Nesta página, explicamos como migrar suas regras de silenciamento estático para regras de silenciamento dinâmico.
Recomendamos usar regras de silenciamento dinâmicas exclusivamente nas configurações de regras de silenciamento porque elas são mais flexíveis do que as estáticas. Em comparação com as regras de silenciamento estático, as regras de silenciamento dinâmico têm três benefícios principais:
- As regras de silenciamento dinâmico se aplicam às descobertas atuais e futuras. As regras de desativação de som dinâmicas silenciam automaticamente as descobertas atuais e novas ou atualizadas que correspondem aos critérios de filtro.
- As regras de silenciamento dinâmico oferecem uma opção de expiração. Com as regras de silenciamento dinâmico, também é possível definir um período de expiração personalizado para corresponder temporariamente a descobertas específicas. Se nenhum período de expiração for definido, as regras de silenciamento dinâmico vão silenciar as descobertas indefinidamente até que elas não correspondam mais à regra.
As regras de silenciamento dinâmico cancelam automaticamente o silenciamento das descobertas. Quando qualquer uma das situações a seguir ocorre, o Security Command Center desativa automaticamente o silenciamento da descoberta:
- A regra de silenciamento dinâmico expira.
- As propriedades de uma descoberta mudam e não correspondem mais aos seus critérios de filtro.
- Os critérios de filtro mudam e não correspondem mais à descoberta.
Não recomendamos usar regras de silenciamento estáticas e dinâmicas ao mesmo tempo. As regras de silenciamento estático substituem as regras de silenciamento dinâmico quando são aplicadas à mesma descoberta. Como resultado, as regras de silenciamento dinâmico não vão funcionar como esperado, o que pode gerar confusão ao gerenciar suas descobertas.
Se você quiser usar apenas regras de silenciamento dinâmico, as seções a seguir descrevem as permissões e etapas necessárias para migrar suas regras de silenciamento estático.
Permissões
Para receber as permissões necessárias para realizar o processo de migração de mudo dinâmico, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização, pasta ou projeto do Google Cloud :
-
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) -
Leitor de configurações da Central de segurança (
roles/securitycenter.settingsViewer) -
Leitor de configurações de desativação de som da Central de segurança (
roles/securitycenter.muteConfigsViewer) -
Administrador da Central de segurança (
roles/securitycenter.admin) -
Editor administrador da Central de segurança (
roles/securitycenter.adminEditor) -
Editor de configurações da Central de segurança(
roles/securitycenter.settingsEditor) -
Editor de configurações de desativação de sons da Central de segurança (
roles/securitycenter.muteConfigsEditor) -
Security Center FindingsEditor (
roles/securitycenter.findingsEditor)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Migrar para regras de silenciamento dinâmicas
Para usar apenas regras de silenciamento dinâmicas, siga estas etapas para criar regras de silenciamento dinâmicas e garantir que as descobertas silenciadas permaneçam assim após a migração.
- Criar novas regras de silenciamento dinâmicas. Não é possível modificar o tipo de uma regra de silenciamento depois que ela é criada. Portanto, crie uma regra de silenciamento dinâmico para cada regra estática que você quer manter. Cada novo nome de regra de silenciamento dinâmico precisa ser diferente das regras de silenciamento atuais. O Security Command Center pode levar algumas horas para aplicar as regras de desativação dinâmica às descobertas adequadas. Para instruções sobre como criar uma regra de silenciamento dinâmica, consulte Criar uma regra de silenciamento.
Valide o estado de silêncio das descobertas aplicáveis. Para validar se as regras de desativação dinâmica foram aplicadas corretamente, use o atributo
muteInfona API Security Command Center para listar as descobertas aplicáveis e inspecionar os campos de desativação. Isso ajuda a determinar se as descobertas aplicáveis estão usando regras de silenciamento dinâmicas ou estáticas.Por exemplo, use
muteInfo.dynamicMuteRecordsem uma consulta para listar as descobertas aplicáveis que estão sendo silenciadas pela nova regra de silenciamento dinâmico:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Para mais informações sobre como listar descobertas, consulte Como listar descobertas de segurança usando a API Security Command Center.
Exclua todas as regras estáticas para ignorar. As descobertas futuras aplicáveis são cobertas pelas novas regras dinâmicas que você criou. Exclua todas as regras de silenciamento estático atuais para garantir que elas não substituam as novas regras de silenciamento dinâmico para novas descobertas. Para instruções sobre como excluir uma regra de silenciamento, consulte Excluir regras de silenciamento. A exclusão de regras de silenciamento estático não muda o estado de silenciamento estático das descobertas atuais.
Redefina o estado de silenciamento estático em todas as descobertas. Para redefinir o estado de desativação estática das descobertas atuais em massa, realize uma das seguintes ações:
Use o comando
gcloud scc findings bulk-muteou o método da APIbulkMutecom o atributomuteStatedefinido comoUNDEFINED. Faça isso para cada regra de silenciamento estática excluída. Para instruções sobre como realizar operações de desativação em massa, consulte Desativar ou redefinir várias descobertas.Se a operação de silenciamento em massa atingir o tempo limite, limpe o estado de silenciamento estático de todas as descobertas atualizando o filtro de silenciamento em massa para usar filtros menos granulares que abrangem todas as descobertas relevantes que você precisa atualizar.
Considere o exemplo a seguir de um filtro em uma regra de silenciamento estático:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456")"Para limpar o estado de silenciamento em todas as descobertas que correspondem aos critérios desse filtro de regra de silenciamento estático, modifique o filtro removendo as condições adicionais que seguem a categoria da descoberta. Para este exemplo, o resultado seria o seguinte:
filter: "category = \"OPEN_SSH_PORT""Se você tiver definido manualmente o estado de silêncio para alguma descoberta, esse método também poderá redefinir o estado de silêncio dessas descobertas.
Para mais informações sobre como atualizar uma regra de silenciamento, consulte Atualizar regras de silenciamento.
Se precisar de ajuda para migrar suas regras de silenciamento estático para dinâmico, entre em contato com o suporte.
A seguir
Saiba mais sobre como criar e gerenciar regras de silenciamento.