從靜態遷移至動態忽略規則

本頁說明如何將現有的靜態忽略規則遷移至動態忽略規則。

建議您在忽略規則設定中只使用動態忽略規則，因為這類規則比靜態忽略規則更具彈性。相較於靜態忽略規則，動態忽略規則有以下三項主要優點：

• 動態忽略規則會套用至現有和新的發現項目。動態忽略規則 會自動忽略符合篩選條件的現有、新發現項目或更新的發現項目。
• 動態忽略規則提供到期選項。您也可以透過動態忽略規則設定自訂到期時間，暫時比對特定發現項目。如果未設定到期時間，動態忽略規則會無限期忽略發現項目，直到發現項目不再符合規則為止。

• 動態忽略規則會自動取消忽略發現項目。發生下列任一情況時，Security Command Center 會自動取消將發現項目設為靜音：

  • 動態忽略規則到期。
  • 發現項目的屬性變更，不再符合篩選條件。
  • 篩選條件變更後，不再符合該發現項目。

我們不建議同時使用靜態和動態忽略規則。如果靜態忽略規則和動態忽略規則套用至相同發現項目，系統會優先採用靜態忽略規則。因此，動態忽略規則無法正常運作，管理發現項目時可能會造成混淆。

如要只使用動態忽略規則，請參閱下列章節，瞭解遷移靜態忽略規則所需的權限和步驟。

權限

如要取得執行動態靜音遷移程序所需的權限，請要求管理員在 Google Cloud 機構、資料夾或專案中授予下列 IAM 角色：

• 安全中心管理員檢視者 (roles/securitycenter.adminViewer)
• 安全中心設定檢視者 (roles/securitycenter.settingsViewer)
• 安全中心忽略設定檢視者 (roles/securitycenter.muteConfigsViewer)
• 安全中心管理員 (roles/securitycenter.admin)
• 安全中心管理員編輯者 (roles/securitycenter.adminEditor)
• 安全中心設定編輯者(roles/securitycenter.settingsEditor)
• 安全中心忽略設定編輯者 (roles/securitycenter.muteConfigsEditor)
• 安全中心發現項目編輯者 (roles/securitycenter.findingsEditor)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

改用動態忽略規則

如要只使用動態忽略規則，請完成下列步驟建立動態忽略規則，並確保現有的忽略結果在遷移後仍處於忽略狀態。

1. 建立新的動態忽略規則。忽略規則建立完成後，就無法再修改規則類型。因此，您必須為要保留的每個靜態忽略規則建立一個動態忽略規則。每個新動態忽略規則的名稱都不得與現有忽略規則重複。Security Command Center 可能需要幾小時，才會將動態忽略規則套用至適當的發現項目。如需建立動態忽略規則的操作說明，請參閱「建立忽略規則」。

2. 驗證適用發現項目的靜音狀態。如要驗證動態忽略規則是否已正確套用，可以使用 Security Command Center API 中的 muteInfo 屬性列出適用的發現項目，並檢查其忽略欄位。這有助於判斷適用的發現項目是否使用動態或靜態忽略規則。

   舉例來說，您可以在查詢中使用 muteInfo.dynamicMuteRecords，列出因新動態靜音規則而遭到靜音的適用發現項目：

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   如要進一步瞭解如何列出發現項目，請參閱「使用 Security Command Center API 列出安全性發現項目」。

3. 刪除所有靜態忽略規則。您建立的新動態規則會涵蓋日後適用的發現項目。刪除所有現有的靜態忽略規則，確保這些規則不會覆寫新發現項目的動態忽略規則。如需如何刪除靜音規則的操作說明，請參閱「刪除靜音規則」。刪除靜態忽略規則不會變更現有發現項目的靜態忽略狀態。

4. 重設所有發現項目的靜態忽略狀態。如要大量重設現有發現項目的靜態忽略狀態，請執行下列其中一項操作：

   • 使用 gcloud scc findings bulk-mute 指令或 bulkMute API 方法，並將 muteState 屬性設為 UNDEFINED。針對刪除的每項靜態忽略規則執行這項操作。如需大量執行靜音作業的操作說明，請參閱「將多個現有發現項目設為靜音或重設」。

   • 如果大量靜音作業逾時，您可以更新大量靜音篩選器，使用涵蓋所有相關發現項目的較不精細篩選器，從所有發現項目清除靜態靜音狀態。

     請參考以下範例，瞭解靜態靜音規則中的篩選器：

     filter: "category = \"OPEN_SSH_PORT\" AND
     (resource.parentDisplayName = \"organizations/123\"
     OR resource.parentDisplayName = \"folder/456")"
     

     如要清除符合這項靜態忽略規則篩選條件的所有發現項目的忽略狀態，請修改篩選條件，移除發現項目類別後方的其他條件。在本例中，結果如下：

     filter: "category = \"OPEN_SSH_PORT""
     

     如果您已手動將任何發現項目設為忽略，這個方法也可能會重設這些發現項目的忽略狀態。

     如要進一步瞭解如何更新靜音規則，請參閱更新靜音規則。

如需將靜態忽略規則遷移至動態忽略規則的相關協助，請與支援團隊聯絡。

後續步驟

進一步瞭解如何建立及管理忽略規則。