從靜態忽略規則遷移至動態忽略規則

本頁說明如何將現有的靜態忽略規則遷移至動態忽略規則。

建議您在忽略規則設定中只使用動態忽略規則，因為這類規則比靜態忽略規則更具彈性。相較於靜態忽略規則，動態忽略規則有以下三項主要優點：

• 動態忽略規則會套用至現有和新的發現項目。動態忽略規則會自動忽略符合篩選條件的現有、新或更新的發現項目。
• 動態忽略規則提供到期選項。您也可以透過動態忽略規則設定自訂到期日，暫時比對特定發現項目。如果未設定有效期限，動態忽略規則會無限期忽略發現項目，直到發現項目不再符合規則為止。

• 動態忽略規則會自動取消忽略發現項目。發生下列任一情況時，Security Command Center 會自動取消忽略發現項目：

  • 動態忽略規則到期。
  • 發現項目的屬性變更，不再符合篩選條件。
  • 篩選條件變更後，不再符合該發現項目。

我們不建議同時使用靜態和動態忽略規則。如果靜態忽略規則套用至相同發現項目，就會覆寫動態忽略規則。因此，動態忽略規則無法正常運作，管理發現項目時可能會造成混淆。

如要只使用動態忽略規則，請參閱下列章節，瞭解遷移靜態忽略規則所需的權限和步驟。

權限

如要取得執行動態靜音遷移程序所需的權限，請要求管理員在 Google Cloud 組織、資料夾或專案中，授予您下列 IAM 角色：

• 安全中心管理員檢視者 (roles/securitycenter.adminViewer)
• 安全中心設定檢視者 (roles/securitycenter.settingsViewer)
• 安全中心忽略設定檢視者 (roles/securitycenter.muteConfigsViewer)
• 安全中心管理員 (roles/securitycenter.admin)
• 安全中心管理員/編輯者 (roles/securitycenter.adminEditor)
• 安全中心設定編輯者(roles/securitycenter.settingsEditor)
• 安全中心忽略設定編輯者 (roles/securitycenter.muteConfigsEditor)
• 安全中心發現項目編輯者 (roles/securitycenter.findingsEditor)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

遷移至動態忽略規則

如要只使用動態忽略規則，請完成下列步驟建立動態忽略規則，並確保現有已忽略的發現項目在遷移後仍處於忽略狀態。

1. 建立新的動態忽略規則。忽略規則建立後，您就無法修改規則類型。因此，如要保留靜態忽略規則，請為每個規則建立一個動態忽略規則。每個新動態忽略規則的名稱都不得與現有忽略規則重複。Security Command Center 可能需要幾小時，才能將動態忽略規則套用至適當的發現項目。如需建立動態忽略規則的操作說明，請參閱「建立忽略規則」。

2. 驗證適用發現項目的靜音狀態。如要驗證動態忽略規則是否已正確套用，可以使用 Security Command Center API 中的 muteInfo 屬性列出適用的發現項目，並檢查其忽略欄位。這有助於判斷適用的發現項目是否使用動態或靜態忽略規則。

   舉例來說，您可以在查詢中使用 muteInfo.dynamicMuteRecords，列出因新動態靜音規則而遭到靜音的適用發現項目：

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   如要進一步瞭解如何列出發現項目，請參閱「使用 Security Command Center API 列出安全性發現項目」。

3. 刪除所有靜態忽略規則。適用於日後發現項目的新動態規則已建立完成。請刪除所有現有的靜態忽略規則，確保這些規則不會覆寫新發現項目的新動態忽略規則。如需如何刪除忽略規則的說明，請參閱「刪除忽略規則」。刪除靜態忽略規則不會變更現有發現項目的靜態忽略狀態。

4. 重設所有發現項目的靜態忽略狀態。如要大量重設現有發現項目的靜態忽略狀態，請執行下列其中一項操作：

   • 使用 gcloud scc findings bulk-mute 指令或 bulkMute API 方法，並將 muteState 屬性設為 UNDEFINED。針對 --filter 旗標或 filter 欄位，請使用與您刪除的靜態忽略規則忽略的發現項目相符的發現項目篩選器。

     以下範例使用 gcloud scc findings bulk-mute 指令。 如果您使用篩選器 category="OPEN_SSH_PORT" 刪除靜態忽略規則，可以執行下列指令，重設符合該篩選條件的發現項目忽略狀態：

     gcloud scc findings bulk-mute --organization=ORGANIZATION_ID --filter="category=\"OPEN_SSH_PORT\"" --mute-state=UNDEFINED
     

     將 ORGANIZATION_ID 替換為您的組織 ID。您可以視需要重設的發現項目範圍，將 --organization 替換為 --project 或 --folder。

     如需大量靜音操作的更多說明，請參閱「將多個現有發現項目設為靜音或重設」。

   • 如果大量忽略作業逾時，請清除所有發現項目的靜態忽略狀態。請更新大量忽略篩選器，使用涵蓋所有相關發現的較不精細篩選器。

     請參考以下靜態忽略規則中的篩選器範例：

     filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456\")"
     

     如要清除符合這項靜態忽略規則篩選條件的所有發現項目的忽略狀態，請修改篩選條件，移除發現項目類別後方的其他條件。在本例中，結果如下：

     filter: "category = \"OPEN_SSH_PORT""
     

     如果您已手動將任何發現項目設為忽略，這個方法也可能會重設這些發現項目的忽略狀態。

     如要進一步瞭解如何更新忽略規則，請參閱更新忽略規則。

如需將靜態忽略規則遷移至動態忽略規則的相關協助，請與支援團隊聯絡。

後續步驟

進一步瞭解如何建立及管理忽略規則。