manualmente i risultati:
- Editor risultati Centro sicurezza
(
roles/securitycenter.findingsEditor
)
- Editor risultati Centro sicurezza
(
Puoi anche creare e concedere ruoli personalizzati con alcune o tutte le seguenti autorizzazioni:
- Autorizzazioni di lettura delle regole di disattivazione
securitycenter.muteconfigs.get
securitycenter.muteconfigs.list
- Autorizzazioni di scrittura delle regole di disattivazione
securitycenter.muteconfigs.create
securitycenter.muteconfigs.update
securitycenter.muteconfigs.delete
- Individuazione delle autorizzazioni di scrittura
securitycenter.findings.setMute
securitycenter.findings.bulkMuteUpdate
La possibilità di disattivare i risultati è conforme ai ruoli concessi a livello di organizzazione, cartella o progetto. Puoi disattivare i risultati in cartelle o progetti specifici e limitare la possibilità di altri di disattivarli in base all'accesso concesso. Ad esempio, se hai accesso a un singolo progetto, puoi disattivare solo i risultati di quel progetto. Se hai accesso a una cartella, puoi disattivare i risultati in qualsiasi sottocartella o progetto all'interno della cartella.
Per scoprire di più sui ruoli di Security Command Center, vedi Controllo dell'accesso.
Creare e gestire le regole di disattivazione
Le regole di disattivazione sono configurazioni di Security Command Center che utilizzano i filtri che crei per disattivare automaticamente i risultati futuri in base ai criteri da te specificati. I nuovi risultati che corrispondono ai filtri di disattivazione vengono disattivati automaticamente e su base continuativa. Se vuoi disattivare anche risultati simili esistenti, utilizza gli stessi filtri per disattivare collettivamente i risultati.
Ambito delle regole di disattivazione
Quando crei i filtri, considera l'ambito di una regola di disattivazione.
Ad esempio, se viene scritto un filtro per disattivare i risultati in Project A
, ma il filtro viene creato in Project B
, il filtro potrebbe non corrispondere ad alcun risultato.
Analogamente, se è abilitata la residenza dei dati, l'ambito di una regola di disattivazione è limitato alla località di Security Command Center in cui è stata creata la regola. Ad esempio, se crei una regola di disattivazione nella località degli Stati Uniti (us
), la regola non disattiva i risultati archiviati nelle località dell'Unione Europea (eu
) o Globale (global
).
Per saperne di più sulla residenza dei dati e sulle regole di disattivazione, consulta Disattiva regole, esportazioni continue e residenza dei dati.
Per ulteriori informazioni sulla creazione di filtri, consulta la sezione Filtro delle notifiche.
Limitazioni delle regole di disattivazione
Le regole di disattivazione non supportano tutte le proprietà dei risultati. Per un elenco delle proprietà che le regole di disattivazione non supportano, consulta Proprietà dei risultati non supportate per le regole di disattivazione.
Puoi creare, visualizzare, aggiornare ed eliminare le regole di disattivazione in base all'ambito dei tuoi ruoli IAM. Con i ruoli a livello di organizzazione, sono disponibili le regole di disattivazione per tutte le cartelle e i progetti. Se disponi di ruoli a livello di cartella, puoi accedere e gestire le regole di disattivazione per cartelle specifiche e per tutte le sottocartelle e i progetti al loro interno. I ruoli a livello di progetto consentono di gestire le regole di disattivazione in progetti specifici.
Security Command Center Premium supporta la concessione dei ruoli a livello di organizzazione, cartella e progetto. Security Command Center Standard supporta solo la concessione dei ruoli a livello di organizzazione. Per ulteriori informazioni, vedi Controllo dell'accesso.
Residenza dei dati e regole di disattivazione
Se la residente dei dati
è abilitata, le configurazioni che definiscono le regole di disattivazione
(muteConfig
risorse) sono soggette al controllo della residenza dei dati e vengono archiviate in una
località di Security Command Center
selezionata da te.
Per applicare una regola di disattivazione ai risultati in una località di Security Command Center, devi creare la regola di disattivazione nella stessa località dei risultati a cui si applica.
Poiché i filtri utilizzati nelle regole di disattivazione possono contenere dati soggetti a controlli di residenza, assicurati di specificare la posizione corretta prima di crearli. Security Command Center non limita la località in cui crei regole di disattivazione o in cui crei flussi di esportazioni.
Le regole di disattivazione vengono archiviate solo nella località in cui sono state create e non possono essere visualizzate o modificate in altre posizioni.
Dopo aver creato una regola di disattivazione, non puoi modificarne la posizione. Per modificare la località, devi eliminare la regola di disattivazione e ricrearla nella nuova posizione.
Per visualizzare le regole di disattivazione nella console Google Cloud, devi prima impostare la visualizzazione della console Google Cloud sulla località in cui sono state create.
Le stesse regole si applicano alla rappresentazione API di una regola di disattivazione MuteConfig
.
Per recuperare un MuteConfig
mediante le chiamate API,
devi specificare la località nel nome completo della risorsa di
MuteConfig
. Ad esempio:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/muteConfigs/my-mute-rule-01}
Analogamente, per recuperare un elemento muteConfig
mediante
gcloud CLId, puoi specificare la posizione
utilizzando il flag --locations
. Ad esempio:
gcloud scc muteconfigs list --organizations=123 --location=us
Crea regola di disattivazione
La tua organizzazione può creare un massimo di 1000 regole di disattivazione.
Puoi creare una regola di disattivazione utilizzando la console Google Cloud, gcloud CLI o l'API Security Command Center.
Per codice campione che crea una regola di disattivazione, consulta l'articolo Creare una regola di disattivazione.
Per creare una regola di disattivazione, fai clic sulla scheda relativa alla procedura che vuoi utilizzare:
Console
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Se la residenza dei dati è abilitata per Security Command Center, utilizza il selettore di località direttamente sotto il selettore dei progetti per selezionare la località di Security Command Center in cui creare la regola di disattivazione. Ad esempio:
Fai clic su Opzioni di disattivazione, quindi seleziona Crea regola di disattivazione.
Inserisci un ID regola di disattivazione. Questo valore è obbligatorio.
Inserisci una descrizione della regola di disattivazione che fornisca il contesto per spiegare perché i risultati vengono disattivati. Questo valore è facoltativo ma consigliato.
La risorsa padre indica l'ambito in cui verrà creata e applicata la regola di disattivazione.
Nel campo Query dei risultati, crea le tue istruzioni per la query facendo clic su Aggiungi filtro. In alternativa, puoi digitare le istruzioni della query manualmente.
La finestra di dialogo Seleziona filtro ti consente di scegliere attributi e valori dei risultati supportati.
- Seleziona un attributo dei risultati o digitane il nome nella casella Cerca attributi dei risultati. Viene visualizzato un elenco degli attributi secondari disponibili.
- Seleziona un attributo secondario. Un campo di selezione per le opzioni di valutazione viene visualizzato sopra un elenco dei valori degli attributi secondari trovati nei risultati nel riquadro Risultati della query dei risultati.
- Seleziona un'opzione di valutazione per i valori dell'attributo secondario selezionato. Per saperne di più sulle opzioni di valutazione, sugli operatori e sulle funzioni che utilizzano, consulta Operatori di query nel menu Aggiungi filtri.
- Seleziona Applica.
La finestra di dialogo si chiude e la query viene aggiornata.
- Ripeti finché la query dei risultati non contiene tutti gli attributi desiderati.
Controlla l'accuratezza del filtro. Per apportare modifiche, elimina o aggiungi proprietà e filtra i valori in base alle tue esigenze.
Fai clic su Anteprima dei risultati corrispondenti.
Una tabella mostra i risultati corrispondenti alla query.
Fai clic su Salva.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per creare regole di disattivazione, esegui il comando
gcloud scc muteconfigs create
:gcloud scc muteconfigs create CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description="RULE_DESCRIPTION" \ --filter="FILTER"
Sostituisci quanto segue:
CONFIG_ID
: il nome della regola di disattivazione. L'ID deve contenere caratteri alfanumerici e trattini e avere una lunghezza compresa tra 1 e 63 caratteri.PARENT
: l'ambito nella gerarchia delle risorse a cui si applica la regola di disattivazione,organization
,folder
oproject
.PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padre specificato nel formatoorganizations/123
,folders/456
oprojects/789
.LOCATION
: se la residenza dei dati è abilitata, specifica la località di Security Command Center in cui creare la regola di disattivazione. La configurazione della regola di disattivazione viene archiviata e si applica ai risultati solo in questa località.Se la residenza dei dati non è abilitata, specificando il flag
--location
viene creata la regola di disattivazione utilizzando l'API Security Command Center v2 e l'unico valore valido per il flag èglobal
.RULE_DESCRIPTION
: una descrizione della regola di disattivazione di non più di 1024 caratteri.FILTER
: l'espressione che definisci per filtrare i risultati. Ad esempio, per disattivareOPEN_FIREWALL
risultati, il filtro può essereFILTER="category=\"OPEN_FIREWALL\""
.
La risposta include l'ID della regola di disattivazione, che puoi utilizzare per visualizzare, aggiornare ed eliminare le regole di disattivazione, come descritto in Gestire le regole di disattivazione.
Go
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Java
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Python
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
API REST
Nell'API Security Command Center, utilizza il metodo muteConfigs create
per creare una regola di disattivazione. Il corpo della richiesta è un'istanza di MuteConfig
.
A meno che la residenza dei dati non sia abilitata, puoi utilizzare la versione 1 o 2 dell'API Security Command Center. L'API v2 è disponibile come release di anteprima. Se la residenza dei dati è abilitata, l'unica API disponibile è API v2.
Se utilizzi l'API Security Command Center v1, usa l'endpoint versione 1 per chiamare muteConfigs create
.
Nel corpo della richiesta, utilizza la definizione della versione 1 MuteConfig:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": FILTER }
Se usi l'API Security Command Center v2, usa l'endpoint versione 2
per chiamare muteConfigs create
.
Nel corpo della richiesta, utilizza la definizione della versione 2 MuteConfig:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": FILTER "type": "STATIC" }
Sostituisci quanto segue:
PARENT
: la risorsa padre per la regola di disattivazione (organizations
,folders
oprojects
)PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padreLOCATION
: solo per v2, specifica la località di Security Command Center in cui si applica la regola di disattivazione. Se il campo della località viene omesso, il valore predefinito èglobal
.MUTE_CONFIG_ID
: il nome della regola di disattivazione (compreso tra 1 e 63 caratteri)RULE_DESCRIPTION
: una descrizione della regola di disattivazione (massimo 1024 caratteri)FILTER
: l'espressione che definisci per filtrare i risultatiAd esempio, per disattivare
OPEN_FIREWALL
risultati, il filtro può essere"category=\"OPEN_FIREWALL\""
.
La risposta include l'ID configurazione di disattivazione, che puoi utilizzare per visualizzare, aggiornare ed eliminare le regole di disattivazione, come descritto in Gestire le regole di disattivazione.
I nuovi risultati che corrispondono esattamente al filtro vengono nascosti e l'attributo mute
dei risultati è impostato su MUTED
.
Proprietà dei risultati non supportate per le regole di disattivazione
Le regole di disattivazione non supportano tutte le proprietà dei risultati nei filtri. Le seguenti proprietà non sono supportate nei filtri delle regole di disattivazione.
createTime
eventTime
mute
mute_initiator
mute_update_time
name
parent
security_marks
source_properties
state
Elenca regole di disattivazione
Puoi elencare le regole di disattivazione in un'organizzazione, una cartella o un progetto utilizzando la console Google Cloud, gcloud CLI o l'API Security Command Center.
La possibilità di elencare le regole di disattivazione per un determinato ambito dipende dalle autorizzazioni concesse ai tuoi ruoli IAM.
Se la residenza dei dati è abilitata per Security Command Center, l'ambito del comando list è limitato anche alla posizione di Security Command Center selezionata.
Per codice campione che elenca le regole di disattivazione, consulta Elencare le regole di disattivazione.
Per elencare le regole di disattivazione per un'organizzazione, una cartella o un progetto, fai clic sulla scheda relativa alla procedura che vuoi utilizzare:
Console
Nella console Google Cloud, vai alla scheda Regole di disattivazione nella pagina Impostazioni di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Se la residenza dei dati è abilitata per Security Command Center, utilizza il selettore di località direttamente sotto il selettore dei progetti per selezionare la località di Security Command Center in cui è archiviata la regola di disattivazione. Ad esempio:
Nella sezione Regole di disattivazione, puoi vedere i dettagli delle regole di disattivazione attive, tra cui:
- Nome: disattiva l'ID regola
- Risorsa padre: la risorsa in cui si trova la regola di disattivazione.
- Descrizione: la descrizione della regola di disattivazione, se disponibile
- Ultimo aggiornamento da: l'entità che ha aggiornato per ultimo la regola
- Ultimo aggiornamento: la data e l'ora dell'ultimo aggiornamento della regola.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per elencare le regole di disattivazione, esegui il comando
gcloud scc muteconfigs list
:gcloud scc muteconfigs list --PARENT=PARENT_ID --location=LOCATION
Sostituisci quanto segue:
PARENT
:organization
,folder
oproject
principale di cui elencare le regole di disattivazionePARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padreLOCATION
: se la residenza dei dati è abilitata, specifica la località di Security Command Center in cui elencare le regole di disattivazione.Se la residenza dei dati non è abilitata, specificando il flag
--location
vengono elencate le regole di disattivazione utilizzando l'API Security Command Center v2 e l'unico valore valido per il flag èglobal
.
Go
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Java
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Python
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
API REST
Nell'API Security Command Center, utilizza il metodo muteConfigs list
per elencare le regole di disattivazione. Il corpo della richiesta è vuoto.
A meno che la residenza dei dati non sia abilitata, puoi utilizzare la versione 1 o 2 dell'API Security Command Center. L'API v2 è disponibile come release di anteprima. Se la residenza dei dati è abilitata, l'API v2 è l'unica API disponibile.
Se utilizzi l'API Security Command Center v1, usa l'endpoint v1
per
chiamare muteConfigs list
:
GET https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs
Se utilizzi l'API Security Command Center v2, usa l'endpoint v2
per
chiamare muteConfigs list
:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs
Sostituisci quanto segue:
PARENT
: la risorsa padre per la regola di disattivazione (organizations
,folders
oprojects
)PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padreLOCATION
: solo per v2, specifica la località di Security Command Center per la quale elencare le regole di disattivazione. Se il campo della località viene omesso, il valore predefinito èglobal
.
La risposta include i nomi, le descrizioni e gli ID configurazione di disattivazione delle regole di disattivazione.
Visualizzare la configurazione di una regola di disattivazione
Puoi visualizzare la configurazione di una regola di disattivazione utilizzando la console Google Cloud, gcloud CLI o l'API Security Command Center.
Per codice campione che recupera la configurazione di una regola di disattivazione, consulta Visualizzare una regola di disattivazione.
Per visualizzare la configurazione di una regola di disattivazione, fai clic sulla scheda relativa alla procedura che vuoi utilizzare:
Console
Nella console Google Cloud, vai alla scheda Regole di disattivazione nella pagina Impostazioni di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Se la residenza dei dati è abilitata per Security Command Center, utilizza il selettore di località direttamente sotto il selettore dei progetti per selezionare la località di Security Command Center della regola di disattivazione. Ad esempio:
Nella sezione Regole di disattivazione, viene visualizzato un elenco di queste regole.
Fai clic sul nome della regola che vuoi visualizzare.
Si apre una pagina con la configurazione della regola di disattivazione.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per visualizzare la configurazione di una regola di disattivazione, esegui il comando
gcloud scc muteconfigs get
:gcloud scc muteconfigs get MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Sostituisci quanto segue:
MUTE_CONFIG_ID
: l'ID della regola di disattivazionePARENT
: la risorsa padre per la regola di disattivazione (organization
,folder
oproject
)PARENT_ID
: l'ID dell'organizzazione, della cartella o del progettoLOCATION
: se la residenza dei dati è abilitata, specifica la località di Security Command Center in cui è archiviata la regola di disattivazione. Il valore predefinito èglobal
.Se la residenza dei dati non è abilitata, la specifica del flag
--location
genera la regola di disattivazione utilizzando l'API Security Command Center v2 e l'unico valore valido per il flag èglobal
.
Go
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Java
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Python
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
API REST
Nell'API Security Command Center, utilizza il metodo muteConfigs get
per restituire la configurazione di una regola di disattivazione. Il corpo della richiesta è vuoto.
Per ottenere il CONFIG_ID
per una regola di disattivazione, esegui prima una chiamata API per
elencare le regole di disattivazione.
La risposta include gli ID configurazione per le regole di disattivazione restituite.
A meno che la residenza dei dati non sia abilitata, puoi utilizzare la versione 1 o 2 dell'API Security Command Center. L'API v2 è disponibile come release di anteprima. Se la residenza dei dati è abilitata, l'API v2 è l'unica API disponibile.
Se utilizzi l'API Security Command Center v1, usa l'endpoint v1
per chiamare muteConfigs get
:
GET https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID
Se utilizzi l'API Security Command Center v2, usa l'endpoint v2
per chiamare muteConfigs get
:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Sostituisci quanto segue:
PARENT
: la risorsa padre per la regola di disattivazione (organizations
,folders
oprojects
)PARENT_ID
: l'ID dell'organizzazione, della cartella o del progettoLOCATION
: solo per v2, specifica la località di Security Command Center in cui è archiviata la regola di disattivazione. Se il campo della località viene omesso, il valore predefinito èglobal
.CONFIG_ID
: l'ID numerico della regola di disattivazione
Aggiorna le regole di disattivazione
Puoi aggiornare la descrizione o il filtro di ricerca di una regola di disattivazione utilizzando la console Google Cloud, gcloud CLI o l'API Security Command Center.
Non puoi modificare l'ID, l'organizzazione, la cartella o il progetto padre né la posizione di una regola di disattivazione. Per modificare uno qualsiasi di questi valori, devi creare una nuova regola di disattivazione.
Se in precedenza hai riattivato i risultati, verranno disattivati di nuovo se corrispondono a una regola di disattivazione aggiornata nella console Google Cloud. Per ulteriori informazioni, consulta I risultati riattivati sostituiscono le regole di disattivazione.
Per codice campione che aggiorna una regola di disattivazione, consulta Aggiornare una regola di disattivazione.
Per aggiornare una regola di disattivazione, fai clic sulla scheda relativa alla procedura che vuoi utilizzare:
Console
Nella console Google Cloud, vai alla scheda Regole di disattivazione nella pagina Impostazioni di Security Command Center.
Seleziona il progetto o l'organizzazione Google Cloud che rappresenta la risorsa padre per la regola di disattivazione da modificare.
Se la residenza dei dati è abilitata per Security Command Center, utilizza il selettore di località direttamente sotto il selettore dei progetti per selezionare la località di Security Command Center della regola di disattivazione. Ad esempio:
Fai clic sul nome della regola di disattivazione che vuoi modificare.
Se non hai selezionato l'organizzazione o il progetto appropriati, potresti visualizzare una nota che ti informa che non hai l'autorizzazione per modificare la regola di disattivazione.
Inserisci una nuova descrizione e fai clic su Salva.
Aggiorna o modifica il filtro.
Per le istruzioni, vedi Creare regole di disattivazione.
Per visualizzare i risultati che corrispondono al filtro aggiornato, fai clic su Anteprima dei risultati corrispondenti.
Viene caricata una tabella con i risultati che corrispondono alla nuova query.
Fai clic su Salva.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per aggiornare le regole di disattivazione, esegui il comando
gcloud scc muteconfigs update
:gcloud scc muteconfigs update MUTE_CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description=RULE_DESCRIPTION \ --filter=FILTER
Sostituisci quanto segue:
MUTE_CONFIG_ID
: l'ID della regola di disattivazione.PARENT
: la risorsa padre per la regola di disattivazione (organization
,folder
oproject
).PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto.LOCATION
: se la residenza dei dati è abilitata, specifica la località di Security Command Center in cui è archiviata la regola di disattivazione. Il valore predefinito èglobal
.Se la residenza dei dati non è abilitata, specificando il flag
--location
viene aggiornata la configurazione della regola di disattivazione mediante l'API Security Command Center v2 e l'unico valore valido per il flag èglobal
.RULE_DESCRIPTION
: una descrizione della regola di disattivazione (massimo 1024 caratteri).FILTER
: l'espressione che definisci per filtrare i risultati.Ad esempio, per disattivare
OPEN_FIREWALL
risultati, il filtro potrebbe essereFILTER="category=\"OPEN_FIREWALL\""
.
Go
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Java
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Python
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
API REST
Nell'API Security Command Center, utilizza il metodo muteConfigs patch
per aggiornare una regola di disattivazione. Il corpo della richiesta è un'istanza di MuteConfig
.
Per ottenere CONFIG_ID
per una regola di disattivazione, esegui una chiamata API per
elencare le regole di disattivazione.
La risposta include gli ID configurazione per le regole di disattivazione restituite.
A meno che la residenza dei dati non sia abilitata, puoi utilizzare la versione 1 o 2 dell'API Security Command Center. L'API v2 è disponibile come release di anteprima. Se la residenza dei dati è abilitata, l'API v2 è l'unica API disponibile.
Se utilizzi l'API Security Command Center v1, usa l'endpoint v1
per
chiamare muteConfigs patch
:
PATCH https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", }
Se utilizzi l'API Security Command Center v2, usa l'endpoint v2
per
chiamare muteConfigs patch
:
PATCH https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "STATIC" }
Sostituisci quanto segue:
PARENT
: la risorsa padre per la regola di disattivazione (organizations
,folders
oprojects
)PARENT_ID
: l'ID dell'organizzazione, della cartella o del progettoLOCATION
: solo per v2, specifica la località di Security Command Center in cui è archiviata la regola di disattivazione. Se il campo della località viene omesso, il valore predefinito èglobal
.CONFIG_ID
: l'ID numerico della regola di disattivazioneRULE_DESCRIPTION
: una descrizione della regola di disattivazione (massimo 1024 caratteri)FILTER
: l'espressione che definisci per filtrare i risultatiAd esempio, per disattivare
OPEN_FIREWALL
risultati, il filtro può essere"category=\"OPEN_FIREWALL\""
.
I nuovi risultati che corrispondono esattamente al filtro vengono nascosti e l'attributo mute
per i risultati è impostato su MUTED
.
L'aggiornamento delle regole di disattivazione non riattiva automaticamente i risultati disattivati dalle regole precedenti. Devi attivare manualmente i risultati.
Elimina regole di disattivazione
Puoi eliminare una regola di disattivazione utilizzando la console Google Cloud, gcloud CLI o l'API Security Command Center.
Prima di eliminare le regole di disattivazione, tieni presente quanto segue:
- Non puoi recuperare le regole di disattivazione eliminate.
- L'eliminazione delle regole di disattivazione non riattiva automaticamente i risultati disattivati. Devi riattivare i risultati manualmente o in modo programmatico.
- I risultati futuri che corrispondono ai filtri nelle regole di disattivazione eliminate non vengono disattivati.
Per codice campione che elimina una regola di disattivazione, consulta Eliminare una regola di disattivazione.
Per eliminare una regola di disattivazione, fai clic sulla scheda relativa alla procedura che vuoi utilizzare:
Console
Nella console Google Cloud, vai alla scheda Regole di disattivazione nella pagina Impostazioni di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Se la residenza dei dati è abilitata per Security Command Center, utilizza il selettore di località direttamente sotto il selettore dei progetti per selezionare la località di Security Command Center in cui è archiviata la regola di disattivazione. Ad esempio:
Fai clic sul nome della regola di disattivazione che vuoi eliminare.
Fai clic su delete Elimina.
Leggi la finestra di dialogo e, se soddisfatto, fai clic su Elimina.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per eliminare le regole di disattivazione, esegui il comando
gcloud scc muteconfigs delete
:gcloud scc muteconfigs delete MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Sostituisci quanto segue:
MUTE_CONFIG_ID
: l'ID della configurazione di disattivazionePARENT
: la risorsa padre per la regola di disattivazione (organization
,folder
oproject
)PARENT_ID
: l'ID dell'organizzazione, della cartella o del progettoLOCATION
: se la residenza dei dati è abilitata, specifica la località di Security Command Center in cui è archiviata la configurazione della regola di disattivazione. Il valore predefinito èglobal
.Se la residenza dei dati non è abilitata, specificando il flag
--location
viene eliminata la regola di disattivazione utilizzando la versione 2 dell'API Security Command Center e l'unico valore valido per il flag èglobal
.
Conferma la richiesta di eliminazione della regola di disattivazione.
Go
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Java
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Python
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
API REST
Nell'API Security Command Center, utilizza il metodo muteConfigs delete
per eliminare una regola di disattivazione. Il corpo della richiesta è vuoto.
Per ottenere il CONFIG_ID
per una regola di disattivazione, esegui una chiamata API per
elencare le regole di disattivazione.
La risposta include gli ID configurazione per le regole di disattivazione restituite.
A meno che la residenza dei dati non sia abilitata, puoi utilizzare la versione 1 o 2 dell'API Security Command Center. L'API v2 è disponibile come release di anteprima. Se la residenza dei dati è abilitata, l'API v2 è l'unica API disponibile.
Se utilizzi l'API Security Command Center v1, usa l'endpoint v1
per chiamare muteConfigs delete
:
DELETE https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID
Se utilizzi l'API Security Command Center v2, usa l'endpoint v2
per chiamare muteConfigs delete
:
DELETE https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Sostituisci quanto segue:
PARENT
: la risorsa padre per la regola di disattivazione (organizations
,folders
oprojects
)PARENT_ID
: l'ID dell'organizzazione, della cartella o del progettoLOCATION
: solo per v2, specifica la località di Security Command Center in cui è archiviata la regola di disattivazione. Se il campo della località viene omesso, il valore predefinito èglobal
.CONFIG_ID
: l'ID numerico della regola di disattivazione
Disattivare un singolo risultato
Puoi disattivare un singolo risultato utilizzando la console Google Cloud, gcloud CLI o l'API Security Command Center.
Per codice campione per disattivare un risultato, consulta Disattivare un risultato.
Per disattivare un singolo risultato, fai clic sulla scheda per la procedura che vuoi utilizzare:
Console
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Se la residenza dei dati è abilitata per Security Command Center, utilizza il selettore di località direttamente sotto il selettore dei progetti per selezionare la località del risultato di Security Command Center. Ad esempio:
Se non vedi il risultato da disattivare nel riquadro Risultati query dei risultati, seleziona la categoria del risultato nella sezione Categoria del riquadro Filtri rapidi.
Seleziona la casella di controllo accanto al risultato da disattivare. Puoi selezionare uno o più risultati.
Nella barra delle azioni Risultati della query dei risultati, fai clic su Opzioni di disattivazione, quindi seleziona Disattiva.
L'attributo
mute
dei risultati selezionati è impostato suMUTED
e il risultato viene rimosso dal riquadro Risultati della query dei risultati.
In alternativa, puoi disattivare un risultato dal relativo riquadro dei dettagli:
- Nel riquadro Ricerca dei risultati della query della pagina Risultati, nella colonna Categoria, fai clic sul nome di un singolo risultato. Si apre il riquadro dei dettagli del risultato.
- Fai clic su Intervieni.
Dal menu Esegui un'azione, seleziona Disattiva.
Se invece selezioni Disattiva risultati come questo, si apre la pagina Crea regola di disattivazione, in cui puoi creare una regola di disattivazione per risultati dello stesso tipo o che includono lo stesso attributo
Indicator
.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per impostare lo stato di disattivazione di un risultato su
MUTED
, utilizza il comandoset-mute
in gcloud CLI:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION --source=SOURCE_ID \ --mute=MUTED
Sostituisci quanto segue:
FINDING_ID
: l'ID del risultato che vuoi disattivarePer recuperare gli ID risultato, utilizza l'API Security Command Center per elencare i risultati. L'ID risultato è l'ultima parte dell'attributo
canonicalName
, ad esempio,projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9.PARENT
: la risorsa padre (project
,folder
oorganization
), sensibile alle maiuscolePARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padreLOCATION
: se la residenza dei dati è abilitata, specifica la località di Security Command Center in cui è archiviato il risultato.Se la residenza dei dati non è abilitata, specificando il flag
--location
il risultato viene disattivato utilizzando l'API Security Command Center v2 e l'unico valore valido per il flag èglobal
.SOURCE_ID
: ID sorgentePer istruzioni sul recupero di un ID origine, consulta la sezione Recupero dell'ID origine.
Go
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Java
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Python
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
API REST
Nell'API Security Command Center, utilizza il metodo setMute
per disattivare un
rilevamento. Il corpo della richiesta è un'enumerazione che indica lo stato di disattivazione audio risultante.
A meno che la residenza dei dati non sia abilitata, puoi utilizzare la versione 1 o 2 dell'API Security Command Center. L'API v2 è disponibile come release di anteprima. Se la residenza dei dati è abilitata, l'API v2 è l'unica API disponibile.
Se utilizzi l'API Security Command Center v1, chiama setMute
utilizzando l'endpoint v1
:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/sources/SOURCE_ID/findings/FINDING_ID:setMute { "mute": "MUTED" }
Se utilizzi l'API Security Command Center v2, chiama setMute
utilizzando l'endpoint v2
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "MUTED" }
Sostituisci quanto segue:
PARENT
: la risorsa padre (organizations
,folders
oprojects
).PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto principale.LOCATION
: solo per v2, specifica la località di Security Command Center in cui è archiviato il risultato. Se il campo della località viene omesso, il valore predefinito èglobal
.SOURCE_ID
: l'ID numerico dell'origine.Per istruzioni sul recupero di un ID origine, consulta la sezione Recupero dell'ID origine.
FINDING_ID
: l'ID del risultato che vuoi disattivare.Per recuperare gli ID risultato, utilizza l'API Security Command Center per elencare i risultati. L'ID risultato è l'ultima parte dell'attributo
canonicalName
, ad esempio,projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9.
Dopo aver disattivato un risultato, il relativo attributo mute
viene impostato su MUTED
.
La disattivazione di un risultato non influisce sul fatto che sia attivo o meno. Se un risultato attivo viene disattivato, l'attributo state
rimane invariato:
state="ACTIVE"
. Il risultato è nascosto, ma rimane attivo fino a quando la vulnerabilità, l'errata configurazione o la minaccia non vengono risolte.
Per ulteriori informazioni sulle regole di disattivazione, consulta Creare regole di disattivazione.
Riattivare singoli risultati
Puoi riattivare un singolo risultato utilizzando la console Google Cloud, gcloud CLI o l'API Security Command Center.
Per codice campione per riattivare un risultato, consulta Riattivare un risultato.
Per riattivare un singolo risultato, fai clic sulla scheda della procedura che vuoi utilizzare:
Console
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Si apre la pagina Risultati con la query predefinita visualizzata nella sezione Anteprima query. La query predefinita filtra i risultati disattivati, quindi devi modificare la query prima che i risultati disattivati vengano visualizzati nel riquadro Risultati della query dei risultati.
Se la residenza dei dati è abilitata per Security Command Center, utilizza il selettore di località direttamente sotto il selettore dei progetti per selezionare la località del risultato di Security Command Center. Ad esempio:
A destra della sezione Anteprima query, fai clic su Modifica query per aprire l'Editor di query.
Nel campo Editor di query, sostituisci l'istruzione di disattivazione esistente con la seguente:
mute="MUTED"
Fai clic su Applica. I risultati nel riquadro Risultati della query dei risultati vengono aggiornati in modo da includere solo i risultati disattivati.
Se necessario, filtra altri risultati disattivati. Ad esempio, nel riquadro Filtri rapidi in Categoria, seleziona il nome del risultato che devi riattivare per filtrare tutte le altre categorie.
Seleziona la casella di controllo accanto al risultato da riattivare. Puoi selezionare uno o più risultati.
Nella barra delle azioni Risultati della query dei risultati, fai clic su Opzioni di disattivazione e quindi seleziona Attiva.
L'attributo
mute
dei risultati selezionati è impostato suUNMUTED
e il risultato viene rimosso dal riquadro Risultati della query dei risultati.
In alternativa, puoi riattivare un risultato dal riquadro dei dettagli:
- Nel riquadro Ricerca dei risultati della query della pagina Risultati, nella colonna Categoria, fai clic sul nome di un singolo risultato. Si apre il riquadro dei dettagli del risultato.
- Fai clic su Intervieni.
- Dal menu Esegui azione, seleziona Riattiva audio.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per impostare lo stato di disattivazione di un risultato su
UNMUTED
, utilizza il comandoset-mute
in gcloud CLI:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION --source=SOURCE_ID \ --mute=UNMUTED
Sostituisci quanto segue:
FINDING_ID
: l'ID del risultato che vuoi disattivarePer recuperare gli ID risultato, utilizza l'API Security Command Center per elencare i risultati. L'ID risultato è l'ultima parte dell'attributo
canonicalName
, ad esempio,projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9.PARENT
: la risorsa padre (project
,folder
oorganization
), sensibile alle maiuscolePARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padreLOCATION
: se la residenza dei dati è abilitata, specifica la località di Security Command Center in cui è archiviato il risultato.Se la residenza dei dati non è abilitata e specifichi il flag
--location
, il risultato verrà riattivato utilizzando l'API Security Command Center v2 e l'unico valore valido per il flag èglobal
.SOURCE_ID
: ID sorgentePer istruzioni su come recuperare un ID origine, consulta la sezione Recupero dell'ID origine.
Go
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Java
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Python
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
API REST
Nell'API Security Command Center, utilizza il metodo setMute
per riattivare l'audio di un risultato. Il corpo della richiesta è un'enumerazione che indica lo stato di disattivazione audio risultante.
A meno che la residenza dei dati non sia abilitata, puoi utilizzare la versione 1 o 2 dell'API Security Command Center. L'API v2 è disponibile come release di anteprima. Se la residenza dei dati è abilitata, l'API v2 è l'unica API disponibile.
Se utilizzi l'API Security Command Center v1, chiama setMute
utilizzando l'endpoint v1
:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/sources/SOURCE_ID/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
Se utilizzi l'API Security Command Center v2, chiama setMute
utilizzando l'endpoint v2
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
Sostituisci quanto segue:
PARENT
: la risorsa padre (organizations
,folders
oprojects
)PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padreLOCATION
: solo per v2, specifica la località di Security Command Center in cui è archiviato il risultato. Se il campo della località viene omesso, il valore predefinito èglobal
.SOURCE_ID
: l'ID numerico dell'originePer istruzioni su come recuperare un ID origine, consulta la sezione Recupero dell'ID origine.
FINDING_ID
: l'ID del risultato che vuoi disattivare.Per recuperare gli ID risultato, utilizza l'API Security Command Center per elencare i risultati. L'ID risultato è l'ultima parte dell'attributo
canonicalName
, ad esempio,projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9.
I risultati selezionati non sono più nascosti e l'attributo mute
per i
risultati è impostato su UNMUTED
.
I risultati riattivati sostituiscono le regole di disattivazione
Se un utente riattiva l'audio dei risultati, questi rimarranno riattivati anche se le regole di disattivazione esistenti corrispondono ai risultati. In effetti, la riattivazione dell'audio delle azioni da parte degli utenti sostituisce le regole di disattivazione.
I risultati riattivati vengono disattivati di nuovo solo se un utente disattiva manualmente i risultati o crea una nuova regola di disattivazione corrispondente nella console Google Cloud. Le regole di disattivazione create con gcloud CLI o l'API Security Command Center non influiscono sui risultati riattivati dagli utenti.
Disattiva più risultati esistenti
Puoi disattivare in blocco più risultati esistenti utilizzando il comando gcloud CLI gcloud scc findings bulk-mute
o il metodo bulkMute
dell'API Security Command Center. Per disattivare risultati futuri simili, crea una regola di disattivazione.
Specifica l'insieme di risultati che devi disattivare definendo un filtro di risultati. I filtri di disattivazione collettiva non supportano tutte le proprietà dei risultati. Per un elenco delle proprietà non supportate, consulta Proprietà dei risultati non supportate per le regole di disattivazione.
Se la residenza dei dati è abilitata per Security Command Center, le operazioni di disattivazione collettiva sono limitate all'ambito della località di Security Command Center in cui vengono eseguite.
Per codice campione che disattiva l'audio dei risultati in blocco, consulta Disattiva collettivamente i risultati.
Per disattivare collettivamente i risultati, fai clic sulla scheda relativa alla procedura che vuoi utilizzare:
Console
Nella console Google Cloud, puoi disattivare collettivamente i risultati solo creando regole di disattivazione. Nella console Google Cloud, la creazione di regole di disattivazione silenzia i risultati esistenti e futuri.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per disattivare più risultati in blocco, esegui il comando
gcloud scc findings bulk-mute
:gcloud scc findings bulk-mute --PARENT=PARENT_ID \ --location=LOCATION --filter="FILTER" \
Sostituisci quanto segue:
PARENT
: l'ambito nella gerarchia delle risorse a cui si applica la regola di disattivazione,organization
,folder
oproject
.PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padre specificato nel formatoorganizations/123
,folders/456
oprojects/789
.LOCATION
: se è abilitata la residenza dei dati, specifica la località di Security Command Center in cui disattivare l'audio collettivo dei risultati. Vengono disattivati solo i risultati in questa località.Se la residenza dei dati non è abilitata e specifichi il flag
--location
, i risultati vengono disattivati utilizzando l'API Security Command Center v2 e l'unico valore valido per il flag èglobal
.FILTER
: l'espressione che definisci per filtrare i risultati
Ad esempio, per disattivare tutti i risultati esistenti con gravità
OPEN_FIREWALL
ePUBLIC_IP_ADDRESS
nel progettointernal-test
, il filtro può essere"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.project_display_name=\"internal-test\""
.
Go
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Java
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
Python
L'esempio seguente utilizza l'API v1. Per modificare l'esempio per la versione 2, sostituisci v1
con v2
e aggiungi /locations/LOCATION
al nome della risorsa.
Per la maggior parte delle risorse, aggiungi /locations/LOCATION
al nome della risorsa dopo /PARENT/PARENT_ID
, dove PARENT
è organizations
, folders
o projects
.
Per i risultati, aggiungi /locations/LOCATION
al nome della risorsa dopo /sources/SOURCE_ID
, dove SOURCE_ID
è l'ID del servizio Security Command Center che ha emesso il risultato.
API REST
Nell'API Security Command Center, utilizza il metodo bulkMute
per disattivare più risultati esistenti. Il corpo della richiesta contiene l'espressione utilizzata per
filtrare i risultati.
A meno che la residenza dei dati non sia abilitata, puoi utilizzare la versione 1 o 2 dell'API Security Command Center. L'API v2 è disponibile come release di anteprima. Se la residenza dei dati è abilitata, l'API v2 è l'unica API disponibile.
Se utilizzi l'API Security Command Center v1, chiama bulkMute
utilizzando l'endpoint v1
:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/findings:bulkMute -d { "filter": "FILTER" }
Se utilizzi l'API Security Command Center v2, chiama bulkMute
utilizzando l'endpoint v2
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/findings:bulkMute -d { "filter": "FILTER" }
Sostituisci quanto segue:
PARENT
: la risorsa padre (organizations
,folders
oprojects
).PARENT_ID
: l'ID dell'organizzazione, della cartella o del progetto padre.LOCATION
: solo per la versione 2, specifica la località di Security Command Center in cui sono archiviati i risultati. Se il campo della località viene omesso, il valore predefinito èglobal
.FILTER
: l'espressione che definisci per filtrare i risultati.Ad esempio, per disattivare tutti i risultati esistenti con gravità
OPEN_FIREWALL
ePUBLIC_IP_ADDRESS
nel progettointernal-test
, il filtro può essere"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.project_display_name=\"internal-test\""
.
Tutti i risultati esistenti nella risorsa selezionata e che corrispondono esattamente al filtro sono nascosti. L'attributo mute
dei risultati è impostato su MUTED
.
La disattivazione dei risultati non cambia il loro stato. Se i risultati attivi vengono disattivati, vengono nascosti, ma rimangono attivi finché non vengono risolte le vulnerabilità, le configurazioni o le minacce sottostanti.
Visualizza i risultati disattivati nella console Google Cloud
Puoi visualizzare i risultati disattivati nella console Google Cloud modificando la query dei risultati per selezionare i risultati che includono il valore della proprietà mute="MUTED"
.
Ad esempio, la seguente query sui risultati mostra solo i risultati attivi che sono disattivati:
state="ACTIVE"
AND mute="MUTED"
Per visualizzare tutti i risultati attivi, sia con audio disattivato che con audio riattivato, ometti completamente
l'attributo mute
dalla query:
state="ACTIVE"
Per impostazione predefinita, la query dei risultati nella console Google Cloud mostra solo i risultati non disattivati.
Per ulteriori informazioni sulla modifica delle query sui risultati, consulta Creare o modificare una query dei risultati nella dashboard.
Ricerca delle proprietà correlate alla disattivazione dell'audio
Questa sezione elenca le proprietà dei risultati correlate allo stato di disattivazione di un risultato e descrive in che modo sono interessate dalle operazioni di disattivazione dell'audio:
mute
: il valore viene impostato suUNDEFINED
quando vengono creati i risultati e le modifiche negli scenari seguenti:MUTED
: l'audio di un risultato viene disattivato manualmente o da una regola di disattivazione.UNMUTED
: un utente riattiva l'audio di un risultato.
mute_update_time
: il tempo in cui un risultato viene disattivato o riattivatomute_initiator
: l'identificatore della regola dell'entità o di disattivazione che ha disattivato un risultato
Interrompi le notifiche e le esportazioni dei risultati disattivati
Se abiliti le notifiche sui risultati, i risultati nuovi o aggiornati con audio disattivato che corrispondono ai filtri delle notifiche vengono comunque esportati in Pub/Sub.
Per interrompere le esportazioni e le notifiche per i risultati disattivati, utilizza l'attributo mute
per escludere i risultati disattivati nel filtro NotificationConfig
.
Ad esempio, il seguente
filtro invia notifiche solo per i risultati attivi che non sono disattivati o per cui
l'attributo di disattivazione non è stato impostato:
FILTER="state=\"ACTIVE\" AND -mute=\"MUTED\""
Passaggi successivi
Scopri di più su come filtrare le notifiche sui risultati.
Esamina altri esempi di filtri che puoi utilizzare.