Auf dieser Seite wird erläutert, wie Sie die Menge der Ergebnisse in Security Command Center reduzieren, indem Sie Ergebnisse ausblenden.
Wenn Sie ein Ergebnis stummschalten, wird es in der Standardansicht Ihrer Ergebnisse in der Google Cloud Console ausgeblendet. Sie können Ergebnisse manuell oder programmatisch ausblenden und Filter erstellen, um vorhandene und zukünftige Ergebnisse anhand von von Ihnen angegebenen Kriterien automatisch stummzuschalten.
Die Erkennungsdienste von Security Command Center bieten umfassende Sicherheitsbewertungen für Ihre Google Cloud-Bereitstellung. Möglicherweise finden Sie jedoch, dass bestimmte Ergebnisse für Ihre Organisation oder Projekte nicht geeignet oder relevant sind. Eine große Anzahl von Ergebnissen kann Ihren Sicherheitsanalysten außerdem die effektive Identifizierung und Behebung der größten Risiken erschweren. Durch das Ausblenden von Ergebnissen ersparen Sie sich die Zeit, Sicherheitsergebnisse für isolierte oder unter akzeptable Geschäftsparameter fallende Assets zu prüfen oder darauf zu reagieren.
Das Ausblenden von Ergebnissen bietet mehrere Vorteile gegenüber der Deaktivierung von Detektoren:
- Sie können benutzerdefinierte Filter erstellen, um zu optimieren, welche Ergebnisse ausgeblendet werden.
- Mit Ausblendungsregeln können Sie Ergebnisse vorübergehend oder auf unbestimmte Zeit ausblenden.
- Auch beim Ausblenden von Ergebnissen werden die zugrunde liegenden Assets weiterhin gescannt. Die Ergebnisse werden weiterhin generiert, bleiben jedoch ausgeblendet, bis Sie sie aufrufen.
Berechtigungen
Wenn Sie Ergebnisse ausblenden möchten, benötigen Sie eine der folgenden IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) auf der Organisations-, Ordner- oder Projekt-Ebene:
- Ausblendungsregeln ansehen:
- Sicherheitscenter-Admin-Betrachter (
roles/securitycenter.adminViewer
) - Sicherheitscenter-Einstellungsbetrachter (
roles/securitycenter.settingsViewer
) - Betrachter von Konfigurationen für Ausblendungen im Sicherheitscenter (
roles/securitycenter.muteConfigsViewer
)
- Sicherheitscenter-Admin-Betrachter (
- Ausblendungsregeln anzeigen, erstellen, aktualisieren und löschen:
- Sicherheitscenter-Administrator (
roles/securitycenter.admin
) - Sicherheitscenter-Administratorbearbeiter (
roles/securitycenter.adminEditor
) - Sicherheitscenter-Einstellungsbearbeiter (
roles/securitycenter.settingsEditor
) - Bearbeiter von Konfigurationen für Ausblendungen im Sicherheitscenter (
roles/securitycenter.muteConfigsEditor
)
- Sicherheitscenter-Administrator (
- Ergebnisse manuell ausblenden:
- Sicherheitscenter-Ergebnisbearbeiter (
roles/securitycenter.findingsEditor
)
- Sicherheitscenter-Ergebnisbearbeiter (
Sie können auch benutzerdefinierte Rollen mit einigen oder allen der folgenden Berechtigungen erstellen und zuweisen:
- Leseberechtigungen für Ausblendungsregeln
securitycenter.muteconfigs.get
securitycenter.muteconfigs.list
- Schreibberechtigungen für Ausblendungsregeln
securitycenter.muteconfigs.create
securitycenter.muteconfigs.update
securitycenter.muteconfigs.delete
- Ergebnis-Schreibberechtigungen
securitycenter.findings.setMute
securitycenter.findings.bulkMuteUpdate
Ob Sie Ergebnisse ausblenden können, hängt von den Rollen ab, die Ihnen auf Organisations-, Ordner- oder Projektebene zugewiesen wurden. Sie können Ergebnisse in bestimmten Ordnern oder Projekten ausblenden und die Möglichkeit anderer Personen einschränken, diese Ergebnisse basierend auf dem ihnen gewährten Zugriff auszublenden. Wenn Sie beispielsweise Zugriff auf ein einzelnes Projekt haben, können Sie nur Ergebnisse in diesem Projekt ausblenden. Wenn Sie Zugriff auf einen Ordner haben, können Sie die Ergebnisse in jedem Unterordner oder Projekt in diesem Ordner ausblenden.
Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Ausblendungsregeln erstellen und verwalten
Ausblendungsregeln sind Security Command Center-Konfigurationen, die von Ihnen erstellte Filter verwenden, um zukünftige und vorhandene Ergebnisse anhand der von Ihnen angegebenen Kriterien automatisch auszublenden. Sie können Filter mit statischen oder dynamischen Ausblendungsregeln erstellen.
Mit statischen Ausblendungsregeln werden zukunftsbasierte Ergebnisse auf unbestimmte Zeit ausgeblendet. Mit dynamischen Ausblendungsregeln werden zukünftige und vorhandene Ergebnisse vorübergehend bis zu einem bestimmten Datum oder auf unbestimmte Zeit ausgeblendet, bis ein Ergebnis nicht mehr mit der Konfiguration übereinstimmt.
Arten von Ausblendungsregeln
Security Command Center unterstützt statische und dynamische Konfigurationen von Ausblendungsregeln. Sie können zwar statische und dynamische Stummschaltungsregeln gleichzeitig verwenden, wir empfehlen dies jedoch nicht. Statische Ausblendungsregeln überschreiben dynamische Ausblendungsregeln, wenn sie auf dasselbe Ergebnis angewendet werden. Daher funktionieren dynamische Ausblendungsregeln nicht wie vorgesehen, was bei der Verwaltung Ihrer Ergebnisse zu Verwirrung führen kann. Wir empfehlen daher, nur einen Stummschaltungsregeltyp zu verwenden.
Sofern Sie noch keine statischen Stummschaltungsregeln verwenden, empfehlen wir Ihnen, ausschließlich dynamische Stummschaltungsregeln zu verwenden, da sie mehr Flexibilität bieten.
In der folgenden Tabelle werden die beiden Arten von Stummschaltungsregeln verglichen. Weitere Informationen finden Sie unter Statische Ausblendungsregeln und Dynamische Ausblendungsregeln.
Statische Ausblendungsregeln | Dynamische Ausblendungsregeln |
---|---|
Ergreifen Sie dauerhaft Maßnahmen auf Grundlage der Ergebnisse. | Kann auf einen Befund entweder vorübergehend mit einer Ablaufzeit oder unbegrenzt reagieren, wenn keine Ablaufzeit festgelegt ist. |
Sie gelten nicht für vorhandene Ergebnisse. | Sie gilt für bestehende und neue Erkenntnisse. |
Sie haben Vorrang vor dynamischen Ausblendungsregeln. | Sie haben eine niedrigere Priorität und werden von Regeln für die statische Stummschaltung überschrieben, wenn beide Typen auf einen Hinweis zutreffen. |
Statische Ausblendungsregeln
- Statische Ausblendungsregeln gelten unbegrenzt. Wenn ein Ergebnis mit Ihrer Konfiguration für die statische Stummschaltung übereinstimmt, wird in Security Command Center die Eigenschaft
mute
des Ergebnisses automatisch aufMUTED
gesetzt, bis Sie sie manuell ändern. - Statische Ausblendungsregeln haben keine Auswirkungen auf vorhandene Ergebnisse. Sie gelten nur für Ergebnisse, die nach der Definition der Regel neu erstellt oder aktualisiert werden. Wenn Sie auch ähnliche vorhandene Ergebnisse ausblenden möchten, verwenden Sie dieselben Filter, um Ergebnisse im Bulk auszublenden.
- Statische Ausblendungsregeln haben Vorrang vor dynamischen Ausblendungsregeln. Daher werden alle neuen Ergebnisse, die mit einer definierten statischen Ausblendungsregel übereinstimmen, als ausgeblendet betrachtet, auch wenn sie auch mit einer definierten dynamischen Ausblendungsregel übereinstimmen.
Dynamische Ausblendungsregeln
- Mithilfe von dynamischen Ausblendungsregeln können Ergebnisse entweder vorübergehend mit einem Ablaufdatum oder unbegrenzt ausgeblendet werden, wenn kein Ablaufdatum festgelegt ist. Wenn ein vorhandenes oder neu erstelltes Ergebnis mit Ihrer Konfiguration für die dynamische Stummschaltung übereinstimmt, wird in Security Command Center die Eigenschaft
mute
des Ergebnisses automatisch aufMUTED
gesetzt, bis das angegebene Ablaufdatum erreicht ist oder sich das Ergebnis oder die Konfiguration selbst ändert. Wenn eine dynamische Ausblendungsregel abläuft, wird sie vom Security Command Center aus dem Ergebnis entfernt. Wenn das Ergebnis nicht mit anderen dynamischen Ausblendungsregeln übereinstimmt, wird die Eigenschaftmute
automatisch aufUNDEFINED
zurückgesetzt. - Dynamische Ausblendungsregeln werden automatisch auf vorhandene Ergebnisse angewendet, die Ihrer Konfiguration entsprechen, sowie auf neu erstellte oder aktualisierte Ergebnisse.
- Regeln für die dynamische Stummschaltung haben eine niedrigere Priorität und werden von Regeln für die statische Stummschaltung überschrieben, wenn beide Typen auf einen Fund zutreffen.
Wir empfehlen, ausschließlich dynamische Stummschaltungsregeln zu verwenden. Da Sie Ergebnisse mit dynamischen Ausblendungsregeln vorübergehend ausblenden und automatisch wieder einblenden können, sind sie flexibler als statische Ausblendungsregeln.
Wenn Sie statische Ausblendungsregeln verwenden, um die Anzahl der Ergebnisse zu reduzieren, die Sie manuell überprüfen, und zu dynamischen Ausblendungsregeln migrieren möchten, lesen Sie den Hilfeartikel Von statischen zu dynamischen Ausblendungsregeln migrieren.
Umfang von Ausblendungsregeln
Berücksichtigen Sie beim Erstellen von Filtern den Geltungs-Bereich einer Ausblendungsregel.
Wenn beispielsweise ein Filter geschrieben wird, um Ergebnisse in Project A
auszublenden, der Filter selbst jedoch unter Project B
erstellt wird, stimmt er möglicherweise mit keinen Ergebnissen überein.
Wenn der Datenstandort aktiviert ist, ist der Geltungsbereich einer Stummschalteregel auf den Security Command Center-Standort beschränkt, an dem die Regel erstellt wurde. Wenn Sie beispielsweise eine Ausblendungsregel für die USA (us
) erstellen, werden damit keine Ergebnisse ausgeblendet, die in der Europäischen Union (eu
) oder global (global
) gespeichert sind.
Weitere Informationen zu Datenspeicherorten und Ausblendungsregeln finden Sie unter Ausblendungsregeln, kontinuierliche Exporte und Datenspeicherorte.
Weitere Informationen zum Erstellen von Filtern finden Sie unter Benachrichtigungen filtern.
Einschränkungen für Ausblendungsregeln
Ausblendungs-Regeln unterstützen nicht alle Ergebnisattribute. Eine Liste der Attribute, die von Ausblendungsregeln nicht unterstützt werden, finden Sie unter Nicht unterstützte Ergebnisattribute für Ausblendungsregeln.
Sie können Ausblendungsregeln basierend auf dem Bereich Ihrer IAM-Rollen erstellen, anzeigen, aktualisieren und löschen. Mit Rollen auf Organisationsebene werden Ausblendungsregeln für alle Ordner und Projekte innerhalb der Organisation angezeigt. Wenn Sie Rollen auf Ordnerebene haben, können Sie auf Ausblendungsregeln für bestimmte Ordner sowie für alle Unterordner und Projekte in diesen Ordnern zugreifen und diese verwalten. Mit Rollen auf Projektebene können Sie Ausblendungsregeln in bestimmten Projekten verwalten.
Security Command Center Premium unterstützt die Zuweisung von Rollen auf Organisations-, Ordner- und Projektebene. Security Command Center Standard unterstützt nur die Rollenzuweisung auf Organisationsebene. Weitere Informationen finden Sie unter Zugriffssteuerung.
Datenstandort und Ausblendungsregeln
Wenn die Datenspeicherung aktiviert ist, unterliegen die Konfigurationen, die Stummschaltungsregeln definieren (muteConfig
-Ressourcen), der Datenspeicherung und werden an einem von Ihnen ausgewählten Security Command Center-Speicherort gespeichert.
Wenn Sie eine Ausblendungsregel auf die Ergebnisse an einem Security Command Center-Speicherort anwenden möchten, müssen Sie die Ausblendungsregel am selben Speicherort wie die Ergebnisse erstellen, auf die sie angewendet werden soll.
Da die Filter in Ausblendungsregeln Daten enthalten können, die den Steuermechanismen für den Speicherort unterliegen, müssen Sie vor dem Erstellen den richtigen Speicherort angeben. In Security Command Center ist nicht festgelegt, wo du Stummschaltungsregeln oder Streamingexporte erstellen kannst.
Ausblendungsregeln werden nur an dem Speicherort gespeichert, an dem sie erstellt wurden. Sie können an anderen Speicherorten nicht angezeigt oder bearbeitet werden.
Nachdem Sie eine Stummschaltungsregel erstellt haben, können Sie ihren Speicherort nicht mehr ändern. Wenn Sie den Standort ändern möchten, müssen Sie die Ausblendungsregel löschen und an der neuen Stelle neu erstellen.
Wenn Sie Stummschaltungsregeln in der Google Cloud Console aufrufen möchten, müssen Sie zuerst die Ansicht der Google Cloud Console auf den Speicherort festlegen, an dem sie erstellt wurden.
Dieselben Regeln gelten für die API-Darstellung einer Ausblendungsregel, MuteConfig
.
Wenn Sie eine MuteConfig
mithilfe von API-Aufrufen abrufen möchten, müssen Sie den Speicherort im vollständigen Ressourcennamen der MuteConfig
angeben. Beispiel:
GET https://securitycenter.googleapis.com/v2/organizations/123/locations/eu/muteConfigs/my-mute-rule-01
Wenn Sie eine muteConfig
mit der gcloud CLI abrufen möchten, können Sie den Speicherort mit dem Flag --location
angeben. Beispiel:
gcloud scc muteconfigs list --organization=123 --location=us
Ausblendungsregel erstellen
Ihre Organisation kann maximal 1.000 Ausblendungsregeln erstellen.
Sie können statische oder dynamische Stummschaltungsregeln mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API erstellen. Wir empfehlen, in Ihren Konfigurationen für Ausblendungsregeln ausschließlich dynamische Ausblendungsregeln zu verwenden, da sie flexibler sind als statische Ausblendungsregeln. Einen Vergleich der verschiedenen Arten von Regeln zum Ausblenden findest du unter Arten von Regeln zum Ausblenden.
Beispielcode zum Erstellen einer Ausblendungsregel finden Sie unter Ausblendungsregel erstellen.
Klicken Sie zum Erstellen einer Ausblendungsregel auf den Tab für das Verfahren, das Sie verwenden möchten:
Console
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Klicken Sie auf Ausblendungs-Optionen und wählen Sie dann Ausblenden-Regeln verwalten aus.
Klicken Sie auf Ausblendungsregel erstellen und wählen Sie dann entweder Dynamische Ausblendungsregel oder Statische Ausblendungsregel aus. Weitere Informationen zu den verschiedenen Arten von Ausblendungsregeln finden Sie unter Arten von Ausblendungsregeln.
Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.
Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.
Übergeordnete Ressource gibt den Bereich an, in dem die Ausblendungs-Regel erstellt und angewendet wird.
Wenn Sie eine statische oder dynamische Ausblendungsregel ohne Ablaufdatum erstellen, fahren Sie mit dem nächsten Schritt fort. Wenn Sie eine dynamische Ausblendungsregel erstellen, um Ergebnisse vorübergehend auszublenden, gehen Sie so vor:
- Klicken Sie das Kästchen Übereinstimmende Ergebnisse vorübergehend ausblenden an.
- Wählen Sie das Ablaufdatum für die dynamische Stummschaltungsregel aus oder geben Sie es ein. Dieser Wert gibt an, wie lange übereinstimmende Ergebnisse gemäß der Regel ausgeblendet werden.
Klicken Sie im Feld Ergebnisabfrage auf Filter hinzufügen, um Abfrageanweisungen zu erstellen. Alternativ können Sie die Abfrageanweisungen auch manuell eingeben.
Im Dialogfeld Filter auswählen können Sie unterstützte Ergebnisattribute und -werte auswählen.
- Wählen Sie ein Ergebnisattribut aus oder geben Sie seinen Namen in das Feld Ergebnisattribute suchen ein. Daraufhin wird eine Liste der verfügbaren Unterattribute angezeigt.
- Wählen Sie ein untergeordnetes Attribut aus. Es wird ein Auswahlfeld angezeigt, in dem Sie die Abfrageanweisung mit dem ausgewählten untergeordneten Attribut, einem Abfrageoperator und einem oder mehreren Werten für das untergeordnete Attribut erstellen können.
- Wählen Sie im Steuerfeld den Operator und einen oder mehrere Werte für das untergeordnete Attribut aus. Weitere Informationen zu Abfrageoperatoren und den verwendeten Funktionen finden Sie unter Abfrageoperatoren im Menü „Filter hinzufügen“.
- Klicken Sie auf Anwenden.
Das Dialogfeld wird geschlossen und Ihre Abfrage wird aktualisiert.
- Wiederholen Sie diesen Vorgang, bis die Ergebnisabfrage alle gewünschten Attribute enthält.
Prüfen Sie den Filter auf Korrektheit. Wenn Sie Änderungen vornehmen möchten, löschen Sie Attribute oder fügen Sie welche hinzu und filtern Sie Werte nach Bedarf.
Klicken Sie auf Vorschau der übereinstimmenden Ergebnisse anzeigen.
Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.
Klicken Sie auf Speichern.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den Befehl
gcloud scc muteconfigs create
aus, um Ausblendungsregeln zu erstellen:gcloud scc muteconfigs create CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description="RULE_DESCRIPTION" \ --filter="FILTER" \ --type=MUTE_TYPE \ --expiry-time=TIMESTAMP
Ersetzen Sie Folgendes:
CONFIG_ID
: Der Name der Ausblendungsregel. Die ID muss zwischen 1 und 63 Zeichen lang sein und alphanumerische Zeichen und Bindestriche enthalten.PARENT
: der Bereich in der Ressourcenhierarchie, auf den sich die Ausblendungsregel bezieht,organization
,folder
oderproject
.PARENT_ID
: Die numerische ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts oder die alphanumerische ID des übergeordneten Projekts.LOCATION
: Wenn die Datenspeicherung aktiviert ist, der SCC-Speicherort, an dem eine Stummschaltungsregel erstellt werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.RULE_DESCRIPTION
: eine Beschreibung der Ausblendungsregel mit maximal 1.024 Zeichen.FILTER
: der Ausdruck, den Sie zum Filtern von Ergebnissen definieren. Wenn Sie beispielsweise Ergebnisse des TypsOPEN_FIREWALL
ausblenden möchten, kann der FilterFILTER="category=\"OPEN_FIREWALL\""
sein.MUTE_TYPE
: die Art der Ausblendungsregel, die Sie erstellen möchten. Gültige Typen für Stummschaltungsregeln sindDYNAMIC
undSTATIC
. Der Typ der Stummschaltregel ist standardmäßig aufSTATIC
festgelegt. Der Typ einer Stummschaltungsregel kann nach dem Erstellen nicht mehr geändert werden.TIMESTAMP
: Gilt nur, wenn Sie eine dynamische Ausblendungsregel erstellen. Der Datum/Uhrzeit-String, der angibt, wann die dynamische Stummschaltungsregel abläuft. Der Wert muss mindestens einen Tag in der Zukunft liegen, da die Anfrage sonst abgelehnt wird. Weitere Informationen zu Zeitformaten finden Sie untergcloud topic datetimes
. Wenn eine dynamische Stummschaltungsregel abläuft, wird sie aus allen übereinstimmenden Ergebnissen entfernt. Wenn die dynamische Ausblendungsregel auf übereinstimmende Ergebnisse unbegrenzt angewendet werden soll, lassen Sie dieses Feld leer.
Die Antwort enthält die ID der Ausblendungsregel, mit der Sie Regeln zum Ausblenden aufrufen, aktualisieren und löschen können, wie unter Regeln zum Ausblenden verwalten beschrieben.
Go
Java
Python
REST
Verwenden Sie in der Security Command Center API die Methode muteConfigs.create
, um eine Stummschaltungsregel zu erstellen. Der Anfragetext ist eine Instanz von MuteConfig
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "MUTE_TYPE", "expiryTime": "TIMESTAMP" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten ProjektsLOCATION
: Wenn die Datenspeicherung aktiviert ist, der Speicherort im Security Command Center, an dem eine Stummschaltungsregel erstellt werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.MUTE_CONFIG_ID
: der Name der Ausblendungs-Regel (zwischen 1 und 63 Zeichen)RULE_DESCRIPTION
: eine Beschreibung der Ausblendungsregel (max. 1.024 Zeichen)FILTER
: der Ausdruck, den Sie zum Filtern von Ergebnissen definierenWenn Sie beispielsweise Ergebnisse des Typs
OPEN_FIREWALL
ausblenden möchten, kann der Filter"category=\"OPEN_FIREWALL\""
sein.MUTE_TYPE
: die Art der Ausblendungsregel, die Sie erstellen möchten. Gültige Typen für Stummschaltungsregeln sindDYNAMIC
undSTATIC
. Der Typ einer Stummschaltungsregel kann nach dem Erstellen nicht mehr geändert werden.TIMESTAMP
: Gilt nur, wenn Sie eine dynamische Ausblendungsregel erstellen. Der Datum/Uhrzeit-String, der angibt, wann die dynamische Stummschaltungsregel abläuft. Der Wert muss mindestens einen Tag in der Zukunft liegen, da die Anfrage sonst abgelehnt wird. Weitere Informationen zu Zeitformaten finden Sie untergcloud topic datetimes
. Wenn eine dynamische Stummschaltungsregel abläuft, wird sie aus allen übereinstimmenden Ergebnissen entfernt. Wenn die dynamische Ausblendungsregel auf übereinstimmende Ergebnisse unbegrenzt angewendet werden soll, lassen Sie dieses Feld leer.
Die Antwort enthält die ID der Ausblendungs-Konfiguration, mit der Sie Regeln zum Ausblenden aufrufen, aktualisieren und löschen können, wie unter Regeln zum Ausblenden verwalten beschrieben.
Neue Ergebnisse, die genau mit dem Filter übereinstimmen, werden ausgeblendet. Das Attribut mute
für die Ergebnisse wird auf MUTED
gesetzt.
Nicht unterstützte Ergebnisattribute für Ausblendungsregeln
Ausblendungs-Regeln unterstützen nicht alle Ergebnisattribute in Filtern. Die folgenden Properties werden in Filtern für Ausblendungsregeln nicht unterstützt.
createTime
eventTime
mute
mute_initiator
mute_update_time
name
parent
security_marks
source_properties
state
Ausblendungs-Regeln auflisten
Sie können die Stummschaltungsregeln in einer Organisation, einem Ordner oder einem Projekt mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API auflisten.
Ob Sie Ausblendungsregeln für einen bestimmten Umfang auflisten können, hängt von den Berechtigungen ab, die Ihren IAM-Rollen gewährt wurden.
Wenn der Datenstandort für Security Command Center aktiviert ist, ist der Umfang des Befehls „list“ auch auf den ausgewählten Security Command Center-Standort beschränkt.
Beispielcode für die Auflistung von Ausblendungsregeln finden Sie unter Ausblendungsregeln auflisten.
Wenn Sie die Ausblendungsregeln für eine Organisation, einen Ordner oder ein Projekt auflisten möchten, klicken Sie auf den Tab für die gewünschte Vorgehensweise:
Console
Wechseln Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center zum Tab Ausblendungsregeln.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Im Abschnitt Ausblendungsregeln finden Sie Details zu aktiven Ausblendungsregeln, darunter:
- Name: ID der Ausblendungsregel
- Übergeordnete Ressource: die Ressource, auf der sich die Ausblendungs-Regel befindet
- Beschreibung: Die Beschreibung der Ausblendungsregel, falls verfügbar
- Zuletzt aktualisiert von: Das Hauptkonto, das zuletzt die Regel aktualisiert hat
- Zuletzt aktualisiert: Das Datum und die Uhrzeit der letzten Aktualisierung der Regel
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den Befehl
gcloud scc muteconfigs list
aus, um Ausblendungsregeln aufzulisten:gcloud scc muteconfigs list --PARENT=PARENT_ID \ --location=LOCATION
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressourceorganization
,folder
oderproject
, für die Ausblendungsregeln aufgelistet werden sollenPARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten ProjektsLOCATION
: Wenn die Datenspeicherung aktiviert ist, der Speicherort im Security Command Center, an dem Stummschaltungsregeln aufgeführt werden sollen. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.
Go
Java
Python
REST
Verwende in der Security Command Center API die Methode muteConfigs.list
, um Stummschaltungsregeln aufzulisten:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten ProjektsLOCATION
: Wenn die Datenspeicherung aktiviert ist, der Speicherort im Security Command Center, an dem Stummschaltungsregeln aufgeführt werden sollen. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.
Die Antwort enthält die Namen, Beschreibungen und Ausblendungs-Konfigurations-IDs für Ihre Ausblendungsregeln.
Konfiguration einer Ausblendungsregel aufrufen
Sie können die Konfiguration einer Stummschaltungsregel mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API aufrufen.
Beispielcode zum Abrufen einer Ausblendungsregelkonfiguration findest du unter Ausblendungsregel aufrufen.
Wenn Sie die Konfiguration einer Ausblendungsregel aufrufen möchten, klicken Sie auf den Tab für das gewünschte Verfahren:
Console
Wechseln Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center zum Tab Ausblendungsregeln.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Im Abschnitt Ausblendungsregeln sehen Sie eine Liste der Ausblendungsregeln.
Klicken Sie auf den Namen der Regel, die Sie aufrufen möchten.
Eine Seite mit der Konfiguration der Ausblendungs-Regel wird geöffnet.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den Befehl
gcloud scc muteconfigs get
aus, um die Konfiguration einer Ausblendungsregel aufzurufen:gcloud scc muteconfigs get MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Ersetzen Sie Folgendes:
MUTE_CONFIG_ID
: die ID der AusblendungsregelPARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organization
,folder
oderproject
)PARENT_ID
: die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Wenn die Speicherung von Daten aktiviert ist, der Speicherort im Security Command Center, unter dem die Konfiguration der Stummschaltungsregel angezeigt wird. Wenn die Speicherung von Daten nicht aktiviert ist, verwenden Sie den Wertglobal
.
Go
Java
Python
REST
Verwende in der Security Command Center API die Methode muteConfigs.get
, um die Konfiguration einer Stummschaltungsregel zurückzugeben:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Wenn die Speicherung von Daten aktiviert ist, der Speicherort im Security Command Center, unter dem die Konfiguration der Stummschaltungsregel angezeigt wird. Wenn die Speicherung von Daten nicht aktiviert ist, verwenden Sie den Wertglobal
.CONFIG_ID
: Die numerische ID der Ausblendungs-Regel
Ausblendungs-Regeln aktualisieren
Sie können die Beschreibung oder den Suchfilter einer Stummschaltungsregel über die Google Cloud Console, die gcloud CLI oder die Security Command Center API aktualisieren.
Sie können die ID, die übergeordnete Organisation, den übergeordneten Ordner oder das übergeordnete Projekt sowie den Speicherort einer Ausblendungsregel nicht ändern. Wenn Sie einen dieser Werte ändern möchten, müssen Sie eine neue Ausblendungsregel erstellen.
Wenn Sie zuvor Ergebnisse wieder eingeblendet haben, werden sie wieder ausgeblendet, wenn sie mit einer in der Google Cloud Console aktualisierten Ausblendungsregel übereinstimmen. Weitere Informationen finden Sie unter Einzelne Ergebnisse wieder einblenden.
Beispielcode zum Aktualisieren einer Ausblendungsregel finden Sie unter Ausblendungsregel aktualisieren.
Klicken Sie zum Aktualisieren einer Ausblendungsregel auf den Tab für das gewünschte Verfahren:
Console
Wechseln Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center zum Tab Ausblendungsregeln.
Wählen Sie das Google Cloud-Projekt oder die Organisation aus, die die übergeordnete Ressource für die Ausblendungsregel ist, die Sie ändern möchten.
Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Klicken Sie auf den Namen der Ausblendungsregel, die Sie ändern möchten.
Wenn Sie nicht das entsprechende Projekt oder die entsprechende Organisation ausgewählt haben, werden Sie möglicherweise in einem Hinweis darauf hingewiesen, dass Sie nicht berechtigt sind, die Ausblendungsregel zu ändern.
Geben Sie eine neue Beschreibung ein und klicken Sie auf Speichern.
Aktualisieren oder ändern Sie bei dynamischen Ausblendungsregeln die Ablaufzeit der Regel.
Aktualisieren oder ändern Sie den Filter.
Eine Anleitung finden Sie unter Regeln zum Ausblenden erstellen.
Klicken Sie auf Vorschau der übereinstimmenden Ergebnisse anzeigen, um Ergebnisse anzuzeigen, die dem aktualisierten Filter entsprechen.
Eine Tabelle mit Ergebnissen, die der neuen Abfrage entsprechen, wird geladen.
Klicken Sie auf Speichern.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den Befehl
gcloud scc muteconfigs update
aus, um Ausblendungs-Regeln zu aktualisieren:gcloud scc muteconfigs update MUTE_CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description=RULE_DESCRIPTION \ --filter=FILTER --type=MUTE_TYPE \ --expiry-time=TIMESTAMP
Ersetzen Sie Folgendes:
MUTE_CONFIG_ID
: die ID der Ausblendungs-Regel.PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organization
,folder
oderproject
)PARENT_ID
: Die ID der Organisation, des Ordners oder des Projekts.LOCATION
: Wenn die Datenspeicherung aktiviert ist, der Speicherort in Security Command Center, an dem die Stummschaltungsregel aktualisiert werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.RULE_DESCRIPTION
: eine Beschreibung der Ausblendungsregel (max. 1.024 Zeichen).FILTER
: der Ausdruck, den Sie zum Filtern von Ergebnissen definieren.Wenn Sie beispielsweise Ergebnisse des Typs
OPEN_FIREWALL
ausblenden möchten, könnte Ihr FilterFILTER="category=\"OPEN_FIREWALL\""
sein.MUTE_TYPE
: Der Typ der Ausblendungsregel, die Sie aktualisieren. Gültige Typen für Stummschaltungsregeln sindDYNAMIC
undSTATIC
. Der Typ einer Ausblendungsregel kann nach dem Erstellen nicht mehr geändert werden.TIMESTAMP
: gilt nur, wenn Sie eine dynamische Ausblendungsregel aktualisieren. Der Datum/Uhrzeit-String, der angibt, wann die dynamische Stummschaltungsregel abläuft. Der Wert muss mindestens einen Tag in der Zukunft liegen, da die Anfrage sonst abgelehnt wird. Informationen zu Zeitformaten finden Sie untergcloud topic datetimes
. Wenn eine dynamische Stummschaltungsregel abläuft, wird sie aus allen übereinstimmenden Ergebnissen entfernt. Wenn die dynamische Ausblendungsregel auf übereinstimmende Ergebnisse unbegrenzt angewendet werden soll, lassen Sie dieses Feld leer.
Go
Java
Python
REST
Verwenden Sie in der Security Command Center API die Methode muteConfigs.patch
, um eine Stummschaltungsregel zu aktualisieren. Der Anfragetext ist eine Instanz von MuteConfig
:
PATCH https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "MUTE_TYPE", "expiryTime": "TIMESTAMP" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Wenn die Datenspeicherung aktiviert ist, der SCC-Standort, an dem die Stummschaltungsregel aktualisiert werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.CONFIG_ID
: Die numerische ID der Ausblendungs-RegelRULE_DESCRIPTION
: eine Beschreibung der Ausblendungs-Regel (max. 1.024 Zeichen)FILTER
: der Ausdruck, den Sie zum Filtern von Ergebnissen definierenWenn Sie beispielsweise Ergebnisse des Typs
OPEN_FIREWALL
ausblenden möchten, kann der Filter"category=\"OPEN_FIREWALL\""
sein.MUTE_TYPE
: Der Typ der Ausblendungsregel, die Sie aktualisieren. Gültige Typen für Stummschaltungsregeln sindDYNAMIC
undSTATIC
. Der Typ einer Ausblendungsregel kann nach dem Erstellen nicht mehr geändert werden.TIMESTAMP
: gilt nur, wenn Sie eine dynamische Ausblendungsregel aktualisieren. Der Datums-/Zeitstring, der angibt, wann die dynamische Stummschaltungsregel abläuft. Der Wert muss mindestens einen Tag in der Zukunft liegen, da die Anfrage sonst abgelehnt wird. Weitere Informationen zu Zeitformaten finden Sie untergcloud topic datetimes
. Wenn eine dynamische Ausblendungsregel abläuft, wird sie aus allen übereinstimmenden Ergebnissen entfernt. Wenn die dynamische Ausblendungsregel auf übereinstimmende Ergebnisse auf unbestimmte Zeit angewendet werden soll, lassen Sie dieses Feld aus.
Neue Ergebnisse, die genau mit dem Filter übereinstimmen, werden ausgeblendet. Das Attribut mute
für die Ergebnisse wird auf MUTED
gesetzt.
Ausblendungs-Regeln löschen
Sie können eine Stummschaltungsregel mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API löschen.
Bevor Sie Ausblendungs-Regeln löschen, sollten Sie Folgendes verstehen:
- Sie können gelöschte Ausblendungsregeln nicht wiederherstellen.
- Wenn Sie statische Ausblendungsregeln löschen, wird die Ausblendung von Ergebnissen, die derzeit ausgeblendet sind, nicht automatisch aufgehoben. Sie müssen Ergebnisse manuell oder programmgesteuert wieder einblenden.
- Wenn Sie dynamische Ausblendungsregeln löschen, wird die Regel automatisch aus allen zuvor übereinstimmenden Ergebnissen entfernt und die Ausblendung wird aufgehoben, wenn sie nicht mit anderen Regeln übereinstimmen.
- Zukünftige Ergebnisse, die mit Filtern in gelöschten Ausblendungsregeln übereinstimmen, werden nicht ausgeblendet.
Beispielcode zum Löschen einer Ausblendungsregel finden Sie unter Ausblendungsregel löschen.
Wenn Sie eine Ausblendungsregel löschen möchten, klicken Sie auf den Tab für das Verfahren, das Sie verwenden möchten:
Console
Wechseln Sie in der Google Cloud Console auf der Seite Einstellungen des Security Command Center zum Tab Ausblendungsregeln.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Klicken Sie auf den Namen der Ausblendungsregel, die Sie löschen möchten.
Klicken Sie auf delete Löschen.
Lesen Sie das Dialogfeld und klicken Sie, wenn Sie zufrieden sind, auf Löschen.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den Befehl
gcloud scc muteconfigs delete
aus, um Ausblendungsregeln zu löschen:gcloud scc muteconfigs delete MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Ersetzen Sie Folgendes:
MUTE_CONFIG_ID
: die ID der Ausblendungs-KonfigurationPARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organization
,folder
oderproject
)PARENT_ID
: die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Wenn die Datenspeicherung aktiviert ist, der Speicherort im Security Command Center, an dem die Ausblendungsregel gelöscht werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.
Bestätigen Sie Ihre Anfrage zum Löschen der Ausblendungsregel.
Go
Java
Python
REST
Verwenden Sie in der Security Command Center API die Methode muteConfigs.delete
, um eine Stummschaltungsregel zu löschen:
DELETE https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource für Ihre Ausblendungsregel (organizations
,folders
oderprojects
)PARENT_ID
: die ID der Organisation, des Ordners oder des ProjektsLOCATION
: Wenn die Datenspeicherung aktiviert ist, der Speicherort im Security Command Center, an dem die Ausblendungsregel gelöscht werden soll. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie den Wertglobal
.CONFIG_ID
: Die numerische ID der Ausblendungs-Regel
Einzelne Ergebnisse ausblenden
Sie können einzelne Ergebnisse statisch stummschalten. Verwenden Sie dazu die Google Cloud Console, die gcloud CLI oder die Security Command Center API.
Das statische Ausblenden eines Ergebnisses hat keinen Einfluss darauf, ob es aktiv ist oder nicht. Wenn ein aktives Ergebnis ausgeblendet wird, bleibt das Attribut state
unverändert: state="ACTIVE"
. Das Ergebnis wird ausgeblendet, bleibt aber aktiv, bis die zugrunde liegende Sicherheitslücke, Fehlkonfiguration oder Bedrohung behoben ist. Wenn Sie ein Ergebnis statisch ausblenden, werden außerdem alle dynamischen Ausblendungsregeln überschrieben, die für das Ergebnis gelten.
Wenn Sie ein Ergebnis zu schädlichen Kombinationen stummschalten, wird der entsprechende Fall geschlossen.
Wie Sie alle zukünftigen Ergebnisse ausblenden, die bestimmten Kriterien entsprechen, erfahren Sie unter Ausblendungsregeln erstellen.
Beispielcode zum Stummschalten eines Ergebnisses finden Sie unter Ergebnis stummschalten.
Wenn Sie ein einzelnes Ergebnis statisch stummschalten möchten, klicken Sie auf den Tab für das Verfahren, das Sie verwenden möchten:
Console
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Wenn das Ergebnis, das Sie stummschalten möchten, im Bereich Ergebnisse der Ergebnisabfrage nicht angezeigt wird, wählen Sie im Bereich Schnellfilter unter Kategorie die Kategorie des Ergebnisses aus.
Klicken Sie das Kästchen neben dem Ergebnis an, das Sie ausblenden möchten. Sie können eine oder mehrere Ergebnisse auswählen.
Klicken Sie in der Aktionsleiste der Suchergebnisse für Ergebnisse auf Ausblendungs-Optionen und wählen Sie dann Ausblendungsüberschreibung anwenden aus.
Das Attribut
mute
für die ausgewählten Ergebnisse wird aufMUTED
gesetzt und das Ergebnis wird aus dem Bereich Suchergebnisse für Ergebnisse entfernt.
Alternativ können Sie ein Ergebnis auch über den Detailbereich stummschalten:
- Klicken Sie auf der Seite Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Namen eines einzelnen Ergebnisses. Der Detailbereich des Ergebnisses wird geöffnet.
- Klicken Sie auf Maßnahmen ergreifen.
Wählen Sie im Menü Maßnahme ergreifen die Option Ausblendungsüberschreibung anwenden aus.
Wenn Sie stattdessen Ergebnisse wie dieses ausblenden auswählen, wird die Seite Ausblendungsregel erstellen geöffnet. Dort können Sie eine Ausblendungsregel für Ergebnisse desselben Typs oder mit denselben
Indicator
-Attributen erstellen.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Verwenden Sie den Befehl
set-mute
in der gcloud CLI, um den Ausblendungsstatus eines Ergebnisses aufMUTED
zu setzen:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=MUTED
Ersetzen Sie Folgendes:
FINDING_ID
: die ID des Ergebnisses, das Sie ausblenden möchtenWenn Sie Ergebnis-IDs abrufen möchten, verwenden Sie die Security Command Center API, um Ergebnisse aufzulisten. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings`/5ee30aa342e799e4e1700826de053aa9
.PARENT
: die übergeordnete Ressource (project
,folder
oderorganization
), wobei die Groß- und Kleinschreibung berücksichtigt wirdPARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten ProjektsLOCATION
: Wenn der Datenstandort aktiviert ist, der Security Command Center-Standort, an dem das Ergebnis stummgeschaltet werden soll. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.SOURCE_ID
: die Quell-ID.Eine Anleitung zum Abrufen einer Quell-ID finden Sie unter Quell-ID abrufen.
Go
Java
Python
REST
Verwenden Sie in der Security Command Center API die Methode findings.setMute
, um ein Ergebnis stummzuschalten. Der Anfragetext ist ein Enum-Wert, der den resultierenden Ausblendungsstatus angibt:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "MUTED" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource (organizations
,folders
oderprojects
)PARENT_ID
: Die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts.LOCATION
: Wenn der Datenstandort aktiviert ist, der Security Command Center-Standort, an dem das Ergebnis stummgeschaltet werden soll. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.SOURCE_ID
: die numerische ID für die Quelle.Eine Anleitung zum Abrufen einer Quell-ID finden Sie unter Quell-ID abrufen.
FINDING_ID
: die ID für das Ergebnis, das Sie ausblenden möchtenWenn Sie Ergebnis-IDs abrufen möchten, verwenden Sie die Security Command Center API, um Ergebnisse aufzulisten. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.
Wenn Sie ein Ergebnis stummschalten, wird das Attribut mute
auf MUTED
gesetzt.
Einzelne Ergebnisse wieder einblenden
Sie können die Stummschaltung einer einzelnen Sicherheitswarnung statisch über die Google Cloud Console, die gcloud CLI oder die Security Command Center API aufheben.
Das Aufheben der Ausblendung eines Ergebnisses ist nützlich, wenn Sie verhindern möchten, dass ein Ergebnis durch eine zu weit gefasste Ausblendungsregel oder eine Regel ausgeblendet wird, die zu komplex ist, um sie so zu ändern, dass Ergebnisse, die Sie für wichtig halten, ausgeschlossen werden.
Beispielcode zum Stummschalten eines Ergebnisses finden Sie unter Ergebnis stummschalten.
Wieder eingeblendete Ergebnisse werden nur dann wieder ausgeblendet, wenn sie manuell ausgeblendet werden. Ausblendungsregeln, die mit der gcloud CLI oder der Security Command Center API erstellt wurden, haben keine Auswirkungen auf Ergebnisse, die von Nutzern wieder eingeblendet wurden.
Beispielcode zum Stummschalten eines Ergebnisses finden Sie unter Stummschalten eines Ergebnisses aufheben.
Console
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Die Seite Ergebnisse wird mit der Standardabfrage im Bereich Abfragevorschau geöffnet. In der Standardabfrage werden ausgeblendete Ergebnisse herausgefiltert. Sie müssen die Abfrage also bearbeiten, damit ausgeblendete Ergebnisse im Bereich Ergebnisabfrageergebnisse angezeigt werden.
Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Klicken Sie rechts neben dem Bereich Abfragevorschau auf Abfrage bearbeiten, um den Abfrageeditor zu öffnen.
Ersetzen Sie im Feld Abfrageeditor die vorhandene Stummschaltungsanweisung durch Folgendes:
mute="MUTED"
Klicken Sie auf Anwenden. Die Ergebnisse im Bereich Ergebnisse der Suchanfrage werden aktualisiert, sodass nur ausgeblendete Ergebnisse angezeigt werden.
Filtern Sie bei Bedarf andere ausgeblendete Ergebnisse heraus. Wählen Sie beispielsweise im Bereich Schnellfilter unter Kategorie den Namen der Abweichung aus, für die Sie die Stummschaltung aufheben möchten, um alle anderen Abweichungskategorien herauszufiltern.
Klicken Sie das Kästchen neben dem Ergebnis an, für das Sie die Ausblendung aufheben möchten. Sie können eine oder mehrere Ergebnisse auswählen.
Klicken Sie in der Aktionsleiste der Ergebnisse der Suchanfrage auf Ausblendungs-Optionen und wählen Sie dann Ausblenden aufheben aus.
Das Attribut
mute
für die ausgewählten Ergebnisse wird aufUNMUTED
gesetzt und das Ergebnis wird aus dem Bereich Suchergebnisse für Ergebnisse entfernt.
Alternativ können Sie die Ausblendung eines Ergebnisses auch über den Detailbereich aufheben:
- Klicken Sie auf der Seite Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Namen eines einzelnen Ergebnisses. Der Detailbereich des Ergebnisses wird geöffnet.
- Klicken Sie auf Maßnahmen ergreifen.
- Wähle im Menü Aktion die Option Überschreibung für Stummschaltung aufheben aus.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Verwenden Sie den Befehl
set-mute
in der gcloud CLI, um den Ausblendungsstatus eines Ergebnisses aufUNMUTED
zu setzen:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=UNMUTED
Ersetzen Sie Folgendes:
FINDING_ID
: die ID des Ergebnisses, das Sie ausblenden möchtenWenn Sie Ergebnis-IDs abrufen möchten, verwenden Sie die Security Command Center API, um Ergebnisse aufzulisten. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.PARENT
: die übergeordnete Ressource (project
,folder
oderorganization
), wobei die Groß- und Kleinschreibung berücksichtigt wirdPARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten ProjektsLOCATION
: Wenn die Datenspeicherung aktiviert ist, der Security Command Center-Standort, an dem die Stummschaltung des Ergebnisses aufgehoben werden soll. Ist die Datenspeicherung nicht aktiviert, verwenden Sie den Wertglobal
.SOURCE_ID
: die Quell-ID.Eine Anleitung zum Abrufen einer Quell-ID finden Sie unter Quell-ID abrufen.
Go
Java
Python
REST
Verwenden Sie in der Security Command Center API die Methode findings.setMute
, um die Stummschaltung eines Ergebnisses aufzuheben. Der Anfragetext ist ein Enum-Wert, der den resultierenden Ausblendungsstatus angibt:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource (organizations
,folders
oderprojects
)PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten ProjektsLOCATION
: Wenn die Datenspeicherung aktiviert ist, der Security Command Center-Standort, an dem die Stummschaltung des Ergebnisses aufgehoben werden soll. Ist die Datenspeicherung nicht aktiviert, verwenden Sie den Wertglobal
.SOURCE_ID
: die numerische ID für die QuelleEine Anleitung zum Abrufen einer Quell-ID finden Sie unter Quell-ID abrufen.
FINDING_ID
: die ID für das Ergebnis, das Sie ausblenden möchtenWenn Sie Ergebnis-IDs abrufen möchten, verwenden Sie die Security Command Center API, um Ergebnisse aufzulisten. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.
Die ausgewählten Ergebnisse sind nicht mehr ausgeblendet und das Attribut mute
für die Ergebnisse wurde auf UNMUTED
gesetzt.
Überschreibung des Ausblendungsstatus für einzelne Ergebnisse entfernen
Sie können einen Überschreibungsstatus für das Ausblenden anwenden, wenn Sie den Ausblendungsstatus eines Ergebnisses absichtlich ändern, um es statisch auszublenden oder wieder einzublenden. So können Sie beispielsweise einen Überschreibungsstatus für die Ausblendung anwenden, um ein Ergebnis mit niedriger Priorität auszublenden, für das es sich nicht lohnt, eine dynamische Ausblendungsregel zu erstellen.
Sie können die Überschreibung des Stummschaltungsstatus für eine einzelne Sicherheitswarnung mit der Google Cloud Console, der gcloud CLI oder der Security Command Center API entfernen.
Bevor Sie die Überschreibung des Stummschaltungsstatus für einen Befund entfernen, sollten Sie Folgendes beachten:
- Ein Ergebnis hat einen Überschreibungsstatus für die Ausblendung, wenn es statisch ausgeblendet oder die Ausblendung aufgehoben wurde. Sie können einen Überschreibungsstatus für die Ausblendung manuell oder automatisch mithilfe von statischen Ausblendungsregeln auf jedes Ergebnis anwenden.
- Ein Überschreiben des Ausblendungsstatus gilt für ein Ergebnis auf unbestimmte Zeit und hat Vorrang vor allen übereinstimmenden Ausblendungsregeln.
- Wenn Sie die Überschreibung des Ausblendungsstatus für ein Ergebnis entfernen, wird der Ausblendungsstatus des Ergebnisses zurückgesetzt, sodass es von statischen oder dynamischen Ausblendungsregeln verarbeitet werden kann.
- Das Entfernen der Überschreibung des Ausblendungsstatus für ein Ergebnis unterscheidet sich vom Aufheben der Ausblendung eines Ergebnisses. Wenn Sie die Ausblendung eines Ergebnisses aufheben (Ausblendungsstatus überschreiben), kann es erst wieder durch Ausblendungsregeln ausgeblendet werden, wenn Sie die manuelle Aufhebung der Ausblendung aufgehoben haben.
So entfernen Sie die Überschreibung für das Ausblenden eines einzelnen Ergebnisses:
Console
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Optional: Wenn die Datenspeicherorte für das Security Command Center aktiviert sind, ändern Sie den Speicherort der Daten nach Bedarf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.
Klicken Sie rechts neben dem Bereich Abfragevorschau auf Abfrage bearbeiten, um den Abfrageeditor zu öffnen.
Ersetzen Sie im Feld Abfrageeditor die vorhandene Stummschaltungsanweisung durch Folgendes:
mute="MUTED" OR mute="UNMUTED"
Klicken Sie auf Anwenden. Die Ergebnisse im Bereich Ergebnisse der Suchanfrage werden um statisch ausgeblendete und nicht ausgeblendete Ergebnisse aktualisiert.
Filtern Sie bei Bedarf andere Ergebnisse heraus. Wählen Sie beispielsweise im Bereich Schnellfilter unter Kategorie den Namen der Abweichung aus, die Sie zurücksetzen möchten, um alle anderen Kategorien von Abweichungen herauszufiltern.
Klicken Sie das Kästchen neben dem Ergebnis an, das Sie zurücksetzen möchten. Sie können eine oder mehrere Ergebnisse auswählen.
Klicken Sie in der Aktionsleiste der Suchergebnisse für die Ergebnisserkundung auf Ausblendungs-Optionen und wählen Sie dann Ausblendungsüberschreibungen entfernen aus.
Das Attribut
mute
für die ausgewählten Ergebnisse wird aufUNDEFINED
gesetzt und das Ergebnis wird aus dem Bereich Suchergebnisse für Ergebnisse entfernt.
Alternativ können Sie die Ausblendung eines Ergebnisses auch über den Detailbereich aufheben:
- Klicken Sie auf der Seite Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Namen eines einzelnen Ergebnisses. Der Detailbereich des Ergebnisses wird geöffnet.
- Klicken Sie auf Maßnahmen ergreifen.
- Wählen Sie im Menü Aktion die Option Stummschaltungsüberschreibungen entfernen aus.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Verwenden Sie den Befehl
set-mute
in der gcloud CLI, um den Ausblendungsstatus eines Ergebnisses aufUNDEFINED
zu setzen:gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=UNDEFINED
Ersetzen Sie Folgendes:
FINDING_ID
: die ID des Ergebnisses, das Sie zurücksetzen möchtenBeim Abrufen von Ergebnis-IDs verwenden Sie die Security Command Center API zum Auflisten der Ergebnisse. Die Ergebnis-ID ist der letzte Teil des Attributs
canonicalName
, z. B.projects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.PARENT
: die übergeordnete Ressource (project
,folder
oderorganization
), wobei die Groß- und Kleinschreibung berücksichtigt wirdPARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten ProjektsLOCATION
: Wenn der Datenstandort aktiviert ist, der Security Command Center-Standort, an dem die Überschreibung des Ausblendungsstatus für ein Ergebnis entfernt werden soll. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.SOURCE_ID
: die Quell-ID.Eine Anleitung zum Abrufen einer Quell-ID finden Sie unter Quell-ID abrufen.
REST
Verwenden Sie in der Security Command Center API die Methode findings.setMute
, um den Ausblendungsstatus eines Ergebnisses zurückzusetzen. Der Anfragetext ist ein Enum-Wert, der den resultierenden Ausblendungsstatus angibt:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNDEFINED" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource (organizations
,folders
oderprojects
)PARENT_ID
: die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten ProjektsLOCATION
: Wenn der Datenstandort aktiviert ist, der Security Command Center-Standort, an dem die Überschreibung des Ausblendungsstatus für ein Ergebnis entfernt werden soll. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.SOURCE_ID
: die numerische ID für die Quelle
Mehrere vorhandene Ergebnisse stummschalten oder zurücksetzen
Sie können die folgenden Bulk-Ausblendungsvorgänge für mehrere vorhandene Ergebnisse ausführen. Verwenden Sie dazu entweder den gcloud scc findings bulk-mute
-Befehl der gcloud CLI oder die bulkMute
-Methode der Security Command Center API:
Mehrere vorhandene Ergebnisse ausblenden Wenn Sie vorhandene Ergebnisse im Bulk-Vorgang ausblenden, werden sie statisch ausgeblendet und alle dynamischen Ausblendungsregeln, die auf das Ergebnis zutreffen, werden überschrieben. Wenn Sie ähnliche zukünftige Ergebnisse ausblenden möchten, erstellen Sie eine Ausblendungsregel.
Entfernen Sie die Überschreibung des Ausblendungsstatus für mehrere vorhandene Ergebnisse. Wenn Sie die Überschreibung des Ausblendungsstatus für ein Ergebnis entfernen, wird der Ausblendungsstatus von
MUTED
(statisch ausgeblendet) oderUNMUTED
(statisch eingeblendet) aufUNDEFINED
zurückgesetzt. Diese Funktion kann hilfreich sein, wenn du von statischen zu dynamischen Ausblendungsregeln migrierst.
Geben Sie die Ergebnisse an, die Sie ausblenden möchten, indem Sie einen Ergebnisfilter definieren. Bulk-Ausblenden-Filter unterstützen nicht alle Ergebnisattribute. Eine Liste der nicht unterstützten Attribute finden Sie unter Nicht unterstützte Ergebnisattribute für Ausblendungs-Regeln.
Wenn der Datenstandort für Security Command Center aktiviert ist, sind Bulk-Stummschaltungen auf den Security Command Center-Speicherort beschränkt, an dem sie ausgeführt werden.
Beispielcode zum Ausblenden von Ergebnissen im Bulk-Vorgang finden Sie unter Ergebnisse im Bulk-Vorgang ausblenden.
Wenn Sie Ergebnisse im Bulk ausblenden oder zurücksetzen möchten, klicken Sie auf den Tab für die gewünschte Vorgehensweise:
Console
In der Google Cloud Console können Sie Ergebnisse nur im Bulk ausblenden, indem Sie Ausblendungsregeln erstellen. In der Google Cloud Console werden durch das Erstellen von Ausblendungsregeln vorhandene und zukünftige Ergebnisse ausgeblendet.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den Befehl
gcloud scc findings bulk-mute
aus, um mehrere Ergebnisse gleichzeitig auszublenden oder zurückzusetzen:gcloud scc findings bulk-mute \ --PARENT=PARENT_ID \ --location=LOCATION \ --filter="FILTER" \ --mute-state=MUTE_STATE
Ersetzen Sie Folgendes:
PARENT
: der Bereich in der Ressourcenhierarchie, auf den sich die Ausblendungsregel bezieht,organization
,folder
oderproject
.PARENT_ID
: Die numerische ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts oder die alphanumerische ID des übergeordneten Projekts.LOCATION
: Wenn der Datenstandort aktiviert ist, der Security Command Center-Speicherort, an dem Ergebnisse in Bulk-Ansicht stummgeschaltet oder zurückgesetzt werden sollen. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.FILTER
: der Ausdruck, den Sie zum Filtern von Ergebnissen definieren.Wenn Sie beispielsweise alle vorhandenen Ergebnisse der Typen
OPEN_FIREWALL
undPUBLIC_IP_ADDRESS
mit niedrigem Schweregrad im Projektinternal-test
ausblenden möchten, kann der Filter"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.projectDisplayName=\"internal-test\""
sein.MUTE_STATE
: Gibt an, ob das Ergebnis statisch ausgeblendet ist oder nicht. Gültige Werte sindMUTED
undUNDEFINED
. Der Wert ist standardmäßig aufMUTED
festgelegt. Legen Sie diesen Wert nur aufUNDEFINED
fest, wenn Sie den Stummschaltungsstatus mehrerer vorhandener Ergebnisse zurücksetzen möchten.
REST
Verwenden Sie in der Security Command Center API die Methode findings.bulkMute
, um mehrere vorhandene Ergebnisse auszublenden oder den Ausblendungsstatus zurückzusetzen. Der Anfragetext enthält den Ausdruck, der zum Filtern von Ergebnissen verwendet wird:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/findings:bulkMute { "filter": "FILTER", "muteState": "MUTE_STATE" }
Ersetzen Sie Folgendes:
PARENT
: die übergeordnete Ressource (organizations
,folders
oderprojects
)PARENT_ID
: Die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts.LOCATION
: Wenn der Datenstandort aktiviert ist, der Security Command Center-Speicherort, an dem Ergebnisse in Bulk-Ansicht stummgeschaltet oder zurückgesetzt werden sollen. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie den Wertglobal
.FILTER
: der Ausdruck, den Sie zum Filtern von Ergebnissen definieren.Wenn Sie beispielsweise alle vorhandenen Ergebnisse der Typen
OPEN_FIREWALL
undPUBLIC_IP_ADDRESS
mit niedrigem Schweregrad im Projektinternal-test
ausblenden möchten, kann der Filter"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.projectDisplayName=\"internal-test\""
sein.MUTE_STATE
: Gibt an, ob das Ergebnis ausgeblendet ist oder nicht. Gültige Werte sindMUTED
undUNDEFINED
. Der Wert ist standardmäßig aufMUTED
festgelegt. Legen Sie diesen Wert nur dann aufUNDEFINED
fest, wenn Sie den Stummschaltungsstatus mehrerer vorhandener Ergebnisse zurücksetzen möchten.
Alle vorhandenen Ergebnisse in der ausgewählten Ressource, die genau mit dem Filter übereinstimmen, werden ausgeblendet. Das Attribut mute
für die Ergebnisse ist auf MUTED
gesetzt.
Das Ausblenden von Ergebnissen ändert nicht ihren Status. Wenn aktive Ergebnisse ausgeblendet werden, bleiben sie aktiv, bis die zugrunde liegenden Sicherheitslücken, Fehlkonfigurationen oder Bedrohungen behoben sind.
Deaktivierte Ergebnisse in der Google Cloud Console aufrufen
Sie können ausgeblendete Ergebnisse in der Google Cloud Console aufrufen, indem Sie die Abfrage für Ergebnisse bearbeiten und Ergebnisse auswählen, die den Property-Wert mute="MUTED"
enthalten.
Mit der folgenden Abfrage für Ergebnisse werden beispielsweise nur aktive Ergebnisse angezeigt, die ausgeblendet wurden:
state="ACTIVE"
AND mute="MUTED"
Wenn Sie alle aktiven Ergebnisse sehen möchten, sowohl ausgeblendete als auch nicht ausgeblendete, lassen Sie das Attribut mute
vollständig aus der Abfrage aus:
state="ACTIVE"
Standardmäßig werden in der Ergebnisabfrage in der Google Cloud Console nur Ergebnisse angezeigt, die nicht ausgeblendet sind.
Ergebnisse nach Ausblendungsregeltyp ansehen
In den folgenden Abschnitten wird beschrieben, wie Sie aktive Ergebnisse nach Ausblendungsregeltyp abfragen.
Weitere Informationen zum Auflisten bestimmter Ergebnisse finden Sie unter Ergebnisse filtern.
Durch statische Ausblendungsregeln ausgeblendete Suchergebnisse
Wenn Sie aktive Ergebnisse anzeigen möchten, die nach einem bestimmten Zeitraum durch eine statische Ausblendungsregel ausgeblendet wurden, verwenden Sie die folgende Abfrage und prüfen Sie das Attribut muteInitiator
, um festzustellen, ob das Ergebnis durch eine statische Ausblendungsregel ausgeblendet wurde.
state="ACTIVE" AND
muteInfo.staticMute.applyTime>=TIMESTAMP AND
muteInfo.staticMute.state="MUTED"
Ersetzen Sie TIMESTAMP
durch den Datum/Uhrzeit-String, der den Beginn des Zeitraums angibt, für den Sie eine Abfrage ausführen möchten. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes
.
Durch dynamische Ausblendungsregeln ausgeblendete Suchergebnisse
Wenn Sie aktive Ergebnisse anzeigen möchten, die nach einer bestimmten Zeit durch eine dynamische Ausblendungsregel ausgeblendet wurden, verwenden Sie die folgende Abfrage:
state="ACTIVE" AND
muteUpdateTime>=TIMESTAMP AND
contains(muteInfo.dynamicMuteRecords, muteConfig="PARENT_ID/muteConfigs/CONFIG_ID")
Ersetzen Sie Folgendes:
TIMESTAMP
: Der Datums-/Uhrzeitstring, der den Beginn des Zeitraums angibt, für den Sie eine Abfrage ausführen möchten. Informationen zu Zeitformaten finden Sie untergcloud topic datetimes
.PARENT_ID
: Die ID der übergeordneten Organisation, des übergeordneten Ordners oder des übergeordneten Projekts im Formatorganizations/123
,folders/456
oderprojects/789
.CONFIG_ID
: Der Name der Ausblendungsregel. Die ID muss aus alphanumerischen Zeichen und Bindestrichen bestehen und zwischen 1 und 63 Zeichen lang sein.
Weitere Informationen zum Bearbeiten von Ergebnisabfragen finden Sie unter Ergebnisabfrage im Dashboard erstellen oder bearbeiten.
Ergebnisattribute im Zusammenhang mit dem Ausblenden
In diesem Abschnitt werden die Attribute der Ergebnisse aufgelistet, die sich auf den Ausblendungsstatus eines Ergebnisses beziehen. Außerdem wird beschrieben, wie sie durch Vorgänge zum Ausblenden betroffen sind:
mute
: Wird aufUNDEFINED
gesetzt, wenn Ergebnisse erstellt werden, und ändert sich in den folgenden Szenarien:MUTED
: Ein Ergebnis wird manuell oder durch eine Ausblendungs-Regel ausgeblendet.UNMUTED
: Ein Nutzer hebt die Ausblendung eines Ergebnisses auf.
muteUpdateTime
: die Zeit, zu der ein Ergebnis ausgeblendet oder wieder eingeblendet wird.muteInitiator
: die Kennung für das Hauptkonto oder die Ausblendungs-Regel, mit der ein Ergebnis ausgeblendet wurde.muteInfo
: Informationen zur Ausblendung des Ergebnisses, z. B. der Typ der Ausblendungsregel (statisch oder dynamisch) und mit welchen Ausblendungsregeln das Ergebnis übereinstimmt.muteInfo.staticMute
: Ein statischer Ausblendungsstatus überschreibt alle dynamischen Ausblendungsregeln, die auf dieses Ergebnis angewendet werden.state
: Ein statischer Ausblendungsstatus, der durch direktes Ausblenden des Ergebnisses oder durch eine statische Ausblendungsregel festgelegt werden kann.applyTime
: Zeitpunkt, zu dem der statische Ausblendungsstatus auf das Ergebnis angewendet wurde.
muteInfo.dynamicMuteRecords
: Der Datensatz einer dynamischen Ausblendungsregel, die mit dem Ergebnis übereinstimmt.muteConfig:
der relative Ressourcenname der Stummschaltungsregel, dargestellt durch die Stummschaltungskonfiguration, mit der der Eintrag erstellt wurde. Beispiel:organizations/123/muteConfigs/examplemuteconfig
matchTime
: Zeitpunkt, zu dem ein Ergebnis mit einer dynamischen Ausblendungsregel übereinstimmte.
Benachrichtigungen und Exporte von ausgeblendeten Ergebnissen beenden
Wenn Sie Benachrichtigungen für Ergebnisse aktivieren, werden neue oder aktualisierte ausgeblendete Ergebnisse, die Ihren Benachrichtigungsfiltern entsprechen, weiterhin nach Pub/Sub exportiert.
Wenn Sie Exporte und Benachrichtigungen für ausgeblendete Ergebnisse beenden möchten, verwenden Sie das Attribut mute
, um ausgeblendete Ergebnisse im NotificationConfig
-Filter auszuschließen.
Der folgende Filter sendet beispielsweise nur Benachrichtigungen für aktive Ergebnisse, die nicht ausgeblendet wurden oder bei denen das Ausblendungsattribut nicht festgelegt ist:
FILTER="state=\"ACTIVE\" AND -mute=\"MUTED\""
Nächste Schritte
Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen
Weitere Beispiele für Filter, die Sie verwenden können