Questa pagina spiega come eseguire la migrazione delle regole di disattivazione statiche esistenti alle regole di disattivazione dinamiche.
Ti consigliamo di utilizzare esclusivamente le regole di silenziamento dinamiche nelle configurazioni delle regole di silenziamento perché sono più flessibili delle regole di silenziamento statiche. Rispetto alle regole di disattivazione statiche, le regole di disattivazione dinamiche presentano tre vantaggi principali:
- Le regole di disattivazione dinamiche si applicano ai risultati esistenti e a quelli nuovi. Le regole di disattivazione dinamiche disattivano automaticamente i risultati esistenti e quelli nuovi o aggiornati che corrispondono ai criteri di filtro.
- Le regole di disattivazione dinamiche offrono un'opzione di scadenza. Le regole di disattivazione dinamiche ti consentono anche di impostare un periodo di scadenza personalizzato per far corrispondere temporaneamente risultati specifici. Se non viene impostato alcun periodo di scadenza, le regole di disattivazione dinamiche disattivano i risultati a tempo indeterminato finché non corrispondono più alla regola.
Le regole di disattivazione dinamiche riattivano automaticamente i risultati. Quando si verifica una delle seguenti condizioni, Security Command Center riattiva automaticamente il risultato:
- La regola di silenziamento dinamico scade.
- Le proprietà di un risultato cambiano in modo da non corrispondere più ai criteri di filtro.
- I criteri di filtro cambiano in modo da non corrispondere più al risultato.
Non è consigliabile utilizzare contemporaneamente regole di disattivazione statiche e dinamiche. Le regole di disattivazione statiche sostituiscono le regole di disattivazione dinamiche quando vengono applicate allo stesso risultato. Di conseguenza, le regole di disattivazione dinamiche non funzioneranno come previsto, il che può creare confusione durante la gestione dei risultati.
Se vuoi utilizzare esclusivamente le regole di disattivazione dinamiche, le sezioni seguenti descrivono le autorizzazioni e i passaggi necessari per eseguire la migrazione delle regole di disattivazione statiche.
Autorizzazioni
Per ottenere le autorizzazioni necessarie per eseguire la procedura di migrazione della disattivazione dinamica, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua Google Cloud organizzazione, cartella o progetto:
- Visualizzatore amministratore Security Center (
roles/securitycenter.adminViewer) - Visualizzatore impostazioni Security Center (
roles/securitycenter.settingsViewer) - Visualizzatore configurazioni di disattivazione Security Center (
roles/securitycenter.muteConfigsViewer) - Amministratore Security Center (
roles/securitycenter.admin) - Editor amministratore Security Center (
roles/securitycenter.adminEditor) - Editor impostazioni Security Center(
roles/securitycenter.settingsEditor) - Editor configurazioni di disattivazione Security Center (
roles/securitycenter.muteConfigsEditor) - Editor risultati Security Center (
roles/securitycenter.findingsEditor)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Eseguire la migrazione alle regole di disattivazione dinamiche
Per utilizzare esclusivamente le regole di disattivazione dinamiche, completa i seguenti passaggi per creare regole di disattivazione dinamiche e assicurarti che i risultati disattivati esistenti rimangano disattivati dopo la migrazione.
- Crea nuove regole di disattivazione dinamiche. Non puoi modificare il tipo di una regola di disattivazione dopo la sua creazione. Pertanto, devi creare una regola di disattivazione dinamica per ogni regola di disattivazione statica che vuoi conservare. Il nome di ogni nuova regola di silenziamento dinamica deve essere univoco rispetto alle regole di silenziamento esistenti. Security Command Center potrebbe impiegare alcune ore per applicare le regole di disattivazione dinamiche ai risultati appropriati. Per istruzioni su come creare una regola di silenziamento dinamica, consulta Creare una regola di silenziamento.
Convalida lo stato di disattivazione dei risultati applicabili. Per verificare che le regole di disattivazione dinamiche siano state applicate correttamente, puoi utilizzare l'attributo
muteInfonell'API Security Command Center per elencare i risultati applicabili e ispezionare i relativi campi di disattivazione. In questo modo puoi determinare se i risultati applicabili utilizzano regole di disattivazione dinamiche o statiche.Ad esempio, utilizza
muteInfo.dynamicMuteRecordsin una query per elencare i risultati applicabili che vengono silenziati dalla nuova regola di silenziamento dinamica:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Per saperne di più su come elencare i risultati, consulta Elencare i risultati di sicurezza utilizzando l'API Security Command Center.
Elimina tutte le regole di disattivazione statiche. I risultati futuri applicabili sono coperti dalle nuove regole dinamiche che hai creato. Elimina tutte le regole di disattivazione statiche esistenti per assicurarti che non sostituiscano le nuove regole di disattivazione dinamiche per i nuovi risultati. Per istruzioni su come eliminare una regola di silenziamento, consulta Eliminare le regole di silenziamento. L'eliminazione delle regole di disattivazione statiche non modifica lo stato di disattivazione statica dei risultati esistenti.
Reimposta lo stato di disattivazione statica su tutti i risultati. Per reimpostare collettivamente lo stato di disattivazione statica dei risultati esistenti, esegui una delle seguenti azioni:
Utilizza il comando
gcloud scc findings bulk-muteo il metodo APIbulkMutecon l'attributomuteStateimpostato suUNDEFINED. Per il flag--filtero il campofilter, utilizza un filtro di risultati che corrisponda ai risultati disattivati dalla regola di silenziamento statica che hai eliminato.L'esempio seguente utilizza il comando
gcloud scc findings bulk-mute. Se hai eliminato una regola di silenziamento statica con il filtrocategory="OPEN_SSH_PORT", puoi reimpostare lo stato di silenziamento dei risultati che corrispondono a questo filtro eseguendo il seguente comando:gcloud scc findings bulk-mute --organization=ORGANIZATION_ID --filter="category=\"OPEN_SSH_PORT\"" --mute-state=UNDEFINEDSostituisci
ORGANIZATION_IDcon l'ID della tua organizzazione. Puoi sostituire--organizationcon--projecto--foldera seconda dell'ambito dei risultati che devi reimpostare.Per ulteriori istruzioni su come eseguire operazioni di disattivazione collettiva, consulta Disattivare o reimpostare più risultati esistenti.
Se l'operazione di disattivazione collettiva scade, cancella lo stato di disattivazione statica da tutti i risultati. Per farlo, aggiorna il filtro di disattivazione collettiva in modo da utilizzare filtri meno granulari che coprano tutti i risultati pertinenti.
Considera il seguente esempio di filtro in una regola di silenziamento statica:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456\")"Per cancellare lo stato di silenziamento di tutti i risultati che corrispondono ai criteri di questa regola di silenziamento statica, puoi modificare il filtro rimuovendo le condizioni aggiuntive che seguono la categoria del risultato. Per questo esempio, il risultato sarà il seguente:
filter: "category = \"OPEN_SSH_PORT""Se hai impostato manualmente lo stato di disattivazione per alcuni risultati, questo metodo potrebbe anche reimpostare lo stato di disattivazione di questi risultati.
Per saperne di più sull'aggiornamento di una regola di silenziamento, consulta Aggiornare le regole di silenziamento.
Se hai bisogno di aiuto per eseguire la migrazione delle regole di disattivazione statiche alle regole di disattivazione dinamiche, contatta il supporto.
Passaggi successivi
Scopri di più sulla creazione e la gestione delle regole di disattivazione.