Diese Seite wurde von der Cloud Translation API übersetzt.

Von statischen zu dynamischen Ausblendungsregeln migrieren

Auf dieser Seite wird beschrieben, wie Sie Ihre vorhandenen statischen Ausblendungsregeln zu dynamischen Ausblendungsregeln migrieren.

Wir empfehlen, in Ihren Konfigurationen für Ausblendungsregeln ausschließlich dynamische Ausblendungsregeln zu verwenden, da sie flexibler sind als statische Ausblendungsregeln. Dynamische Ausblendungsregeln bieten im Vergleich zu statischen Ausblendungsregeln drei wesentliche Vorteile:

Dynamische Ausblendungsregeln gelten für vorhandene und neue Ergebnisse. Mit dynamischen Ausblendungsregeln werden sowohl vorhandene als auch neue oder aktualisierte Ergebnisse, die Ihren Filterkriterien entsprechen, automatisch ausgeblendet.
Dynamische Ausblendungsregeln bieten eine Ablaufoption. Mit dynamischen Ausblendungsregeln können Sie auch einen benutzerdefinierten Ablaufzeitraum festlegen, um bestimmte Ergebnisse vorübergehend zu berücksichtigen. Wenn kein Ablaufzeitraum festgelegt ist, werden Ergebnisse durch dynamische Ausblendungsregeln unbegrenzt ausgeblendet, bis sie nicht mehr mit der Regel übereinstimmen.
Mit dynamischen Ausblendungsregeln werden Ergebnisse automatisch wieder eingeblendet. In den folgenden Fällen wird die Stummschaltung des Ergebnisses in Security Command Center automatisch aufgehoben:
- Die dynamische Ausblendungsregel läuft ab.
- Die Eigenschaften eines Ergebnisses ändern sich, sodass sie nicht mehr Ihren Filterkriterien entsprechen.
- Die Filterkriterien ändern sich, sodass sie nicht mehr mit dem Ergebnis übereinstimmen.

Wir empfehlen nicht, statische und dynamische Stummschaltungsregeln gleichzeitig zu verwenden. Statische Ausblendungsregeln überschreiben dynamische Ausblendungsregeln, wenn sie auf denselben Befund angewendet werden. Daher funktionieren dynamische Ausblendungsregeln nicht wie vorgesehen, was bei der Verwaltung Ihrer Ergebnisse zu Verwirrung führen kann.

Wenn Sie ausschließlich dynamische Ausblendungsregeln verwenden möchten, werden in den folgenden Abschnitten die Berechtigungen und Schritte beschrieben, die für die Migration Ihrer statischen Ausblendungsregeln erforderlich sind.

Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Google Cloud-Organisation, Ihren Ordner oder Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Migration der dynamischen Stummschaltung benötigen:

Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
Betrachter von Sicherheitscenter-Einstellungen (roles/securitycenter.settingsViewer)
Betrachter von Konfigurationen für Ausblendungen im Sicherheitscenter (roles/securitycenter.muteConfigsViewer)
Sicherheitscenter-Administrator (roles/securitycenter.admin)
Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
Bearbeiter von Sicherheitscenter-Einstellungen(roles/securitycenter.settingsEditor)
Bearbeiter von Konfigurationen für Ausblendungen im Sicherheitscenter (roles/securitycenter.muteConfigsEditor)
Sicherheitscenter-Ergebnisbearbeiter (roles/securitycenter.findingsEditor)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Zu dynamischen Ausblendungsregeln migrieren

Wenn Sie ausschließlich dynamische Ausblendungsregeln verwenden möchten, führen Sie die folgenden Schritte aus, um dynamische Ausblendungsregeln zu erstellen und dafür zu sorgen, dass vorhandene ausgeblendete Ergebnisse nach der Migration ausgeblendet bleiben.

Erstellen Sie neue dynamische Ausblendungsregeln. Der Typ einer Ausblendungsregel kann nach dem Erstellen nicht mehr geändert werden. Daher müssen Sie für jede statische Ausblendungsregel, die Sie beibehalten möchten, eine dynamische Ausblendungsregel erstellen. Der Name jeder neuen dynamischen Ausblendungsregel muss sich von den Namen der vorhandenen Ausblendungsregeln unterscheiden. Es kann einige Stunden dauern, bis die dynamischen Ausblendungsregeln in Security Command Center auf die entsprechenden Ergebnisse angewendet werden. Eine Anleitung zum Erstellen einer dynamischen Ausblendungsregel findest du unter Ausblendungsregel erstellen.
Prüfen Sie den Stummschaltungsstatus der entsprechenden Ergebnisse. Um zu prüfen, ob die dynamischen Ausblendungsregeln richtig angewendet wurden, können Sie das Attribut muteInfo in der Security Command Center API verwenden, um die entsprechenden Ergebnisse aufzulisten und die Ausblendungsfelder zu prüfen. So können Sie feststellen, ob für die Ergebnisse dynamische oder statische Ausblendungsregeln verwendet werden.

Sie können beispielsweise muteInfo.dynamicMuteRecords in einer Abfrage verwenden, um die Ergebnisse aufzulisten, die durch die neue dynamische Stummschaltungsregel ausgeblendet werden:
```
  contains(muteInfo.dynamicMuteRecords, muteConfig =
  "organizations/123/muteConfigs/my-dynamic-rule")
```
Weitere Informationen zum Auflisten von Ergebnissen finden Sie unter Sicherheitsergebnisse mit der Security Command Center API auflisten.
Löschen Sie alle statischen Ausblendungsregeln. Zukünftige Ergebnisse, die für Sie relevant sind, werden von den neuen dynamischen Regeln abgedeckt, die Sie erstellt haben. Löschen Sie alle vorhandenen statischen Ausblendungsregeln, damit sie die neuen dynamischen Ausblendungsregeln für neue Ergebnisse nicht überschreiben. Eine Anleitung zum Löschen einer Ausblendungsregel findest du unter Ausblendungsregeln löschen. Durch das Löschen statischer Ausblendungsregeln ändert sich der Status der statischen Ausblendung vorhandener Ergebnisse nicht.
Setzen Sie den statischen Ausblendungsstatus für alle Ergebnisse zurück. Führen Sie eine der folgenden Aktionen aus, um den statischen Ausblendungsstatus vorhandener Ergebnisse im Bulk zurückzusetzen:
- Verwenden Sie entweder den Befehl gcloud scc findings bulk-mute oder die bulkMute API-Methode, wobei das Attribut muteState auf UNDEFINED gesetzt ist. Wiederholen Sie diesen Schritt für jede gelöschte statische Ausblendungsregel. Eine Anleitung zum Ausblenden mehrerer Ergebnisse finden Sie unter Mehrere vorhandene Ergebnisse ausblenden oder zurücksetzen.
- Wenn beim Ausblenden im Bulk-Verfahren ein Zeitlimit erreicht wird, können Sie den statischen Ausblendungsstatus für alle Ergebnisse aufheben. Aktualisieren Sie dazu den Filter für das Ausblenden im Bulk-Verfahren, sodass weniger detaillierte Filter verwendet werden, die alle relevanten Ergebnisse abdecken, die Sie aktualisieren möchten.
  
  Im folgenden Beispiel wird ein Filter in einer statischen Stummschaltungsregel verwendet:
```
filter: "category = \"OPEN_SSH_PORT\" AND
(resource.parentDisplayName = \"organizations/123\"
OR resource.parentDisplayName = \"folder/456")"
```
  Wenn Sie den Ausblendungsstatus für alle Ergebnisse aufheben möchten, die den Kriterien dieses Filters für statische Ausblendungsregeln entsprechen, können Sie den Filter ändern, indem Sie die zusätzlichen Bedingungen entfernen, die auf die Ergebniskategorie folgen. In diesem Beispiel würde das Ergebnis so aussehen:
```
filter: "category = \"OPEN_SSH_PORT""
```
  Wenn Sie den Ausblendungsstatus für Ergebnisse manuell festgelegt haben, wird er durch diese Methode möglicherweise zurückgesetzt.
  
  Weitere Informationen zum Aktualisieren einer Ausblendungsregel finden Sie unter Ausblendungsregeln aktualisieren.

Wenn du Hilfe bei der Migration deiner statischen Ausblendungsregeln zu dynamischen Ausblendungsregeln benötigst, wende dich an den Support.

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Stummschaltungsregeln