Questa pagina spiega come eseguire la migrazione delle regole di disattivazione statiche esistenti alle regole di disattivazione dinamiche.
Ti consigliamo di utilizzare le regole di disattivazione dinamiche esclusivamente nelle configurazioni delle regole di disattivazione, perché sono più flessibili di quelle statiche. Rispetto alle regole di disattivazione statiche, le regole di disattivazione dinamiche presentano tre vantaggi principali:
- Le regole di disattivazione dinamiche si applicano ai risultati esistenti e nuovi. Le regole di disattivazione dinamiche disattivano automaticamente i risultati esistenti e quelli nuovi o aggiornati che corrispondono ai tuoi criteri di filtro.
- Le regole di disattivazione dinamiche offrono un'opzione di scadenza. Le regole di disattivazione dinamiche ti consentono anche di impostare un periodo di scadenza personalizzato per trovare temporaneamente corrispondenze con risultati specifici. Se non viene impostato un periodo di scadenza, le regole di disattivazione dinamica disattivano i risultati indefinitamente finché non corrispondono più alla regola.
Le regole di disattivazione dinamiche riattivano automaticamente i risultati. Quando si verifica uno dei seguenti eventi, Security Command Center riattiva automaticamente il risultato:
- La regola di disattivazione dinamica scade.
- Le proprietà di un risultato cambiano e non corrispondono più ai criteri di filtro.
- I criteri di filtro cambiano in modo da non corrispondere più al risultato.
Sconsigliamo di utilizzare contemporaneamente regole di disattivazione statiche e dinamiche. Le regole di disattivazione statiche hanno la precedenza sulle regole di disattivazione dinamiche quando vengono applicate alla stessa scoperta. Di conseguenza, le regole di disattivazione dinamica non funzioneranno come previsto, il che può creare confusione durante la gestione dei risultati.
Se vuoi utilizzare esclusivamente le regole di disattivazione dinamiche, le sezioni seguenti descrivono le autorizzazioni e i passaggi necessari per eseguire la migrazione delle regole di disattivazione statiche.
Autorizzazioni
Per ottenere le autorizzazioni necessarie per eseguire la procedura di migrazione della disattivazione dinamica, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione, cartella o progetto: Google Cloud
-
Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer) -
Visualizzatore delle impostazioni del Centro sicurezza (
roles/securitycenter.settingsViewer) -
Visualizzatore delle configurazioni di disattivazione di Security Center (
roles/securitycenter.muteConfigsViewer) -
Amministratore di Security Center (
roles/securitycenter.admin) -
Security Center AdminEditor (
roles/securitycenter.adminEditor) -
Editor impostazioni Centro sicurezza(
roles/securitycenter.settingsEditor) -
Security Center Mute ConfigurationsEditor (
roles/securitycenter.muteConfigsEditor) -
Editor dei risultati del Centro sicurezza (
roles/securitycenter.findingsEditor)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Eseguire la migrazione alle regole di disattivazione dinamiche
Per utilizzare esclusivamente le regole di disattivazione dinamica, completa i seguenti passaggi per creare regole di disattivazione dinamica e assicurarti che i risultati disattivati esistenti rimangano disattivati dopo la migrazione.
- Crea nuove regole di disattivazione dinamiche. Non puoi modificare il tipo di una regola di disattivazione dopo la sua creazione. Pertanto, devi creare una regola di disattivazione dinamica per ogni regola di disattivazione statica che vuoi conservare. Ogni nuovo nome di regola di disattivazione dinamica deve essere univoco rispetto alle regole di disattivazione esistenti. Security Command Center potrebbe impiegare alcune ore per applicare le regole di disattivazione dinamica ai risultati appropriati. Per istruzioni su come creare una regola di disattivazione dinamica, vedi Creare una regola di disattivazione.
Convalida lo stato di disattivazione delle vulnerabilità applicabili. Per verificare che le regole di disattivazione dinamica siano state applicate correttamente, puoi utilizzare l'attributo
muteInfonell'API Security Command Center per elencare i risultati applicabili e ispezionare i relativi campi di disattivazione. In questo modo, puoi determinare se i risultati applicabili utilizzano regole di disattivazione dinamiche o statiche.Ad esempio, utilizza
muteInfo.dynamicMuteRecordsin una query per elencare i risultati applicabili che vengono disattivati dalla nuova regola di disattivazione dinamica:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Per saperne di più su come elencare i risultati, vedi Elencare i risultati di sicurezza utilizzando l'API Security Command Center.
Elimina tutte le regole di disattivazione statica. I risultati futuri applicabili sono coperti dalle nuove regole dinamiche che hai creato. Elimina tutte le regole di disattivazione statiche esistenti per assicurarti che non sostituiscano le nuove regole di disattivazione dinamiche per i nuovi risultati. Per istruzioni su come eliminare una regola di disattivazione audio, vedi Eliminare le regole di disattivazione audio. L'eliminazione delle regole di disattivazione statica non modifica lo stato di disattivazione statica dei risultati esistenti.
Reimposta lo stato di disattivazione statica su tutti i risultati. Per reimpostare lo stato di disattivazione statica dei risultati esistenti collettivamente, esegui una delle seguenti azioni:
Utilizza il comando
gcloud scc findings bulk-muteo il metodo APIbulkMutecon l'attributomuteStateimpostato suUNDEFINED. Esegui questa operazione per ogni regola di disattivazione statica che hai eliminato. Per istruzioni su come eseguire operazioni di disattivazione collettiva, consulta Disattivare o reimpostare più risultati esistenti.Se l'operazione di disattivazione collettiva va in timeout, puoi cancellare lo stato di disattivazione statica da tutti i risultati aggiornando il filtro di disattivazione collettiva in modo da utilizzare filtri meno granulari che coprano tutti i risultati pertinenti che devi aggiornare.
Considera il seguente esempio di filtro in una regola di disattivazione statica:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456")"Per cancellare lo stato di disattivazione di tutti i risultati che corrispondono ai criteri di questo filtro della regola di disattivazione statica, puoi modificare il filtro rimuovendo le condizioni aggiuntive che seguono la categoria del risultato. Per questo esempio, il risultato sarebbe il seguente:
filter: "category = \"OPEN_SSH_PORT""Se hai impostato manualmente lo stato di disattivazione per alcuni risultati, questo metodo potrebbe anche reimpostare lo stato di disattivazione di questi risultati.
Per ulteriori informazioni sull'aggiornamento di una regola di disattivazione, vedi Aggiornare le regole di disattivazione.
Se hai bisogno di aiuto per eseguire la migrazione delle regole di disattivazione statiche a quelle dinamiche, contatta l'assistenza.
Passaggi successivi
Scopri di più su come creare e gestire le regole di disattivazione.