从静态忽略规则迁移到动态忽略规则

本页介绍了如何将现有的静态忽略规则迁移到动态忽略规则。

我们建议您在忽略规则配置中仅使用动态忽略规则，因为它们比静态忽略规则更灵活。与静态忽略规则相比，动态忽略规则具有以下三个主要优势：

• 动态忽略规则适用于现有和新发现结果。动态忽略规则会自动忽略与您的过滤条件匹配的现有发现结果，以及新发现结果或更新后的发现结果。
• 动态忽略规则提供失效选项。借助动态忽略规则，您还可以设置自定义到期期限，以暂时匹配特定发现结果。如果未设置到期期限，动态忽略规则会无限期地忽略发现结果，直到发现结果不再与规则匹配。

• 动态忽略规则会自动取消忽略发现结果。当发生以下任一情况时，Security Command Center 会自动取消静音该发现结果：

  • 动态忽略规则到期。
  • 发现结果的属性发生变化，不再符合您的过滤条件。
  • 过滤条件发生变化，不再与相应发现结果匹配。

我们不建议同时使用静态和动态静音规则。当静态忽略规则和动态忽略规则应用于同一发现时，静态忽略规则会覆盖动态忽略规则。因此，动态忽略规则将无法按预期运行，这可能会在管理发现结果时造成混淆。

如果您想仅使用动态忽略规则，请参阅以下部分，了解迁移静态忽略规则所需的权限和步骤。

权限

如需获得执行动态静音迁移流程所需的权限，请让管理员向您授予 Google Cloud 组织、文件夹或项目的以下 IAM 角色：

• Security Center Admin Viewer (roles/securitycenter.adminViewer)
• Security Center Settings Viewer (roles/securitycenter.settingsViewer)
• SecurityCenter Mute Configurations Viewer (roles/securitycenter.muteConfigsViewer)
• Security Center Admin (roles/securitycenter.admin)
• Security Center AdminEditor (roles/securitycenter.adminEditor)
• Security Center Settings Editor(roles/securitycenter.settingsEditor)
• Security Center Mute ConfigurationsEditor (roles/securitycenter.muteConfigsEditor)
• Security Center FindingsEditor (roles/securitycenter.findingsEditor)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

迁移到动态忽略规则

如需仅使用动态忽略规则，请完成以下步骤以创建动态忽略规则，并确保现有已忽略的发现结果在迁移后保持忽略状态。

1. 创建新的动态忽略规则。忽略规则创建后，您无法修改其类型。因此，对于您要保留的每条静态忽略规则，您都必须创建一条动态忽略规则。每个新的动态忽略规则名称都必须与现有忽略规则不同。Security Command Center 可能需要几个小时才能将动态忽略规则应用于相应的发现结果。如需了解如何创建动态忽略规则，请参阅创建忽略规则。

2. 验证适用发现的静音状态。如需验证动态忽略规则是否已正确应用，您可以使用 Security Command Center API 中的 muteInfo 属性列出适用的发现结果并检查其忽略字段。这有助于您确定适用的发现结果是使用动态忽略规则还是静态忽略规则。

   例如，在查询中使用 muteInfo.dynamicMuteRecords 可列出被新动态静音规则静音的适用发现：

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   如需详细了解如何列出发现结果，请参阅使用 Security Command Center API 列出安全发现结果。

3. 删除所有静态忽略规则。您创建的新动态规则会涵盖未来适用的发现结果。删除所有现有的静态忽略规则，以确保它们不会替换针对新发现结果的新动态忽略规则。如需了解如何删除忽略规则，请参阅删除忽略规则。 删除静态忽略规则不会更改现有发现结果的静态忽略状态。

4. 重置所有发现结果的静态忽略状态。如需批量重置现有发现结果的静态忽略状态，请执行以下操作之一：

   • 使用 gcloud scc findings bulk-mute 命令或 bulkMute API 方法，并将 muteState 属性设置为 UNDEFINED。请对您删除的每个静态忽略规则执行此操作。如需了解如何执行批量忽略操作，请参阅忽略或重置多个现有发现结果。

   • 如果批量忽略操作超时，您可以更新批量忽略过滤条件，以使用更粗粒的过滤条件来涵盖您需要更新的所有相关发现，从而清除所有发现的静态忽略状态。

     请参考以下静态静音规则中的过滤器示例：

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     如需为与此静态忽略规则过滤条件的条件匹配的所有发现结果清除忽略状态，您可以通过移除发现结果类别后面的其他条件来修改过滤条件。对于此示例，结果如下所示：

     filter: "category = \"OPEN_SSH_PORT""
     

     如果您手动为任何发现结果设置了忽略状态，此方法可能还会重置这些发现结果的忽略状态。

     如需详细了解如何更新忽略规则，请参阅更新忽略规则。

如果您需要有关将静态忽略规则迁移到动态忽略规则的帮助，请与支持团队联系。

后续步骤

详细了解如何创建和管理忽略规则。