Bermigrasi dari aturan bisukan statis ke dinamis

Halaman ini menjelaskan cara memigrasikan aturan senyap statis yang ada ke aturan senyap dinamis.

Sebaiknya gunakan aturan senyap dinamis secara eksklusif dalam konfigurasi aturan senyap karena lebih fleksibel daripada aturan senyap statis. Dibandingkan dengan aturan senyap statis, aturan senyap dinamis memiliki tiga manfaat utama:

  • Aturan penonaktifan dinamis berlaku untuk temuan yang ada dan baru. Aturan penonaktifan dinamis secara otomatis menonaktifkan temuan yang ada dan yang baru atau diperbarui yang cocok dengan kriteria filter Anda.
  • Aturan penonaktifan dinamis menawarkan opsi masa berlaku. Aturan senyap dinamis juga memungkinkan Anda menetapkan periode habis masa berlaku kustom untuk mencocokkan temuan tertentu untuk sementara. Jika periode habis masa berlaku tidak ditetapkan, aturan penonaktifan dinamis akan menonaktifkan temuan tanpa batas waktu hingga temuan tersebut tidak lagi cocok dengan aturan.

  • Aturan pembisuan dinamis akan otomatis membatalkan pembisuan temuan. Jika salah satu dari berikut terjadi, Security Command Center akan otomatis membatalkan pembisuan temuan:

    • Masa berlaku aturan penonaktifan dinamis berakhir.
    • Properti temuan berubah sehingga tidak lagi cocok dengan kriteria filter Anda.
    • Kriteria filter berubah sehingga tidak lagi cocok dengan temuan.

Sebaiknya jangan gunakan aturan senyap statis dan dinamis secara bersamaan. Aturan senyapkan statis menggantikan aturan senyapkan dinamis saat diterapkan pada temuan yang sama. Akibatnya, aturan bisu dinamis tidak akan berfungsi seperti yang diharapkan, yang dapat menimbulkan kebingungan saat mengelola temuan Anda.

Jika Anda ingin menggunakan aturan senyap dinamis secara eksklusif, bagian berikut menjelaskan izin dan langkah-langkah yang diperlukan untuk memigrasikan aturan senyap statis Anda.

Izin

Untuk mendapatkan izin yang diperlukan untuk melakukan proses migrasi senyap dinamis, minta administrator Anda untuk memberi Anda peran IAM berikut di Google Cloud organisasi, folder, atau project Anda:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Bermigrasi ke aturan penonaktifan dinamis

Untuk menggunakan aturan senyap dinamis secara eksklusif, selesaikan langkah-langkah berikut untuk membuat aturan senyap dinamis dan memastikan temuan yang disenyapkan tetap disenyapkan setelah migrasi.

  1. Buat aturan penonaktifan dinamis baru. Anda tidak dapat mengubah jenis aturan senyap setelah dibuat. Oleh karena itu, Anda harus membuat satu aturan penonaktifan dinamis untuk setiap aturan penonaktifan statis yang ingin Anda pertahankan. Setiap nama aturan senyap dinamis baru harus unik dari aturan senyap yang ada. Security Command Center mungkin memerlukan beberapa jam untuk menerapkan aturan nonaktif dinamis ke temuan yang sesuai. Untuk petunjuk cara membuat aturan penonaktifan dinamis, lihat Membuat aturan penonaktifan.

  2. Memvalidasi status nonaktif temuan yang berlaku. Untuk memvalidasi bahwa aturan nonaktif dinamis telah diterapkan dengan tepat, Anda dapat menggunakan atribut muteInfo di Security Command Center API untuk mencantumkan temuan yang berlaku dan memeriksa kolom nonaktifnya. Hal ini membantu Anda menentukan apakah temuan yang berlaku menggunakan aturan senyap dinamis atau statis.

    Misalnya, gunakan muteInfo.dynamicMuteRecords dalam kueri untuk mencantumkan temuan yang berlaku yang dibisukan oleh aturan bisu dinamis baru:

      contains(muteInfo.dynamicMuteRecords, muteConfig =
  "organizations/123/muteConfigs/my-dynamic-rule")

    Untuk mengetahui informasi selengkapnya tentang cara mencantumkan temuan, lihat Mencantumkan temuan keamanan menggunakan Security Command Center API.

  3. Hapus semua aturan penonaktifan statis. Temuan mendatang yang relevan akan tercakup dalam aturan dinamis baru yang Anda buat. Hapus semua aturan penonaktifan statis yang ada untuk memastikan aturan tersebut tidak menggantikan aturan penonaktifan dinamis baru untuk temuan baru. Untuk mengetahui petunjuk cara menghapus aturan senyap, lihat Menghapus aturan senyap. Menghapus aturan penonaktifan statis tidak akan mengubah status penonaktifan statis temuan yang ada.

  4. Mereset status nonaktif statis pada semua temuan. Untuk mereset status bisu statis temuan yang ada secara massal, lakukan salah satu tindakan berikut:

    • Gunakan perintah gcloud scc findings bulk-mute atau metode API bulkMute dengan atribut muteState yang disetel ke UNDEFINED. Lakukan tindakan ini untuk setiap aturan bisu statis yang Anda hapus. Untuk mengetahui petunjuk tentang cara melakukan operasi senyapkan massal, lihat Menyenyapkan atau mereset beberapa temuan yang ada.

    • Jika operasi senyapkan massal kehabisan waktu, Anda dapat menghapus status senyapkan statis dari semua temuan dengan memperbarui filter senyapkan massal untuk menggunakan filter yang kurang terperinci yang mencakup semua temuan relevan yang perlu Anda perbarui.

      Perhatikan contoh filter berikut dalam aturan bisu statis:

      filter: "category = \"OPEN_SSH_PORT\" AND
(resource.parentDisplayName = \"organizations/123\"
OR resource.parentDisplayName = \"folder/456")"

      Untuk menghapus status nonaktif pada semua temuan yang cocok dengan kriteria filter aturan nonaktif statis ini, Anda dapat mengubah filter dengan menghapus kondisi tambahan yang mengikuti kategori temuan. Untuk contoh ini, hasilnya akan seperti berikut:

      filter: "category = \"OPEN_SSH_PORT""

      Jika Anda telah menyetel status nonaktif secara manual untuk temuan apa pun, metode ini juga dapat mereset status nonaktif temuan tersebut.

      Untuk mengetahui informasi selengkapnya tentang memperbarui aturan senyap, lihat Memperbarui aturan senyap.

Jika Anda memerlukan bantuan untuk memigrasikan aturan senyap statis ke aturan senyap dinamis, hubungi dukungan.

Langkah berikutnya

Pelajari lebih lanjut cara membuat dan mengelola aturan senyap.