Von statischen zu dynamischen Ausblendungsregeln migrieren

Auf dieser Seite wird erläutert, wie Sie Ihre vorhandenen statischen Ausblendungsregeln zu dynamischen Ausblendungsregeln migrieren.

Wir empfehlen, ausschließlich dynamische Ausblendungsregeln in Ihren Ausblendungsregelkonfigurationen zu verwenden, da sie flexibler als statische Ausblendungsregeln sind. Dynamische Ausblendungsregeln haben im Vergleich zu statischen Ausblendungsregeln drei wesentliche Vorteile:

• Dynamische Ausblendungsregeln gelten für bestehende und neue Ergebnisse. Mit dynamischen Ausblendungsregeln werden sowohl vorhandene als auch neue oder aktualisierte Ergebnisse, die Ihren Filterkriterien entsprechen, automatisch ausgeblendet.
• Dynamische Ausblendungsregeln bieten eine Ablaufoption. Mit dynamischen Ausblendungsregeln können Sie auch einen benutzerdefinierten Ablaufzeitraum festlegen, um bestimmte Ergebnisse vorübergehend zu berücksichtigen. Wenn kein Ablaufzeitraum festgelegt ist, werden Ergebnisse durch dynamische Ausblendungsregeln auf unbestimmte Zeit ausgeblendet, bis sie nicht mehr der Regel entsprechen.

• Dynamische Ausblendungsregeln blenden Ergebnisse automatisch wieder ein. Wenn einer der folgenden Fälle eintritt, wird das Ergebnis in Security Command Center automatisch wieder aktiviert:

  • Die dynamische Ausblendungsregel läuft ab.
  • Die Eigenschaften eines Ergebnisses ändern sich so, dass es nicht mehr Ihren Filterkriterien entspricht.
  • Die Filterkriterien ändern sich und stimmen nicht mehr mit dem Ergebnis überein.

Wir raten davon ab, statische und dynamische Stummschaltungsregeln gleichzeitig zu verwenden. Statische Ausblendungsregeln haben Vorrang vor dynamischen Ausblendungsregeln, wenn sie auf denselben Fund angewendet werden. Daher funktionieren dynamische Ausblendungsregeln nicht wie vorgesehen, was zu Verwirrung bei der Verwaltung Ihrer Ergebnisse führen kann.

Wenn Sie ausschließlich dynamische Ausblendungsregeln verwenden möchten, finden Sie in den folgenden Abschnitten die Berechtigungen und Schritte, die für die Migration Ihrer statischen Ausblendungsregeln erforderlich sind.

Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Google Cloud Organisation, Ihren Ordner oder Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Durchführung der Migration der dynamischen Stummschaltung benötigen:

• Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
• Betrachter von Sicherheitscenter-Einstellungen (roles/securitycenter.settingsViewer)
• Betrachter von Konfigurationen für Ausblendungen im Sicherheitscenter (roles/securitycenter.muteConfigsViewer)
• Sicherheitscenter-Administrator (roles/securitycenter.admin)
• Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
• Bearbeiter von Sicherheitscenter-Einstellungen(roles/securitycenter.settingsEditor)
• Bearbeiter von Konfigurationen für Ausblendungen im Sicherheitscenter (roles/securitycenter.muteConfigsEditor)
• Bearbeiter von Sicherheitscenter-Ergebnissen (roles/securitycenter.findingsEditor)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Zu dynamischen Ausblendungsregeln migrieren

Wenn Sie ausschließlich dynamische Ausblendungsregeln verwenden möchten, führen Sie die folgenden Schritte aus, um dynamische Ausblendungsregeln zu erstellen und dafür zu sorgen, dass vorhandene ausgeblendete Ergebnisse nach der Migration ausgeblendet bleiben.

1. Neue dynamische Ausblendungsregeln erstellen Der Typ einer Ausblendungsregel kann nach dem Erstellen nicht mehr geändert werden. Sie müssen daher für jede statische Ausblendungsregel, die Sie behalten möchten, eine dynamische Ausblendungsregel erstellen. Jeder neue Name für eine dynamische Ausblendungsregel muss sich von den vorhandenen Ausblendungsregeln unterscheiden. Es kann einige Stunden dauern, bis Security Command Center die dynamischen Ausblendungsregeln auf die entsprechenden Ergebnisse anwendet. Eine Anleitung zum Erstellen einer dynamischen Ausblendungsregel finden Sie unter Regel zum Ausblenden erstellen.

2. Prüfen Sie den Stummschaltungsstatus der entsprechenden Ergebnisse. Um zu prüfen, ob die dynamischen Ausblendregeln richtig angewendet wurden, können Sie das Attribut muteInfo in der Security Command Center API verwenden, um die entsprechenden Ergebnisse aufzulisten und ihre Ausblendfelder zu prüfen. So können Sie ermitteln, ob für die entsprechenden Ergebnisse dynamische oder statische Ausblendungsregeln verwendet werden.

   Mit muteInfo.dynamicMuteRecords in einer Abfrage können Sie beispielsweise die anwendbaren Ergebnisse auflisten, die durch die neue dynamische Stummschaltungsregel stummgeschaltet werden:

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   Weitere Informationen zum Auflisten von Ergebnissen finden Sie unter Sicherheitsergebnisse mit der Security Command Center API auflisten.

3. Alle statischen Ausblendungsregeln löschen Zukünftige Ergebnisse, die auf die neuen dynamischen Regeln zutreffen, werden berücksichtigt. Löschen Sie alle vorhandenen statischen Ausblendungsregeln, damit sie die neuen dynamischen Ausblendungsregeln für neue Ergebnisse nicht überschreiben. Eine Anleitung zum Löschen einer Regel zum Ausblenden finden Sie unter Regeln zum Ausblenden löschen. Das Löschen statischer Ausblendungsregeln ändert den statischen Ausblendungsstatus vorhandener Ergebnisse nicht.

4. Statischen Ausblendungsstatus für alle Ergebnisse zurücksetzen: Führen Sie eine der folgenden Aktionen aus, um den statischen Status „Ausgeblendet“ vorhandener Ergebnisse im Bulk zurückzusetzen:

   • Verwenden Sie entweder den Befehl gcloud scc findings bulk-mute oder die bulkMute API-Methode, bei der das Attribut muteState auf UNDEFINED gesetzt ist. Wiederholen Sie diesen Vorgang für jede statische Ausblendungsregel, die Sie gelöscht haben. Eine Anleitung zum Ausführen von Bulk-Ausblendungsvorgängen finden Sie unter Mehrere vorhandene Ergebnisse ausblenden oder zurücksetzen.

   • Wenn bei der Bulk-Ausblendung ein Zeitüberschreitungsfehler auftritt, können Sie den statischen Ausblendungsstatus für alle Ergebnisse löschen. Dazu müssen Sie den Bulk-Ausblendungsfilter so aktualisieren, dass weniger detaillierte Filter verwendet werden, die alle relevanten Ergebnisse abdecken, die Sie aktualisieren müssen.

     Hier ein Beispiel für einen Filter in einer statischen Stummschaltungsregel:

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     Wenn Sie den Ausblendungsstatus für alle Ergebnisse aufheben möchten, die den Kriterien dieses Filters für statische Ausblendungsregeln entsprechen, können Sie den Filter ändern, indem Sie die zusätzlichen Bedingungen nach der Ergebniskategorie entfernen. In diesem Beispiel sieht das Ergebnis so aus:

     filter: "category = \"OPEN_SSH_PORT""
     

     Wenn Sie den Ausblendungsstatus für Ergebnisse manuell festgelegt haben, wird er durch diese Methode möglicherweise zurückgesetzt.

     Weitere Informationen zum Aktualisieren einer Ausblendungs-Regel finden Sie unter Regeln zum Ausblenden aktualisieren.

Wenn Sie Hilfe bei der Migration Ihrer statischen Ausblendungsregeln zu dynamischen Ausblendungsregeln benötigen, wenden Sie sich an den Support.

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Stummschaltungsregeln