Se usó la API de Cloud Translation para traducir esta página.

Cómo migrar de reglas de silenciamiento estáticas a dinámicas

En esta página, se explica cómo migrar tus reglas de silenciamiento estáticas existentes a reglas de silenciamiento dinámico.

Te recomendamos que uses reglas de silencio dinámicas exclusivamente en tus configuraciones de reglas de silencio, ya que son más flexibles que las reglas de silencio estáticas. En comparación con las reglas de silenciamiento estáticas, las reglas de silenciamiento dinámico tienen tres beneficios clave:

Las reglas de silenciamiento dinámico se aplican a los hallazgos nuevos y existentes. Las reglas de silenciamiento dinámico silencian automáticamente los resultados existentes y nuevos o actualizados que coincidan con tus criterios de filtro.
Las reglas de silenciamiento dinámico ofrecen una opción de vencimiento. Las reglas de silenciamiento dinámico también te permiten establecer un período de vencimiento personalizado para que coincidan temporalmente con hallazgos específicos. Si no se establece un período de vencimiento, las reglas de silenciamiento dinámicas silencian los resultados de forma indefinida hasta que ya no coincidan con la regla.
Las reglas de silenciamiento dinámico dejan de silenciar los resultados automáticamente. Cuando ocurre cualquiera de los siguientes eventos, Security Command Center desbloquea automáticamente el hallazgo:
- Vence la regla de silenciamiento dinámico.
- Las propiedades de un hallazgo cambian y ya no coinciden con tus criterios de filtro.
- Los criterios de filtro cambian para que ya no coincidan con el hallazgo.

No recomendamos usar reglas de silenciamiento estáticas y dinámicas de forma simultánea. Las reglas de silenciamiento estáticas anula las reglas de silenciamiento dinámico cuando se aplican al mismo resultado. Como resultado, las reglas de silenciamiento dinámico no funcionarán según lo previsto, lo que puede generar confusión cuando administras tus resultados.

Si deseas usar exclusivamente reglas de silenciamiento dinámicas, en las siguientes secciones se describen los permisos y los pasos necesarios para migrar tus reglas de silenciamiento estáticas.

Permisos

Para obtener los permisos que necesitas para realizar el proceso de migración de silenciamiento dinámico, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización, carpeta o proyecto de Google Cloud:

Visualizador administrador del centro de seguridad (roles/securitycenter.adminViewer)
Visualizador de configuración del centro de seguridad (roles/securitycenter.settingsViewer)
Visualizador de parámetros de configuración de elementos silenciados del centro de seguridad (roles/securitycenter.muteConfigsViewer)
Administrador del centro de seguridad (roles/securitycenter.admin)
Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
Editor de configuración del centro de seguridad(roles/securitycenter.settingsEditor)
Editor de parámetros de configuración de elementos silenciados del centro de seguridad (roles/securitycenter.muteConfigsEditor)
Editor de hallazgos del centro de seguridad (roles/securitycenter.findingsEditor)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Cómo migrar a reglas de silenciamiento dinámico

Para usar exclusivamente las reglas de silenciamiento dinámico, completa los siguientes pasos para crearlas y asegurarte de que los resultados silenciados existentes permanezcan silenciados después de la migración.

Crea nuevas reglas de silenciamiento dinámico. No puedes modificar el tipo de una regla de silenciamiento después de crearla. Por lo tanto, debes crear una regla de silenciamiento dinámico para cada regla de silenciamiento estático que desees conservar. Cada nombre de regla de silenciamiento dinámico nuevo debe ser único entre las reglas de silenciamiento existentes. Security Command Center puede tardar unas horas en aplicar las reglas de silenciamiento dinámico a los resultados adecuados. Para obtener instrucciones sobre cómo crear una regla de silenciamiento dinámico, consulta Crea una regla de silenciamiento.
Valida el estado de silenciamiento de los hallazgos aplicables. Para validar que las reglas de silenciamiento dinámico se hayan aplicado de forma correcta, puedes usar el atributo muteInfo en la API de Security Command Center para enumerar los resultados aplicables y, luego, inspeccionar sus campos de silenciamiento. Esto te ayuda a determinar si los resultados aplicables usan reglas de silenciamiento dinámicas o estáticas.

Por ejemplo, usa muteInfo.dynamicMuteRecords en una consulta para enumerar los hallazgos aplicables que silencia la nueva regla de silenciamiento dinámico:
```
  contains(muteInfo.dynamicMuteRecords, muteConfig =
  "organizations/123/muteConfigs/my-dynamic-rule")
```
Para obtener más información sobre cómo enumerar los resultados, consulta Enumera los resultados de seguridad con la API de Security Command Center.
Borra todas las reglas de silenciamiento estáticas. Las nuevas reglas dinámicas que creaste abarcan los hallazgos futuros aplicables. Borra todas tus reglas de silenciamiento estáticas existentes para asegurarte de que no anulen las nuevas reglas de silenciamiento dinámico para los hallazgos nuevos. Para obtener instrucciones sobre cómo borrar una regla de silenciamiento, consulta Borra reglas de silenciamiento. Si borras las reglas de silenciamiento estáticas, no se cambiará el estado de silenciamiento estático de los resultados existentes.
Restablece el estado de silenciamiento estático en todos los hallazgos. Para restablecer el estado de silenciamiento estático de los resultados existentes de forma masiva, realiza una de las siguientes acciones:
- Usa el comando gcloud scc findings bulk-mute o el método de la API de bulkMute con el atributo muteState configurado como UNDEFINED. Hazlo para cada regla de silenciamiento estático que borraste. Para obtener instrucciones sobre cómo realizar operaciones de silenciamiento masivo, consulta Silencia o restablece varios resultados existentes.
- Si se agota el tiempo de espera de la operación de silenciamiento masivo, puedes borrar el estado de silenciamiento estático de todos los resultados. Para ello, actualiza el filtro de silenciamiento masivo para usar filtros menos detallados que abarquen todos los resultados relevantes que necesitas actualizar.
  
  Considera el siguiente ejemplo de un filtro en una regla de silenciamiento estático:
```
filter: "category = \"OPEN_SSH_PORT\" AND
(resource.parentDisplayName = \"organizations/123\"
OR resource.parentDisplayName = \"folder/456")"
```
  Para borrar el estado de silenciamiento de todos los resultados que coincidan con los criterios de este filtro de reglas de silenciamiento estáticas, puedes modificar el filtro quitando las condiciones adicionales que siguen a la categoría del resultado. En este ejemplo, el resultado sería el siguiente:
```
filter: "category = \"OPEN_SSH_PORT""
```
  Si configuraste manualmente el estado de silenciamiento de algún hallazgo, es posible que este método también restablezca el estado de silenciamiento de esos hallazgos.
  
  Si deseas obtener más información para actualizar una regla de silenciamiento, consulta Actualiza las reglas de silenciamiento.

Si necesitas ayuda para migrar tus reglas de silenciamiento estáticas a reglas de silenciamiento dinámicas, comunícate con el equipo de asistencia.

¿Qué sigue?

Obtén más información para crear y administrar reglas de silenciamiento.