Auf dieser Seite wird erläutert, wie Sie die Anzahl der Ergebnisse, die Sie in Security Command Center erhalten, durch Ausblenden reduzieren.
Überblick
Wenn Sie ein Ergebnis ausblenden, wird es in der Standardansicht der Ergebnisse in der Google Cloud Console ausgeblendet. Sie können Ergebnisse manuell oder programmatisch ausblenden und Filter erstellen, um vorhandene und zukünftige Ergebnisse anhand der von Ihnen angegebenen Kriterien automatisch unterdrückt zu lassen.
Anbieter von Security Command Center-Ergebnissen bieten umfassende Sicherheitsbewertungen für Ihre Google Cloud-Bereitstellung. Möglicherweise finden Sie jedoch, dass bestimmte Ergebnisse für Ihre Organisation oder Projekte nicht geeignet oder relevant sind. Eine große Anzahl von Ergebnissen kann Ihren Sicherheitsanalysten außerdem die effektive Identifizierung und Behebung der größten Risiken erschweren. Durch das Ausblenden von Ergebnissen sparen Sie Zeit, wenn Sie Sicherheitsergebnisse für Assets, die isoliert sind oder in akzeptable Geschäftsparameter fallen, nicht überprüfen oder beantworten.
Ergebnisse im Vergleich zu Zulassungslisten ausblenden
Das Ausblenden von Ergebnissen funktioniert anders als vorhandene Lösungen zur Volume-Verwaltung. Mit Security Health Analytics können Sie spezielle Sicherheitsmarkierungen verwenden, um Assets zu Zulassungslisten hinzuzufügen. Dadurch wird verhindert, dass Detektoren Sicherheitsergebnisse für bestimmte Assets erstellen. In Security Command Center können Sie auch Detektoren deaktivieren.
Das Ausblenden von Ergebnissen hat jedoch mehrere Vorteile gegenüber Zulassungslisten und dem Deaktivieren von Detektoren:
- Sie können Ergebnisse ausblenden, ohne die zugrunde liegenden Assets zu suchen.
- Ergebnisse, die keiner Ressource zugeordnet sind, können ausgeblendet werden.
- Sie können benutzerdefinierte Filter erstellen, um die Ausblendungsfunktion zu optimieren.
- Auch beim Ausblenden von Ergebnissen werden die zugrunde liegenden Assets weiterhin gescannt. Die Ergebnisse werden weiterhin generiert, bleiben jedoch ausgeblendet, bis Sie sie aufrufen.
Berechtigungen
Zum Ausblenden von Ergebnissen benötigen Sie eine der folgenden IAM-Rollen (Identity and Access Management) auf Organisationsebene, Ordner oder Projekt:
- Ausblendungsregeln ansehen:
- Sicherheitscenter-Admin-Betrachter (
roles/securitycenter.adminViewer
) - Sicherheitscenter-Einstellungsbetrachter (
roles/securitycenter.settingsViewer
) - Betrachter von Konfigurationen für Ausblendungen im Sicherheitscenter (
roles/securitycenter.muteConfigsViewer
)
- Sicherheitscenter-Admin-Betrachter (
- Ausblendungsregeln anzeigen, erstellen, aktualisieren und löschen:
- Sicherheitscenter-Administrator (
roles/securitycenter.admin
) - Sicherheitscenter-Administratorbearbeiter (
roles/securitycenter.adminEditor
) - Sicherheitscenter-Einstellungsbearbeiter (
roles/securitycenter.settingsEditor
) - Bearbeiter von Konfigurationen für Ausblendungen im Sicherheitscenter (
roles/securitycenter.muteConfigsEditor
)
- Sicherheitscenter-Administrator (
- Ergebnisse manuell ausblenden:
- Sicherheitscenter-Ergebnisbearbeiter (
roles/securitycenter.findingsEditor
)
- Sicherheitscenter-Ergebnisbearbeiter (
Sie können auch benutzerdefinierte Rollen mit einigen oder allen der folgenden Berechtigungen erstellen und zuweisen:
- Leseberechtigungen für Ausblendungsregeln
securitycenter.muteconfigs.get
securitycenter.muteconfigs.list
- Schreibberechtigungen für Ausblendungsregeln
securitycenter.muteconfigs.create
securitycenter.muteconfigs.update
securitycenter.muteconfigs.delete
- Ergebnis-Schreibberechtigungen
securitycenter.findings.setMute
securitycenter.findings.bulkMuteUpdate
Die Möglichkeit, Ergebnisse auszublenden, entspricht den Rollen, die auf Organisations-, Ordner- oder Projektebene gewährt wurden. Sie können Ergebnisse in bestimmten Ordnern oder Projekten ausblenden und die Möglichkeit anderer Personen, Ergebnisse je nach gewährtem Zugriff auszublenden. Wenn Sie beispielsweise Zugriff auf ein einzelnes Projekt haben, können Sie nur Ergebnisse in diesem Projekt ausblenden. Wenn Sie Zugriff auf einen Ordner haben, können Sie die Ergebnisse in jedem Unterordner oder Projekt in diesem Ordner ausblenden.
Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Ergebnisse ausblenden
Sie können einzelne Ergebnisse manuell ausblenden, mehrere Ergebnisse gleichzeitig mit Bulk-Ausblendungs-Filtern ausblenden oder zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern automatisch unterdrücken mit von Ihnen erstellten Ausblendungsregeln.
Ergebnisse enthalten das Attribut mute
, das auf MUTED
oder UNMUTED
gesetzt sein kann.
Wenn Sie Ergebnisse ausblenden und einblenden, ändern Sie dabei den Wert des Attributs. Weitere Informationen finden Sie unter Attribute für das Ausblenden von Ergebnissen.
Das Ausblenden von Ergebnissen ist für viele Anwendungsfälle relevant, einschließlich der folgenden:
- Assets in Nicht-Produktionsumgebungen, in denen einige strengere Anforderungen nicht anwendbar sind.
- Empfehlungen zur Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Projekten, die keine kritischen Daten enthalten.
- Gewähren eines breiten Zugriffs auf einen Datenspeicher, der absichtlich öffentlich zugänglich ist und öffentliche Informationen bereitstellt.
- Ergebnisse, die auf der Grundlage der Richtlinien Ihres Unternehmens für Ihre Organisation oder Ihr Projekt nicht relevant sind
Ausgeblendete Ergebnisse werden weiterhin zu Prüf- und Compliance-Zwecken protokolliert und können bei Bedarf angezeigt werden. Standardmäßig werden sie jedoch nicht in der Google Cloud Console angezeigt. Außerdem können Sie mit dem Attribut mute
des Ergebnisses ausgeblendete Ergebnisse aus Pub/Sub-Benachrichtigungen und Security Command Center API-Aufrufen filtern.
Einzelne Ergebnisse ausblenden
Sie können ein einzelnes Ergebnis mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API stummschalten.
Beispielcode zum Ausblenden eines Ergebnisses finden Sie unter Ergebnis ausblenden.
Wenn Sie ein einzelnes Ergebnis ausblenden möchten, klicken Sie auf den Tab für das gewünschte Verfahren:
Console
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wenn der Datenstandort für Security Command Center aktiviert ist, verwenden Sie die Standortauswahl direkt unter der Projektauswahl, um den Security Command Center-Speicherort des Ergebnisses auszuwählen. Beispiel:
Wenn Sie das Ergebnis, das Sie ausblenden möchten, im Bereich Ergebnisse der Ergebnisabfrage nicht sehen, wählen Sie im Bereich Schnellfilter im Abschnitt Kategorie die Kategorie des Ergebnisses aus.
Klicken Sie das Kästchen neben dem Ergebnis an, das Sie stummschalten möchten. Sie können ein oder mehrere Ergebnisse auswählen.
Klicken Sie in der Aktionsleiste Ergebnisse der Abfrageergebnisse auf Optionen zum Ausblenden und wählen Sie dann Ausblenden aus.
Das Attribut
mute
für die ausgewählten Ergebnisse ist aufMUTED
festgelegt und das Ergebnis wird aus dem Bereich Ergebnisse der Ergebnisabfrage entfernt.
Alternativ können Sie ein Ergebnis über den Detailbereich ausblenden:
- Klicken Sie auf der Seite Ergebnisse im Bereich Abfrageergebnisse finden in der Spalte Kategorie auf den Namen eines einzelnen Ergebnisses. Der Detailbereich des Ergebnisses wird geöffnet.
- Klicken Sie auf Maßnahmen ergreifen.
Wählen Sie im Menü Aktionen die Option Stummschalten aus.
Wenn Sie stattdessen Ergebnisse wie diese ausblenden auswählen, wird die Seite Ausblendungsregel erstellen geöffnet. Hier können Sie eine Ausblendungsregel für Ergebnisse desselben Typs oder mit demselben
Indicator
-Attribut erstellen.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Verwenden Sie den Befehl
set-mute
in der gcloud CLI, um den Ausblendungsstatus eines Ergebnisses aufMUTED
zu setzen:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION --source=SOURCE_ID \ --mute=MUTED
Ersetzen Sie Folgendes:
FINDING_ID
: die ID des Ergebnisses, das Sie ausblenden möchtenBeim Abrufen von Ergebnis-IDs verwenden Sie die Security Command Center API zum Auflisten der Ergebnisse. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9.PARENT
: die übergeordnete Ressource (project
,folder
oderorganization
), wobei die Groß-/Kleinschreibung beachtet wirdPARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des ProjektsLOCATION
: Wenn der Datenstandort aktiviert ist, geben Sie den Speicherort von Security Command Center an, in dem das Ergebnis gespeichert wird.Wenn der Datenstandort nicht aktiviert ist, wird durch Angabe des Flags
--location
das Ergebnis mit der Security Command Center API v2 stummgeschaltet. Der einzige gültige Wert für das Flag istglobal
.SOURCE_ID
: die Quell-ID.Eine Anleitung zum Abrufen einer Quell-ID finden Sie unter Quell-ID abrufen.
Einfach loslegen (Go)
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Java
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Python
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
REST API
Verwenden Sie in der Security Command Center API die Methode setMute
, um ein Ergebnis auszublenden. Der Anfragetext ist ein Enum, das den resultierenden Ausblendungsstatus angibt.
Wenn der Datenstandort nicht aktiviert ist, können Sie entweder v1 oder v2 der Security Command Center API verwenden. API Version 2 ist als Vorabversion verfügbar. Wenn der Datenstandort aktiviert ist, ist API v2 die einzige verfügbare API.
Wenn Sie die Security Command Center API v1 verwenden, rufen Sie über den Endpunkt v1
setMute
auf:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/sources/SOURCE_ID/findings/FINDING_ID:setMute { "mute": "MUTED" }
Wenn Sie die Security Command Center API v2 verwenden, rufen Sie über den Endpunkt v2
setMute
auf:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "MUTED" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource (organizations
,folders
oderprojects
).PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des Projekts.LOCATION
: Gibt für V2 den Speicherort von Security Command Center an, an dem das Ergebnis gespeichert wird. Wenn das Standortfeld weggelassen wird, ist der Standardwertglobal
.SOURCE_ID
: die numerische ID für die Quelle.Eine Anleitung zum Abrufen einer Quell-ID finden Sie unter Quell-ID abrufen.
FINDING_ID
: die ID des Ergebnisses, das Sie stummschalten möchten.Beim Abrufen von Ergebnis-IDs verwenden Sie die Security Command Center API zum Auflisten der Ergebnisse. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9.
Nachdem Sie ein Ergebnis ausgeblendet haben, wird das zugehörige mute
-Attribut auf MUTED
gesetzt.
Das Ausblenden eines Ergebnisses hat keinen Einfluss darauf, ob es aktiv ist oder nicht. Wenn ein aktives Ergebnis ausgeblendet ist, bleibt das Attribut state
unverändert: state="ACTIVE"
. Das Ergebnis ist verborgen, bleibt aber aktiv, bis die zugrunde liegende Sicherheitslücke, Fehlkonfiguration oder Bedrohung beseitigt wurde.
Weitere Informationen zu Ausblendungsregeln finden Sie unter Ausblendungsregeln erstellen.
Ausgeblendete Ergebnisse in der Google Cloud Console ansehen
Sie können ausgeblendete Ergebnisse in der Google Cloud Console ansehen. Bearbeiten Sie dazu die Ergebnisabfrage und wählen Sie Ergebnisse aus, die den Attributwert mute="MUTED"
enthalten.
Die folgende Ergebnisabfrage zeigt beispielsweise nur aktive Ergebnisse an, die ausgeblendet sind:
state="ACTIVE"
AND mute="MUTED"
Wenn Sie alle aktiven Ergebnisse, sowohl stummgeschaltet als auch ohne Ton, anzeigen lassen möchten, lassen Sie das Attribut mute
vollständig aus der Abfrage weg:
state="ACTIVE"
Standardmäßig zeigt die Ergebnisabfrage in der Google Cloud Console nur Ergebnisse an, die nicht ausgeblendet sind.
Weitere Informationen zum Bearbeiten von Ergebnisabfragen finden Sie unter Ergebnisabfrage im Dashboard erstellen oder bearbeiten.
Einzelne Ergebnisse wieder einblenden
Sie können die Stummschaltung eines einzelnen Ergebnisses mithilfe der Google Cloud Console, der gcloud CLI oder der Security Command Center API aufheben.
Beispielcode zum Aufheben der Stummschaltung eines Ergebnisses finden Sie unter Stummschaltung eines Ergebnisses aufheben.
Wenn Sie die Stummschaltung eines einzelnen Ergebnisses aufheben möchten, klicken Sie auf den Tab für das gewünschte Verfahren:
Console
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Die Seite Ergebnisse wird geöffnet und die Standardabfrage wird im Abschnitt Abfragevorschau angezeigt. Die Standardabfrage filtert ausgeblendete Ergebnisse heraus. Daher müssen Sie die Abfrage bearbeiten, bevor ausgeblendete Ergebnisse im Bereich Ergebnisse der Abfrageergebnisse angezeigt werden.
Wenn der Datenstandort für Security Command Center aktiviert ist, verwenden Sie die Standortauswahl direkt unter der Projektauswahl, um den Security Command Center-Speicherort des Ergebnisses auszuwählen. Beispiel:
Klicken Sie rechts neben dem Abschnitt Abfragevorschau auf Abfrage bearbeiten, um den Abfrageeditor zu öffnen.
Ersetzen Sie im Feld Abfrageeditor die vorhandene Stummschaltungsanweisung durch Folgendes:
mute="MUTED"
Klicken Sie auf Anwenden. Die Ergebnisse im Bereich Ergebnisse der Abfrageergebnisse werden aktualisiert, sodass sie nur ausgeblendete Ergebnisse enthalten.
Filtern Sie gegebenenfalls andere ausgeblendete Ergebnisse heraus. Wählen Sie beispielsweise im Bereich Schnellfilter unter Kategorie den Namen des Ergebnisses aus, dessen Stummschaltung Sie aufheben möchten, um alle anderen Ergebniskategorien herauszufiltern.
Klicken Sie das Kästchen neben dem Ergebnis an, für das Sie die Stummschaltung aufheben möchten. Sie können ein oder mehrere Ergebnisse auswählen.
Klicken Sie in der Aktionsleiste Ergebnisse der Ergebnisabfrage auf Optionen zum Ausblenden und wählen Sie dann Nicht mehr ignorieren aus.
Das Attribut
mute
für die ausgewählten Ergebnisse ist aufUNMUTED
festgelegt und das Ergebnis wird aus dem Bereich Ergebnisse der Ergebnisabfrage entfernt.
Alternativ können Sie die Stummschaltung eines Ergebnisses über den Detailbereich aufheben:
- Klicken Sie auf der Seite Ergebnisse im Bereich Abfrageergebnisse finden in der Spalte Kategorie auf den Namen eines einzelnen Ergebnisses. Der Detailbereich des Ergebnisses wird geöffnet.
- Klicken Sie auf Maßnahmen ergreifen.
- Wählen Sie im Menü Maßnahme ergreifen die Option Nicht mehr ignorieren aus.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Verwenden Sie den Befehl
set-mute
in der gcloud CLI, um den Ausblendungsstatus eines Ergebnisses aufUNMUTED
zu setzen:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION --source=SOURCE_ID \ --mute=UNMUTED
Ersetzen Sie Folgendes:
FINDING_ID
: die ID des Ergebnisses, das Sie ausblenden möchtenBeim Abrufen von Ergebnis-IDs verwenden Sie die Security Command Center API zum Auflisten der Ergebnisse. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9.PARENT
: die übergeordnete Ressource (project
,folder
oderorganization
), wobei die Groß- und Kleinschreibung berücksichtigt wirdPARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des ProjektsLOCATION
: Wenn der Datenstandort aktiviert ist, geben Sie den Speicherort von Security Command Center an, in dem das Ergebnis gespeichert wird.Wenn der Datenstandort nicht aktiviert ist, wird durch Angabe des Flags
--location
die Stummschaltung des Ergebnisses mithilfe der Security Command Center API v2 aufgehoben. Der einzige gültige Wert für das Flag istglobal
.SOURCE_ID
: die Quell-ID.Eine Anleitung zum Abrufen einer Quellen-ID finden Sie unter Quell-ID abrufen.
Einfach loslegen (Go)
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Java
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Python
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
REST API
Verwenden Sie in der Security Command Center API die Methode setMute
, um die Stummschaltung eines Ergebnisses aufzuheben. Der Anfragetext ist ein Enum, das den resultierenden Ausblendungsstatus angibt.
Wenn der Datenstandort nicht aktiviert ist, können Sie entweder v1 oder v2 der Security Command Center API verwenden. API Version 2 ist als Vorabversion verfügbar. Wenn der Datenstandort aktiviert ist, ist API v2 die einzige verfügbare API.
Wenn Sie die Security Command Center API v1 verwenden, rufen Sie über den Endpunkt v1
setMute
auf:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/sources/SOURCE_ID/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
Wenn Sie die Security Command Center API v2 verwenden, rufen Sie über den Endpunkt v2
setMute
auf:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource (organizations
,folders
oderprojects
)PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des ProjektsLOCATION
: Gibt für V2 den Speicherort von Security Command Center an, an dem das Ergebnis gespeichert wird. Wenn das Standortfeld weggelassen wird, ist der Standardwertglobal
.SOURCE_ID
: die numerische ID für die QuelleEine Anleitung zum Abrufen einer Quellen-ID finden Sie unter Quell-ID abrufen.
FINDING_ID
: die ID des Ergebnisses, das Sie stummschalten möchten.Beim Abrufen von Ergebnis-IDs verwenden Sie die Security Command Center API zum Auflisten der Ergebnisse. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings
/5ee30aa342e799e4e1700826de053aa9.
Die ausgewählten Ergebnisse sind nicht mehr ausgeblendet und das Attribut mute
für die Ergebnisse wurde auf UNMUTED
gesetzt.
Wieder eingeblendete Ergebnisse überschreiben Ausblendungsregeln
Wenn ein Nutzer die Ergebnisse wieder eingeblendet, bleiben sie weiterhin eingeblendet, auch wenn vorhandene Ausblendungsregeln dennoch mit den Ergebnissen übereinstimmen. Wieder-Einblendungs-Aktionen durch Nutzer überschreiben Ausblendungsregeln.
Wieder eingeblendete Ergebnisse werden nur dann wieder ausgeblendet, wenn ein Nutzer die Ergebnisse manuell ausblendet oder eine neue übereinstimmende Ausblendungsregel in der Google Cloud Console erstellt. Ausblendungsregeln, die mit der gcloud-CLI oder der Security Command Center API erstellt wurden, haben keine Auswirkungen auf Ergebnisse, die von Nutzern wieder eingeblendet wurden.
Mehrere vorhandene Ergebnisse ausblenden
Mit dem gcloud CLI-Befehl gcloud scc findings bulk-mute
oder der Methode bulkMute
der Security Command Center API können Sie mehrere vorhandene Ergebnisse gleichzeitig stummschalten. Wenn Sie ähnliche zukünftige Ergebnisse ausblenden möchten, erstellen Sie eine Ausblendungsregel.
Geben Sie die Ergebnisse an, die ausgeblendet werden sollen, indem Sie einen Ergebnisfilter definieren. Bulk-Ausblenden-Filter unterstützen nicht alle Ergebnisattribute. Eine Liste der nicht unterstützten Attribute finden Sie unter Nicht unterstützte Ergebnisattribute für Ausblendungsregeln.
Wenn der Datenstandort für Security Command Center aktiviert ist, sind Bulk-Stummschaltungsvorgänge auf den Security Command Center-Standort beschränkt, an dem sie ausgeführt werden.
Beispielcode, mit dem Ergebnisse im Bulk-Verfahren ausgeblendet werden, finden Sie unter Ergebnisse im Bulk ausblenden.
Um mehrere Ergebnisse gleichzeitig auszublenden, klicken Sie auf den Tab für das Verfahren, das Sie verwenden möchten:
Console
In der Google Cloud Console können Sie Ergebnisse nur im Bulk ausblenden, indem Sie Ausblendungsregeln erstellen. In der Google Cloud Console werden durch das Erstellen von Ausblendungsregeln vorhandene und zukünftige Ergebnisse ausgeblendet.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Führen Sie den Befehl
gcloud scc findings bulk-mute
aus, um mehrere Ergebnisse gleichzeitig auszublenden:gcloud scc findings bulk-mute --PARENT=PARENT_ID \ --location=LOCATION --filter="FILTER" \
Ersetzen Sie Folgendes:
PARENT
: der Bereich in der Ressourcenhierarchie, für den die Ausblendungsregel gilt,organization
,folder
oderproject
.PARENT_ID
: Die ID der übergeordneten Organisation, des übergeordneten Ordners oder des Projekts im Formatorganizations/123
,folders/456
oderprojects/789
.LOCATION
: Wenn der Datenstandort aktiviert ist, geben Sie den Standort von Security Command Center an, an dem die Ergebnisse im Bulk stummgeschaltet werden sollen. Nur Ergebnisse an diesem Ort werden ausgeblendet.Wenn der Datenstandort nicht aktiviert ist, werden durch Angabe des Flags
--location
die Ergebnisse mit der Security Command Center API v2 ausgeblendet. Der einzige gültige Wert für das Flag istglobal
.FILTER
: Ausdruck, den Sie zum Filtern von Ergebnissen definieren
Wenn Sie beispielsweise alle vorhandenen Ergebnisse der Typen
OPEN_FIREWALL
undPUBLIC_IP_ADDRESS
mit niedrigem Schweregrad im Projektinternal-test
ausblenden möchten, kann der Filter"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.project_display_name=\"internal-test\""
sein.
Einfach loslegen (Go)
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Java
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Python
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
REST API
Verwenden Sie in der Security Command Center API die Methode bulkMute
, um mehrere vorhandene Ergebnisse auszublenden. Der Anfragetext enthält den Ausdruck, der zum Filtern von Ergebnissen verwendet wird.
Wenn der Datenstandort nicht aktiviert ist, können Sie entweder v1 oder v2 der Security Command Center API verwenden. API Version 2 ist als Vorabversion verfügbar. Wenn der Datenstandort aktiviert ist, ist API v2 die einzige verfügbare API.
Wenn Sie die Security Command Center API v1 verwenden, rufen Sie über den Endpunkt v1
bulkMute
auf:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/findings:bulkMute -d { "filter": "FILTER" }
Wenn Sie die Security Command Center API v2 verwenden, rufen Sie über den Endpunkt v2
bulkMute
auf:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/findings:bulkMute -d { "filter": "FILTER" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource (organizations
,folders
oderprojects
).PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des Projekts.LOCATION
: Gibt nur für v2 den Speicherort von Security Command Center an, an dem die Ergebnisse gespeichert werden. Wenn das Standortfeld weggelassen wird, ist der Standardwertglobal
.FILTER
: Ausdruck, den Sie zum Filtern von Ergebnissen definieren.Wenn Sie beispielsweise alle vorhandenen Ergebnisse der Typen
OPEN_FIREWALL
undPUBLIC_IP_ADDRESS
mit niedrigem Schweregrad im Projektinternal-test
ausblenden möchten, kann der Filter"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.project_display_name=\"internal-test\""
sein.
Alle vorhandenen Ergebnisse in der ausgewählten Ressource, die genau mit dem Filter übereinstimmen, werden ausgeblendet. Das Attribut mute
für die Ergebnisse ist auf MUTED
gesetzt.
Das Ausblenden von Ergebnissen ändert nicht ihren Status. Wenn aktive Ergebnisse ausgeblendet werden, bleiben sie aktiv, bis die zugrunde liegenden Sicherheitslücken, Fehlkonfigurationen oder Bedrohungen behoben sind.
Ausblendungs-Regeln erstellen
Ausblendungsregeln sind Security Command Center-Konfigurationen, die von Ihnen erstellte Filter verwenden, um zukünftige Ergebnisse anhand der von Ihnen angegebenen Kriterien automatisch auszublenden. Neue Ergebnisse, die den Ausblendungsfiltern entsprechen, werden kontinuierlich automatisch ausgeblendet. Wenn Sie auch ähnliche vorhandene Ergebnisse ausblenden möchten, verwenden Sie dieselben Filter, um Ergebnisse im Bulk auszublenden.
Umfang der Ausblendungsregeln
Berücksichtigen Sie beim Erstellen von Filtern den Umfang einer Ausblendungsregel.
Wenn beispielsweise ein Filter geschrieben wird, um Ergebnisse in Project A
auszublenden, der Filter selbst aber unter Project B
erstellt wird, stimmt der Filter möglicherweise mit keinen Ergebnissen überein.
Ebenso ist bei aktiviertem Datenstandort der Bereich einer Ausblendungsregel auf den Security Command Center-Standort beschränkt, an dem die Ausblendungsregel erstellt wurde. Wenn Sie beispielsweise eine Ausblendungsregel am Standort USA (us
) erstellen, werden durch sie keine Ergebnisse ausgeblendet, die an den Standorten Europäische Union (eu
) oder Global (global
) gespeichert sind.
Weitere Informationen zu Datenstandort- und Ausblendungsregeln finden Sie unter Ausblendungsregeln, kontinuierliche Exporte und Datenstandort.
Weitere Informationen zum Erstellen von Filtern finden Sie unter Benachrichtigungen filtern.
Einschränkungen für Ausblendungsregel
Ausblendungs-Regeln unterstützen nicht alle Ergebnisattribute. Eine Liste der Attribute, die Ausblendungsregeln nicht unterstützen, finden Sie unter Nicht unterstützte Ergebnisattribute für Ausblendungsregeln.
Ihre Organisation kann maximal 1.000 Ausblendungsregeln erstellen.
Regeln für Datenstandort und Ausblendung
Wenn der Datenstandort aktiviert ist, unterliegen die Konfigurationen, die Ausblendungsregeln definieren (muteConfig
-Ressourcen), der Datenstandortkontrolle und werden an einem von Ihnen ausgewählten Security Command Center-Speicherort gespeichert.
Wenn Sie eine Ausblendungsregel auf die Ergebnisse an einem Security Command Center-Standort anwenden möchten, müssen Sie die Ausblendungsregel am selben Ort wie die Ergebnisse erstellen, auf die sie angewendet wird.
Da die in Ausblendungsregeln verwendeten Filter Daten enthalten können, die Standortkontrollen unterliegen, müssen Sie vor dem Erstellen unbedingt den richtigen Speicherort angeben. Security Command Center schränkt nicht den Standort ein, an dem Sie Ausblendungsregeln oder Streamingexporte erstellen.
Ausblendungsregeln werden nur an dem Ort gespeichert, an dem sie erstellt wurden. Sie können an anderen Orten nicht angezeigt oder bearbeitet werden.
Nachdem Sie eine Ausblendungsregel erstellt haben, können Sie ihre Position nicht mehr ändern. Wenn Sie den Standort ändern möchten, müssen Sie die Ausblendungsregel löschen und am neuen Speicherort neu erstellen.
Wenn Sie Ausblendungsregeln in der Google Cloud Console aufrufen möchten, müssen Sie zuerst in der Google Cloud Console-Ansicht den Ort festlegen, an dem sie erstellt wurden.
Dieselben Regeln gelten für die API-Darstellung der Ausblendungsregel MuteConfig
.
Wenn Sie ein MuteConfig
mithilfe von API-Aufrufen abrufen möchten, müssen Sie den Standort im vollständigen Ressourcennamen von MuteConfig
angeben. Beispiel:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/muteConfigs/my-mute-rule-01}
Wenn Sie ein muteConfig
über die gcloud CLI abrufen möchten, können Sie den Speicherort mit dem Flag --locations
angeben. Beispiel:
gcloud scc muteconfigs list --organizations=123 --location=us
Ausblendungsregel erstellen
Sie können eine Ausblendungsregel mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API erstellen.
Beispielcode zum Erstellen einer Ausblendungsregel finden Sie unter Ausblendungsregel erstellen.
Klicken Sie zum Erstellen einer Ausblendungsregel auf den Tab für die Prozedur, die Sie verwenden möchten:
Console
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wenn der Datenstandort für Security Command Center aktiviert ist, verwenden Sie die Standortauswahl direkt unter der Projektauswahl, um den Security Command Center-Standort auszuwählen, an dem die Ausblendungsregel erstellt werden soll. Beispiel:
Klicken Sie auf Ausblendungsoptionen und wählen Sie Ausblendungsregel erstellen aus.
Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.
Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.
Übergeordnete Ressource gibt den Bereich an, in dem die Ausblendungs-Regel erstellt und angewendet wird.
Erstellen Sie im Feld Ergebnisabfrage Ihre Abfrageanweisungen, indem Sie auf Filter hinzufügen klicken. Alternativ können Sie die Abfrageanweisungen manuell eingeben.
Im Dialogfeld Filter auswählen können Sie unterstützte Ergebnisattribute und -werte auswählen.
- Wählen Sie ein Ergebnisattribut aus oder geben Sie seinen Namen in das Feld Ergebnisattribute suchen ein. Eine Liste der verfügbaren Unterattribute wird angezeigt.
- Wählen Sie ein Unterattribut aus. Über einer Liste der Unterattributwerte aus den Ergebnissen im Bereich Ergebnisse der Abfrageergebnisse wird ein Auswahlfeld für die Bewertungsoptionen angezeigt.
- Wählen Sie eine Bewertungsoption für die Werte des ausgewählten Unterattributs aus. Weitere Informationen zu den Bewertungsoptionen sowie den von ihnen verwendeten Operatoren und Funktionen finden Sie unter Abfrageoperatoren im Menü „Filter hinzufügen“.
- Klicken Sie auf Apply (Anwenden).
Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.
- Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle gewünschten Attribute enthält.
Prüfen Sie den Filter auf Korrektheit. Wenn Sie Änderungen vornehmen möchten, löschen Sie Attribute oder fügen Sie welche hinzu und filtern Sie Werte nach Bedarf.
Klicken Sie auf Vorschau übereinstimmender Ergebnisse.
Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.
Klicken Sie auf Speichern.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Führen Sie den Befehl
gcloud scc muteconfigs create
aus, um Ausblendungsregeln zu erstellen:gcloud scc muteconfigs create CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description="RULE_DESCRIPTION" \ --filter="FILTER"
Ersetzen Sie Folgendes:
CONFIG_ID
: der Name der Ausblendungsregel. Die ID muss alphanumerische Zeichen und Bindestriche enthalten und kann zwischen 1 und 63 Zeichen lang sein.PARENT
: der Bereich in der Ressourcenhierarchie, für den die Ausblendungsregel gilt,organization
,folder
oderproject
.PARENT_ID
: Die ID der übergeordneten Organisation, des übergeordneten Ordners oder des Projekts im Formatorganizations/123
,folders/456
oderprojects/789
.LOCATION
: Wenn der Datenstandort aktiviert ist, geben Sie den Standort von Security Command Center an, in dem die Ausblendungsregel erstellt werden soll. Die Konfiguration der Ausblendungsregel wird gespeichert und gilt nur für Ergebnisse an diesem Ort.Wenn der Datenstandort nicht aktiviert ist, wird durch Angabe des Flags
--location
die Ausblendungsregel mithilfe der Security Command Center API v2 erstellt. Der einzige gültige Wert für das Flag istglobal
.RULE_DESCRIPTION
: eine Beschreibung der Ausblendungsregel mit maximal 1.024 Zeichen.FILTER
: Ausdruck, den Sie zum Filtern von Ergebnissen definieren. Wenn Sie beispielsweiseOPEN_FIREWALL
-Ergebnisse ausblenden möchten, kann der FilterFILTER="category=\"OPEN_FIREWALL\""
sein.
Die Antwort enthält die Ausblendungsregel-ID, mit der Sie Ausblendungsregeln aufrufen, aktualisieren und löschen können, wie unter Ausblendungsregeln verwalten beschrieben.
Einfach loslegen (Go)
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Java
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Python
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
REST API
Verwenden Sie in der Security Command Center API die Methode muteConfigs create
, um eine Ausblendungsregel zu erstellen. Der Anfragetext ist eine Instanz von MuteConfig
.
Wenn der Datenstandort nicht aktiviert ist, können Sie entweder v1 oder v2 der Security Command Center API verwenden. API Version 2 ist als Vorabversion verfügbar. Wenn der Datenstandort aktiviert ist, ist API v2 die einzige verfügbare API.
Wenn Sie die Security Command Center API v1 verwenden, verwenden Sie den Endpunkt der Version 1, um muteConfigs create
aufzurufen.
Verwenden Sie im Anfragetext die MuteConfig-Definition für Version 1:
POST https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": FILTER }
Wenn Sie die Security Command Center API v2 verwenden, verwenden Sie den Endpunkt der Version 2, um muteConfigs create
aufzurufen.
Verwenden Sie im Anfragetext die MuteConfig-Definition von Version 2:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": FILTER "type": "STATIC" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des ProjektsLOCATION
: Gibt für V2 den Standort von Security Command Center an, an dem die Ausblendungsregel gilt. Wenn das Standortfeld weggelassen wird, ist der Standardwertglobal
.MUTE_CONFIG_ID
: der Name der Ausblendungsregel (zwischen 1 und 63 Zeichen)RULE_DESCRIPTION
: eine Beschreibung der Ausblendungsregel (max. 1.024 Zeichen)FILTER
: Ausdruck, den Sie zum Filtern von Ergebnissen definierenWenn Sie beispielsweise Ergebnisse des Typs
OPEN_FIREWALL
ausblenden möchten, kann der Filter"category=\"OPEN_FIREWALL\""
sein.
Die Antwort enthält die ID der Ausblendungs-Konfiguration, mit der Sie Regeln zum Ausblenden aufrufen, aktualisieren und löschen können, wie unter Regeln zum Ausblenden verwalten beschrieben.
Neue Ergebnisse, die genau mit dem Filter übereinstimmen, werden ausgeblendet. Das Attribut mute
für die Ergebnisse wird auf MUTED
gesetzt.
Nicht unterstützte Ergebnisattribute für Ausblendungsregeln
Ausblendungsregeln unterstützen nicht alle Ergebniseigenschaften in Filtern. Die folgenden Eigenschaften werden in Ausblendungsregelfiltern nicht unterstützt.
createTime
eventTime
mute
mute_initiator
mute_update_time
name
parent
security_marks
source_properties
state
Attribute für das Ausblenden von Ergebnissen
In diesem Abschnitt werden die Attribute der ausgeblendeten Ergebnisse aufgelistet. Außerdem wird beschrieben, wie sie durch Vorgänge zum Ausblenden betroffen sind:
mute
: Wird aufUNDEFINED
gesetzt, wenn Ergebnisse erstellt werden, und ändert sich in den folgenden Szenarien:MUTED
: Ein Ergebnis wird manuell oder durch eine Ausblendungs-Regel ausgeblendet.UNMUTED
: Ein Nutzer hebt die Ausblendung eines Ergebnisses auf.
mute_update_time
: die Zeit, zu der ein Ergebnis ausgeblendet oder wieder eingeblendet wirdmute_initiator
: die Kennung für das Hauptkonto oder die Ausblendungs-Regel, mit der ein Ergebnis ausgeblendet wurde
Benachrichtigungen für ausgeblendete Ergebnisse beenden
Wenn Sie Benachrichtigungen für Ergebnisse aktivieren, lösen ausgeblendete Ergebnisse, die Ihren Benachrichtigungsfiltern entsprechen, dennoch Benachrichtigungen in Pub/Sub aus.
Wenn Sie Benachrichtigungen für ausgeblendete Ergebnisse beenden möchten, verwenden Sie das Attribut mute
, um ausgeblendete Ergebnisse im NotificationConfig
-Filter auszuschließen. Der folgende Filter sendet beispielsweise nur Benachrichtigungen für aktive Ergebnisse, die nicht ausgeblendet wurden oder bei denen das Ausblendungsattribut nicht festgelegt ist:
FILTER="state=\"ACTIVE\" AND -mute=\"MUTED\""
Ausblendungs-Regeln verwalten
Sie können Ausblendungsregeln basierend auf dem Bereich Ihrer IAM-Rollen anzeigen, aktualisieren und löschen. Mit Rollen auf Organisationsebene werden Ausblendungsregeln für alle Ordner und Projekte innerhalb der Organisation angezeigt. Wenn Sie Rollen auf Ordnerebene haben, können Sie auf Ausblendungsregeln für bestimmte Ordner sowie für alle Unterordner und Projekte in diesen Ordnern zugreifen und diese verwalten. Mit Rollen auf Projektebene können Sie Ausblendungsregeln in bestimmten Projekten verwalten.
Security Command Center Premium unterstützt die Zuweisung von Rollen auf Organisations-, Ordner- und Projektebene. Security Command Center Standard unterstützt nur die Rollenzuweisung auf Organisationsebene. Weitere Informationen finden Sie unter Zugriffssteuerung.
Ausblendungs-Regeln auflisten
Sie können die Ausblendungsregeln in einer Organisation, einem Ordner oder einem Projekt über die Google Cloud Console, die gcloud CLI oder die Security Command Center API auflisten.
Ob Sie Ausblendungsregeln für einen bestimmten Bereich auflisten können, hängt von den Berechtigungen ab, die Ihren IAM-Rollen gewährt werden.
Wenn der Datenstandort für Security Command Center aktiviert ist, ist der Bereich des list-Befehls auch auf den ausgewählten Security Command Center-Standort beschränkt.
Beispielcode mit Ausblendungsregeln finden Sie unter Regeln für die Ausblendung von Ausblendungen auflisten.
Klicken Sie zum Auflisten der Ausblendungsregeln für eine Organisation, einen Ordner oder ein Projekt auf den Tab für die Prozedur, die Sie verwenden möchten:
Console
Rufen Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center den Tab Stummschaltungsregeln auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wenn der Datenstandort für Security Command Center aktiviert ist, verwenden Sie die Standortauswahl direkt unter der Projektauswahl, um den Security Command Center-Standort auszuwählen, an dem die Ausblendungsregel gespeichert ist. Beispiel:
Im Abschnitt Ausblendungsregeln finden Sie unter anderem folgende Details zu aktiven Ausblendungsregeln:
- Name: ID der Ausblendungsregel
- Übergeordnete Ressource: die Ressource, auf der sich die Ausblendungs-Regel befindet
- Beschreibung: Die Beschreibung der Ausblendungsregel, falls verfügbar
- Zuletzt aktualisiert von: Das Hauptkonto, das zuletzt die Regel aktualisiert hat
- Zuletzt aktualisiert: Das Datum und die Uhrzeit der letzten Aktualisierung der Regel
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Führen Sie den Befehl
gcloud scc muteconfigs list
aus, um Ausblendungsregeln aufzulisten:gcloud scc muteconfigs list --PARENT=PARENT_ID --location=LOCATION
Ersetzen Sie Folgendes:
PARENT
: die übergeordneteorganization
,folder
oderproject
, für die die Ausblendungsregeln aufgelistet werden sollenPARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des ProjektsLOCATION
: Wenn der Datenstandort aktiviert ist, geben Sie den Standort von Security Command Center an, in dem die Ausblendungsregeln aufgelistet werden sollen.Wenn der Datenstandort nicht aktiviert ist, werden durch Angabe des Flags
--location
Ausblendungsregeln mithilfe der Security Command Center API v2 aufgelistet. Der einzige gültige Wert für das Flag istglobal
.
Einfach loslegen (Go)
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Java
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Python
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
REST API
Verwenden Sie in der Security Command Center API die Methode muteConfigs list
, um Ausblendungsregeln aufzulisten. Der Anfragetext ist leer.
Wenn der Datenstandort nicht aktiviert ist, können Sie entweder v1 oder v2 der Security Command Center API verwenden. API Version 2 ist als Vorabversion verfügbar. Wenn der Datenstandort aktiviert ist, ist API v2 die einzige verfügbare API.
Wenn Sie die Security Command Center API v1 verwenden, rufen Sie muteConfigs list
über den Endpunkt v1
auf:
GET https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs
Wenn Sie die Security Command Center API v2 verwenden, rufen Sie muteConfigs list
über den Endpunkt v2
auf:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des ProjektsLOCATION
: Gibt nur für V2 den Standort von Security Command Center an, für den die Ausblendungsregeln aufgelistet werden sollen. Wenn das Standortfeld weggelassen wird, ist der Standardwertglobal
.
Die Antwort enthält die Namen, Beschreibungen und Ausblendungs-Konfigurations-IDs für Ihre Ausblendungsregeln.
Konfiguration einer Ausblendungsregel ansehen
Sie können die Konfiguration einer Ausblendungsregel über die Google Cloud Console, die gcloud CLI oder die Security Command Center API aufrufen.
Beispielcode zum Abrufen der Konfiguration einer Ausblendungsregel finden Sie unter Ausblendungsregel ansehen.
Klicken Sie zum Ansehen der Konfiguration einer Ausblendungsregel auf den Tab für die Prozedur, die Sie verwenden möchten:
Console
Rufen Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center den Tab Stummschaltungsregeln auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wenn der Datenstandort für Security Command Center aktiviert ist, verwenden Sie die Standortauswahl direkt unter der Projektauswahl, um den Security Command Center-Standort der Ausblendungsregel auszuwählen. Beispiel:
Im Abschnitt Ausblendungsregeln sehen Sie eine Liste der Ausblendungsregeln.
Klicken Sie auf den Namen der Regel, die Sie aufrufen möchten.
Eine Seite mit der Konfiguration der Ausblendungs-Regel wird geöffnet.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Führen Sie den Befehl
gcloud scc muteconfigs get
aus, um die Konfiguration einer Ausblendungsregel aufzurufen:gcloud scc muteconfigs get MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Ersetzen Sie Folgendes:
MUTE_CONFIG_ID
: die ID für die AusblendungsregelPARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organization
,folder
oderproject
)PARENT_ID
: ID der Organisation, des Ordners oder des ProjektsLOCATION
: Wenn der Datenstandort aktiviert ist, geben Sie den Standort von Security Command Center an, in dem die Ausblendungsregel gespeichert ist. Der Standardwert istglobal
.Wenn der Datenstandort nicht aktiviert ist, wird durch Angabe des Flags
--location
die Ausblendungsregel mithilfe der Security Command Center API v2 abgerufen. Der einzige gültige Wert für das Flag istglobal
.
Einfach loslegen (Go)
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Java
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Python
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
REST API
Verwenden Sie in der Security Command Center API die Methode muteConfigs get
, um die Konfiguration einer Ausblendungsregel zurückzugeben. Der Anfragetext ist leer.
Wenn Sie die CONFIG_ID
für eine Ausblendungsregel abrufen möchten, führen Sie zuerst einen API-Aufruf für Ausblendungsregeln auflisten aus.
Die Antwort enthält Konfigurations-IDs für zurückgegebene Ausblendungs-Regeln.
Wenn der Datenstandort nicht aktiviert ist, können Sie entweder v1 oder v2 der Security Command Center API verwenden. API Version 2 ist als Vorabversion verfügbar. Wenn der Datenstandort aktiviert ist, ist API v2 die einzige verfügbare API.
Wenn Sie die Security Command Center API v1 verwenden, verwenden Sie den Endpunkt v1
, um muteConfigs get
aufzurufen:
GET https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID
Wenn Sie die Security Command Center API v2 verwenden, verwenden Sie den Endpunkt v2
, um muteConfigs get
aufzurufen:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: durch die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Gibt für V2 den Speicherort von Security Command Center an, an dem die Ausblendungsregel gespeichert ist. Wenn das Standortfeld weggelassen wird, ist der Standardwertglobal
.CONFIG_ID
: Die numerische ID der Ausblendungs-Regel
Ausblendungs-Regeln aktualisieren
Sie können die Beschreibung oder den Ergebnisfilter einer Ausblendungsregel mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API aktualisieren.
Sie können die ID, die übergeordnete Organisation, den Ordner oder das Projekt sowie den Speicherort einer Ausblendungsregel nicht ändern. Wenn Sie einen dieser Werte ändern möchten, müssen Sie eine neue Ausblendungsregel erstellen.
Wenn Sie zuvor Ergebnisse wieder eingeblendet haben, werden sie wieder ausgeblendet, wenn sie mit einer in der Google Cloud Console aktualisierten Ausblendungsregel übereinstimmen. Weitere Informationen finden Sie unter Wieder eingeblendete Ergebnisse überschreiben Ausblendungsregeln.
Beispielcode zum Aktualisieren einer Ausblendungsregel finden Sie unter Ausblendungsregel aktualisieren.
Klicken Sie zum Aktualisieren einer Ausblendungsregel auf den Tab für die Prozedur, die Sie verwenden möchten:
Console
Rufen Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center den Tab Stummschaltungsregeln auf.
Wählen Sie das Google Cloud-Projekt oder die Organisation aus, die die übergeordnete Ressource für die Ausblendungsregel ist, die Sie ändern möchten.
Wenn der Datenstandort für Security Command Center aktiviert ist, verwenden Sie die Standortauswahl direkt unter der Projektauswahl, um den Security Command Center-Standort der Ausblendungsregel auszuwählen. Beispiel:
Klicken Sie auf den Namen der Ausblendungsregel, die Sie ändern möchten.
Wenn Sie nicht das entsprechende Projekt oder die entsprechende Organisation ausgewählt haben, werden Sie möglicherweise in einem Hinweis darauf hingewiesen, dass Sie nicht berechtigt sind, die Ausblendungsregel zu ändern.
Geben Sie eine neue Beschreibung ein und klicken Sie auf Speichern.
Aktualisieren oder ändern Sie den Filter.
Eine Anleitung finden Sie unter Regeln zum Ausblenden erstellen.
Klicken Sie auf Vorschau der übereinstimmenden Ergebnisse anzeigen, um Ergebnisse anzuzeigen, die dem aktualisierten Filter entsprechen.
Eine Tabelle mit Ergebnissen, die der neuen Abfrage entsprechen, wird geladen.
Klicken Sie auf Speichern.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Führen Sie den Befehl
gcloud scc muteconfigs update
aus, um Ausblendungsregeln zu aktualisieren:gcloud scc muteconfigs update MUTE_CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description=RULE_DESCRIPTION \ --filter=FILTER
Ersetzen Sie Folgendes:
MUTE_CONFIG_ID
: die ID für die Ausblendungsregel.PARENT
: die übergeordnete Ressource für die Ausblendungsregel (organization
,folder
oderproject
).PARENT_ID
: durch die ID der Organisation, des Ordners oder des Projekts.LOCATION
: Wenn der Datenstandort aktiviert ist, geben Sie den Standort von Security Command Center an, in dem die Ausblendungsregel gespeichert ist. Der Standardwert istglobal
.Wenn der Datenstandort nicht aktiviert ist, wird durch Angabe des Flags
--location
die Konfiguration der Ausblendungsregel mithilfe der Security Command Center API v2 aktualisiert. Der einzige gültige Wert für das Flag istglobal
.RULE_DESCRIPTION
: eine Beschreibung der Ausblendungsregel (max. 1.024 Zeichen)FILTER
: Ausdruck, den Sie zum Filtern von Ergebnissen definieren.Wenn Sie beispielsweise
OPEN_FIREWALL
-Ergebnisse ausblenden möchten, könnte der FilterFILTER="category=\"OPEN_FIREWALL\""
lauten.
Einfach loslegen (Go)
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Java
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Python
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
REST API
Verwenden Sie in der Security Command Center API die Methode muteConfigs patch
, um eine Ausblendungsregel zu aktualisieren. Der Anfragetext ist eine Instanz von MuteConfig
.
Wenn Sie die CONFIG_ID
für eine Ausblendungsregel abrufen möchten, führen Sie einen API-Aufruf zum Auflisten der Ausblendungsregeln aus.
Die Antwort enthält Konfigurations-IDs für zurückgegebene Ausblendungs-Regeln.
Wenn der Datenstandort nicht aktiviert ist, können Sie entweder v1 oder v2 der Security Command Center API verwenden. API Version 2 ist als Vorabversion verfügbar. Wenn der Datenstandort aktiviert ist, ist API v2 die einzige verfügbare API.
Wenn Sie die Security Command Center API v1 verwenden, rufen Sie muteConfigs patch
über den Endpunkt v1
auf:
PATCH https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "STATIC" }
Wenn Sie die Security Command Center API v2 verwenden, rufen Sie muteConfigs patch
über den Endpunkt v2
auf:
PATCH https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: durch die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Gibt für V2 den Speicherort von Security Command Center an, an dem die Ausblendungsregel gespeichert ist. Wenn das Standortfeld weggelassen wird, ist der Standardwertglobal
.CONFIG_ID
: Die numerische ID der Ausblendungs-RegelRULE_DESCRIPTION
: eine Beschreibung der Ausblendungsregel (max. 1.024 Zeichen)FILTER
: der Ausdruck, den Sie zum Filtern von Ergebnissen definierenWenn Sie beispielsweise Ergebnisse des Typs
OPEN_FIREWALL
ausblenden möchten, kann der Filter"category=\"OPEN_FIREWALL\""
sein.
Neue Ergebnisse, die genau mit dem Filter übereinstimmen, werden ausgeblendet. Das Attribut mute
für die Ergebnisse wird auf MUTED
gesetzt.
Durch die Aktualisierung von Ausblendungsregeln werden Ergebnisse, die von vorherigen Regeln ausgeblendet wurden, nicht automatisch wieder eingeblendet. Sie müssen Ergebnisse manuell wieder einblenden.
Ausblendungs-Regeln löschen
Sie können eine Ausblendungsregel mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API löschen.
Bevor Sie Ausblendungs-Regeln löschen, sollten Sie Folgendes verstehen:
- Sie können gelöschte Ausblendungsregeln nicht wiederherstellen.
- Durch das Löschen von Ausblendungsregeln werden ausgeblendete Ergebnisse nicht automatisch wieder eingeblendet. Sie müssen die Stummschaltung von Ergebnissen manuell oder programmatisch aufheben.
- Zukünftige Ergebnisse, die mit Filtern in gelöschten Ausblendungsregeln übereinstimmen, werden nicht ausgeblendet.
Einen Beispielcode zum Löschen einer Ausblendungsregel finden Sie unter Ausblendungsregel löschen.
Klicken Sie zum Löschen einer Ausblendungsregel auf den Tab für die Prozedur, die Sie verwenden möchten:
Console
Rufen Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center den Tab Stummschaltungsregeln auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wenn der Datenstandort für Security Command Center aktiviert ist, verwenden Sie die Standortauswahl direkt unter der Projektauswahl, um den Security Command Center-Standort auszuwählen, an dem die Ausblendungsregel gespeichert ist. Beispiel:
Klicken Sie auf den Namen der Ausblendungsregel, die Sie löschen möchten.
Klicken Sie auf delete Löschen.
Lesen Sie das Dialogfeld und klicken Sie, wenn Sie zufrieden sind, auf Löschen.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Führen Sie den Befehl
gcloud scc muteconfigs delete
aus, um Ausblendungsregeln zu löschen:gcloud scc muteconfigs delete MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Ersetzen Sie Folgendes:
MUTE_CONFIG_ID
: die ID der Ausblendungs-KonfigurationPARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organization
,folder
oderproject
)PARENT_ID
: durch die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Wenn der Datenstandort aktiviert ist, geben Sie den Standort von Security Command Center an, in dem die Konfiguration der Ausblendungsregel gespeichert ist. Der Standardwert istglobal
.Wenn der Datenstandort nicht aktiviert ist, wird durch Angabe des Flags
--location
die Ausblendungsregel mithilfe der Security Command Center API v2 gelöscht. Der einzige gültige Wert für das Flag istglobal
.
Bestätigen Sie Ihre Anfrage zum Löschen der Ausblendungsregel.
Einfach loslegen (Go)
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Java
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
Python
Im folgenden Beispiel wird die API V1 verwendet. Wenn Sie das Beispiel für v2 ändern möchten, ersetzen Sie v1
durch v2
und fügen Sie dem Ressourcennamen /locations/LOCATION
hinzu.
Für die meisten Ressourcen fügen Sie dem Ressourcennamen nach /PARENT/PARENT_ID
/locations/LOCATION
hinzu, wobei PARENT
entweder organizations
, folders
oder projects
ist.
Fügen Sie für Ergebnisse /locations/LOCATION
dem Ressourcennamen nach /sources/SOURCE_ID
hinzu, wobei SOURCE_ID
die ID des Security Command Center-Dienstes ist, der das Ergebnis ausgestellt hat.
REST API
Verwenden Sie in der Security Command Center API die Methode muteConfigs delete
, um eine Ausblendungsregel zu löschen. Der Anfragetext ist leer.
Um die CONFIG_ID
für eine Ausblendungsregel abzurufen, führen Sie einen API-Aufruf für Ausblendungsregeln auflisten aus.
Die Antwort enthält Konfigurations-IDs für zurückgegebene Ausblendungs-Regeln.
Wenn der Datenstandort nicht aktiviert ist, können Sie entweder v1 oder v2 der Security Command Center API verwenden. API Version 2 ist als Vorabversion verfügbar. Wenn der Datenstandort aktiviert ist, ist API v2 die einzige verfügbare API.
Wenn Sie die Security Command Center API v1 verwenden, verwenden Sie den Endpunkt v1
, um muteConfigs delete
aufzurufen:
DELETE https://securitycenter.googleapis.com/v1/PARENT/PARENT_ID/muteConfigs/CONFIG_ID
Wenn Sie die Security Command Center API v2 verwenden, verwenden Sie den Endpunkt v2
, um muteConfigs delete
aufzurufen:
DELETE https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: durch die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Gibt für V2 den Speicherort von Security Command Center an, an dem die Ausblendungsregel gespeichert ist. Wenn das Standortfeld weggelassen wird, ist der Standardwertglobal
.CONFIG_ID
: Die numerische ID der Ausblendungs-Regel
Nächste Schritte
Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen
Weitere Beispiele für Filter, die Sie verwenden können