Esta página foi traduzida pela API Cloud Translation.

Migrar de regras de silenciamento estáticas para dinâmicas

Nesta página, explicamos como migrar suas regras estáticas de silenciamento para regras dinâmicas regras de silenciamento.

Recomendamos o uso exclusivo das regras dinâmicas de silenciamento na sua regra de silenciamento porque elas são mais flexíveis que as regras estáticas de silenciamento. Em comparação com as regras de silenciamento estáticas, as regras de silenciamento dinâmicas têm três benefícios principais:

As regras de silenciamento dinâmico se aplicam a descobertas novas e existentes. As regras de silenciamento dinâmico silenciam automaticamente as descobertas atuais e novas ou atualizadas que correspondem aos seus critérios de filtro.
As regras de silenciamento dinâmica oferecem uma opção de expiração. As regras dinâmicas de silenciamento também permitem que você defina um período de expiração personalizado para corresponder temporariamente a descobertas. Se nenhum período de expiração for definido, as regras dinâmicas de silenciamento silenciam as descobertas. indefinidamente até não corresponder mais à regra.
As regras de silenciamento dinâmicas cancelam o som das descobertas automaticamente. Quando ocorre qualquer uma das seguintes situações, o Security Command Center desativa o som da descoberta automaticamente:
- A regra de silenciamento dinâmica expira.
- As propriedades de uma descoberta mudam para não corresponder mais aos seus critérios de filtro.
- Os critérios de filtro mudam para não corresponder mais à descoberta.

Não recomendamos usar regras de silenciamento estáticas e dinâmicas ao mesmo tempo. As regras de silenciamento estáticas substituem as regras de silenciamento dinâmico quando são aplicadas à mesma detecção. Como resultado, as regras de silenciamento dinâmico não funcionam como esperado, o que pode criar confusão ao gerenciar suas descobertas.

Se você quiser usar exclusivamente as regras dinâmicas de silenciamento, as seções a seguir descrevem as permissões e etapas necessárias para a migração das regras estáticas de silenciamento.

Permissões

Para receber as permissões necessárias para executar o processo dinâmico de migração de silenciamento, peça ao administrador para conceder a você seguintes papéis do IAM na sua organização, pasta ou projeto do Google Cloud:

Leitor administrador da Central de segurança (roles/securitycenter.adminViewer)
Leitor de configurações da Central de segurança (roles/securitycenter.settingsViewer)
SecurityCenter Mute Configurations Viewer (roles/securitycenter.muteConfigsViewer)
Administrador da Central de segurança (roles/securitycenter.admin)
Editor administrador da Central de segurança (roles/securitycenter.adminEditor)
Editor de configurações da Central de segurança (roles/securitycenter.settingsEditor)
Editor de configurações de silenciamento da Central de segurança (roles/securitycenter.muteConfigsEditor)
Editor de descobertas da Central de segurança (roles/securitycenter.findingsEditor)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Migrar para as regras dinâmicas de silenciamento

Para usar as regras de silenciamento dinâmicas exclusivamente, siga as etapas abaixo para criar regras de silenciamento dinâmicas e garantir que as descobertas silenciadas continuem silenciadas após a migração.

Crie novas regras de silenciamento dinâmicas. Não é possível modificar o tipo de uma regra de silenciamento depois que ela é criada. Portanto, é necessário criar uma regra de silenciamento dinâmica para cada regra de silenciamento estática que você quer manter. Cada novo nome de regra de silenciamento dinâmica precisa ser exclusivo das regras de silenciamento existentes. O Security Command Center pode levar algumas horas para aplicar as regras de desativação dinâmica às descobertas adequadas. Para instruções sobre como criar uma regra de silenciamento dinâmica, consulte Criar uma regra de silenciamento.
Validar o estado mudo das descobertas aplicáveis. Para validar se as regras de desativação dinâmica foram aplicadas corretamente, use o atributo muteInfo na API Security Command Center para listar as descobertas aplicáveis e inspecionar os campos de desativação delas. Isso ajuda a determinar se as descobertas aplicáveis estão usando regras de silenciamento dinâmicas ou estáticas.

Por exemplo, use muteInfo.dynamicMuteRecords em uma consulta para listar os descobertas aplicáveis que estão sendo silenciadas pela nova regra dinâmica de silenciamento:
```
  contains(muteInfo.dynamicMuteRecords, muteConfig =
  "organizations/123/muteConfigs/my-dynamic-rule")
```
Para mais informações sobre como listar descobertas, consulte Como listar descobertas de segurança usando a API Security Command Center.
Exclua todas as regras de silenciamento estáticas. As descobertas futuras aplicáveis são cobertas pelo as novas regras dinâmicas que você criou. Exclua todas as regras de silenciamento estático para garantir que elas não substituam as novas regras de silenciamento dinâmico para novas descobertas. Para instruções sobre como excluir uma regra de silenciamento, consulte Excluir notificações regras. A exclusão de regras de silenciamento estático não muda o estado de silenciamento estático das descobertas existentes.
Redefinir o estado de silenciamento estático em todas as descobertas. Para redefinir o estado silenciado estático de descobertas existentes em massa, execute uma das seguintes ações:
- Use o comando gcloud scc findings bulk-mute ou o Método de API bulkMute com o atributo muteState definido como UNDEFINED. Faça isso para cada regra de silenciamento estático que você excluiu. Para instruções sobre como realizar operações de silenciamento em massa, consulte Silenciar ou redefinir vários resultados existentes.
- Se a operação de silenciamento em massa expirar, você poderá limpar o som estático de todas as descobertas ao atualizar seu filtro de silenciamento em massa para usar menos filtros granulares que abrangem todas as descobertas relevantes que você precisa atualizar.
  
  Considere o seguinte exemplo de um filtro em uma regra de silenciamento estática:
```
filter: "category = \"OPEN_SSH_PORT\" AND
(resource.parentDisplayName = \"organizations/123\"
OR resource.parentDisplayName = \"folder/456")"
```
  Para limpar o estado mudo em todas as descobertas que correspondem aos critérios desta filtro estático de regra de silenciamento, é possível modificar o filtro removendo a condições adicionais que seguem a categoria de descoberta. Neste exemplo, o resultado seria o seguinte:
```
filter: "category = \"OPEN_SSH_PORT""
```
  Se você tiver definido manualmente o estado silenciado para qualquer descoberta, este método também pode redefinir o estado mudo dessas descobertas.
  
  Para mais informações sobre como atualizar uma regra de silenciamento, consulte Atualizar regras de silenciamento.

Se precisar de ajuda para migrar suas regras de silenciamento estático para dinâmico, entre em contato com o suporte.

A seguir

Saiba mais sobre como criar e gerenciar regras de silenciamento.