从静态忽略规则迁移到动态忽略规则

本页面介绍了如何将现有的静态忽略规则迁移到动态忽略规则。

我们建议您仅在忽略规则配置中使用动态忽略规则，因为它们比静态忽略规则更灵活。与静态忽略规则相比，动态忽略规则具有以下三项主要优势：

• 动态忽略规则适用于现有和新发现的结果。动态忽略规则会自动忽略与过滤条件匹配的现有发现结果以及新发现结果或更新的发现结果。
• 动态忽略规则提供失效选项。动态忽略规则还允许您设置自定义失效期限，以暂时匹配特定发现结果。如果未设置失效期限，动态忽略规则会无限期地忽略发现结果，直到发现结果不再与该规则匹配。

• 动态忽略规则会自动取消忽略发现结果。发生以下任一情况时，Security Command Center 会自动取消对相应发现结果的静音设置：

  • 动态忽略规则到期。
  • 发现项的属性发生变化，不再符合您的过滤条件。
  • 过滤条件发生变化，不再与发现结果匹配。

我们不建议同时使用静态和动态忽略规则。当静态忽略规则应用于同一发现结果时，会替换动态忽略规则。因此，动态忽略规则将无法按预期运行，这可能会在管理发现结果时造成混乱。

如果您想仅使用动态忽略规则，以下部分将介绍迁移静态忽略规则所需的权限和步骤。

权限

如需获得执行动态静音迁移流程所需的权限，请让管理员向您授予 Google Cloud 组织、文件夹或项目的以下 IAM 角色：

• Security Center Admin Viewer (roles/securitycenter.adminViewer)
• Security Center Settings Viewer (roles/securitycenter.settingsViewer)
• SecurityCenter Mute Configurations Viewer (roles/securitycenter.muteConfigsViewer)
• Security Center Admin (roles/securitycenter.admin)
• Security Center AdminEditor (roles/securitycenter.adminEditor)
• Security Center Settings Editor(roles/securitycenter.settingsEditor)
• Security Center Mute ConfigurationsEditor (roles/securitycenter.muteConfigsEditor)
• Security Center FindingsEditor (roles/securitycenter.findingsEditor)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

迁移到动态忽略规则

如需仅使用动态忽略规则，请完成以下步骤来创建动态忽略规则，并确保在迁移后，现有已忽略的发现结果仍处于忽略状态。

1. 创建新的动态忽略规则。创建忽略规则后，您无法修改其类型。因此，您必须为要保留的每个静态忽略规则创建一个动态忽略规则。每个新的动态忽略规则名称都必须与现有忽略规则名称不同。Security Command Center 可能需要几个小时才能将动态忽略规则应用于相应的发现结果。如需了解如何创建动态忽略规则，请参阅创建忽略规则。

2. 验证适用发现的静音状态。如需验证动态忽略规则是否已正确应用，您可以使用 Security Command Center API 中的 muteInfo 属性列出适用的发现结果，并检查其忽略字段。这有助于您确定适用的发现结果使用的是动态忽略规则还是静态忽略规则。

   例如，在查询中使用 muteInfo.dynamicMuteRecords 可列出正被新的动态忽略规则忽略的适用发现结果：

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   如需详细了解如何列出发现结果，请参阅使用 Security Command Center API 列出安全性发现结果。

3. 删除所有静态忽略规则。适用的未来发现结果将受您创建的新动态规则的约束。删除所有现有的静态忽略规则，以确保这些规则不会替换新发现结果的新动态忽略规则。 如需了解如何删除忽略规则，请参阅删除忽略规则。 删除静态忽略规则不会更改现有发现结果的静态忽略状态。

4. 重置所有发现结果的静态忽略状态。如需批量重置现有发现结果的静态忽略状态，请执行以下操作之一：

   • 使用 gcloud scc findings bulk-mute 命令或 bulkMute API 方法，并将 muteState 属性设置为 UNDEFINED。针对您删除的每个静态忽略规则执行此操作。如需了解如何执行批量忽略操作，请参阅忽略或重置多个现有的发现结果。

   • 如果批量忽略操作超时，您可以更新批量忽略过滤条件，使用粒度较低的过滤条件来涵盖需要更新的所有相关发现结果，从而清除所有发现结果的静态忽略状态。

     请看以下静态静音规则中的过滤条件示例：

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     如需清除与此静态忽略规则过滤条件匹配的所有发现结果的忽略状态，您可以修改过滤条件，方法是移除发现结果类别后面的附加条件。在此示例中，结果如下所示：

     filter: "category = \"OPEN_SSH_PORT""
     

     如果您已手动设置任何发现结果的忽略状态，此方法也可能会重置这些发现结果的忽略状态。

     如需详细了解如何更新忽略规则，请参阅更新忽略规则。

如果您在将静态忽略规则迁移到动态忽略规则时需要帮助，请与支持团队联系。

后续步骤

详细了解如何创建和管理忽略规则。