Migrer des règles Ignorer statiques vers des règles Ignorer dynamiques

Cette page explique comment migrer vos règles Ignorer statiques vers des règles Ignorer dynamiques.

Nous vous recommandons d'utiliser exclusivement des règles Ignorer dynamiques dans vos configurations de règles Ignorer, car elles sont plus flexibles que les règles Ignorer statiques. Par rapport aux règles Ignorer statiques, les règles Ignorer dynamiques présentent trois avantages clés:

• Les règles Ignorer dynamiques s'appliquent aux résultats existants et nouveaux. Les règles de masquage dynamique ignorent automatiquement les résultats existants, nouveaux ou mis à jour qui correspondent à vos critères de filtrage.
• Les règles Ignorer dynamiques proposent une option d'expiration. Les règles de masquage dynamique vous permettent également de définir une période d'expiration personnalisée pour correspondre temporairement à des résultats spécifiques. Si aucune période d'expiration n'est définie, les règles de blocage dynamique ignorent les résultats indéfiniment jusqu'à ce qu'ils ne correspondent plus à la règle.

• Les règles Ignorer dynamiques réactivent automatiquement les résultats. Lorsque l'un des événements suivants se produit, Security Command Center réactive automatiquement le résultat:

  • La règle Ignorer dynamique expire.
  • Les propriétés d'une recherche changent et ne correspondent plus à vos critères de filtrage.
  • Les critères de filtrage changent pour ne plus correspondre au résultat.

Nous vous déconseillons d'utiliser simultanément des règles de masquage statiques et dynamiques. Les règles Ignorer statiques remplacent les règles Ignorer dynamiques lorsqu'elles sont appliquées à la même observation. Par conséquent, les règles Ignorer dynamique ne fonctionneront pas comme prévu, ce qui peut prêter à confusion lorsque vous gérez vos résultats.

Si vous souhaitez utiliser uniquement des règles Ignorer dynamiques, les sections suivantes décrivent les autorisations et les étapes nécessaires pour migrer vos règles Ignorer statiques.

Autorisations

Pour obtenir les autorisations nécessaires pour effectuer le processus de migration de la mise en sourdine dynamique, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre organisation, dossier ou projet Google Cloud:

• Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer)
• Lecteur de paramètres du centre de sécurité (roles/securitycenter.settingsViewer)
• Lecteur des configurations de mise en sourdine du centre de sécurité (roles/securitycenter.muteConfigsViewer)
• Administrateur du centre de sécurité (roles/securitycenter.admin)
• Éditeur administrateur du centre de sécurité (roles/securitycenter.adminEditor)
• Éditeur de paramètres du centre de sécurité(roles/securitycenter.settingsEditor)
• Éditeur des configurations de mise en sourdine du centre de sécurité (roles/securitycenter.muteConfigsEditor)
• Éditeur de données du centre de sécurité (roles/securitycenter.findingsEditor)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Migrer vers des règles Ignorer dynamiques

Pour utiliser exclusivement des règles de masquage dynamique, procédez comme suit pour créer des règles de masquage dynamique et vous assurer que les résultats masqués existants restent masqués après la migration.

1. Créez des règles Ignorer dynamiques. Vous ne pouvez pas modifier le type d'une règle de blocage une fois qu'elle a été créée. Vous devez donc créer une règle Ignorer dynamique pour chaque règle Ignorer statique que vous souhaitez conserver. Chaque nouveau nom de règle Ignorer dynamique doit être unique par rapport aux règles Ignorer existantes. L'application des règles de masquage dynamique aux résultats appropriés peut prendre quelques heures dans Security Command Center. Pour savoir comment créer une règle de blocage dynamique, consultez Créer une règle de blocage.

2. Vérifiez l'état de désactivation des résultats applicables. Pour vérifier que les règles de masquage dynamique ont été appliquées correctement, vous pouvez utiliser l'attribut muteInfo dans l'API Security Command Center pour lister les résultats applicables et inspecter leurs champs de masquage. Cela vous permet de déterminer si les résultats applicables utilisent des règles Ignorer dynamiques ou statiques.

   Par exemple, utilisez muteInfo.dynamicMuteRecords dans une requête pour lister les résultats applicables qui sont masqués par la nouvelle règle de masquage dynamique:

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   Pour en savoir plus sur la liste des résultats, consultez la section Répertorier les résultats de sécurité à l'aide de l'API Security Command Center.

3. Supprimez toutes les règles de blocage statiques. Les futurs résultats applicables sont couverts par les nouvelles règles dynamiques que vous avez créées. Supprimez toutes vos règles Ignorer statiques existantes pour vous assurer qu'elles ne remplacent pas les nouvelles règles Ignorer dynamiques pour les nouveaux résultats. Pour savoir comment supprimer une règle de blocage, consultez Supprimer des règles de blocage. La suppression de règles de masquage statiques ne modifie pas l'état de masquage statique des résultats existants.

4. Réinitialisez l'état de masquage statique pour tous les résultats. Pour réinitialiser l'état de désactivation statique des résultats existants de manière groupée, effectuez l'une des actions suivantes:

   • Utilisez la commande gcloud scc findings bulk-mute ou la méthode de l'API bulkMute avec l'attribut muteState défini sur UNDEFINED. Faites-le pour chaque règle de masquage statique que vous avez supprimée. Pour savoir comment effectuer des opérations de masquage groupé, consultez Masquer ou réinitialiser plusieurs résultats existants.

   • Si l'opération de masquage groupé expire, vous pouvez effacer l'état de masquage statique de tous les résultats en mettant à jour votre filtre de masquage groupé pour utiliser des filtres moins précis qui couvrent tous les résultats pertinents que vous devez mettre à jour.

     Prenons l'exemple suivant d'un filtre dans une règle de masquage statique:

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     Pour effacer l'état de mise en sourdine pour tous les résultats qui correspondent aux critères de ce filtre de règle de mise en sourdine statique, vous pouvez modifier le filtre en supprimant les conditions supplémentaires qui suivent la catégorie de résultats. Pour cet exemple, le résultat est le suivant:

     filter: "category = \"OPEN_SSH_PORT""
     

     Si vous avez défini manuellement l'état de masquage pour certains résultats, cette méthode peut également réinitialiser l'état de masquage de ces résultats.

     Pour en savoir plus sur la mise à jour d'une règle de blocage, consultez Mettre à jour des règles de blocage.

Si vous avez besoin d'aide pour migrer vos règles Ignorer statiques vers des règles Ignorer dynamiques, contactez l'assistance.

Étape suivante

Découvrez comment créer et gérer des règles de masquage.