Cette page explique comment réduire le volume de résultats que vous recevez dans Security Command Center en masquant les résultats.
Si vous désactivez un résultat, il ne s'affiche pas dans la vue par défaut de vos résultats dans la console Google Cloud. Vous pouvez désactiver manuellement ou automatiquement les résultats, et créer des filtres pour désactiver automatiquement les résultats existants et futurs en fonction des critères que vous spécifiez.
Les services de détection de Security Command Center fournissent des évaluations de sécurité générales de votre déploiement Google Cloud, mais vous pouvez constater que certains résultats ne sont pas appropriés ou pertinents pour votre organisation ou vos projets. Un grand nombre de résultats peut également compliquer l'identification et la résolution des risques les plus critiques pour vos analystes de sécurité. Ignorer les résultats vous fait gagner du temps lors de l'examen ou de la réponse aux résultats de sécurité des éléments isolés ou relevant des paramètres d'entreprise acceptables.
Ignorer les résultats présente plusieurs avantages par rapport à la désactivation des détecteurs:
- Vous pouvez créer des filtres personnalisés pour affiner les résultats à désactiver.
- Vous pouvez utiliser des règles d'exclusion pour ignorer temporairement ou définitivement des résultats.
- La désactivation des résultats n'empêche pas l'analyse des éléments sous-jacents. Les résultats sont toujours générés, mais restent masqués jusqu'à ce que vous décidiez de les afficher.
Autorisations
Pour désactiver les résultats, vous devez disposer de l'un des rôles IAM (Identity and Access Management) suivants au niveau de l'organisation, du dossier ou du projet:
- Afficher les règles de blocage :
- Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer
) - Lecteur de paramètres du centre de sécurité (
roles/securitycenter.settingsViewer
) - Lecteur des configurations de mise en sourdine du centre de sécurité
(
roles/securitycenter.muteConfigsViewer
)
- Lecteur administrateur du centre de sécurité (
- Affichez, créez, mettez à jour et supprimez des règles de blocage :
- Administrateur du centre de sécurité (
roles/securitycenter.admin
) - Éditeur administrateur du centre de sécurité (
roles/securitycenter.adminEditor
) - Éditeur de paramètres du centre de sécurité
(
roles/securitycenter.settingsEditor
) - Éditeur des configurations de mise en sourdine du centre de sécurité
(
roles/securitycenter.muteConfigsEditor
)
- Administrateur du centre de sécurité (
- Désactiver manuellement les résultats :
- Éditeur de données du centre de sécurité
(
roles/securitycenter.findingsEditor
)
- Éditeur de données du centre de sécurité
(
Vous pouvez également créer et attribuer des rôles personnalisés avec tout ou partie des autorisations suivantes :
- Ignorer les autorisations de lecture des règles
securitycenter.muteconfigs.get
securitycenter.muteconfigs.list
- Ignorer les autorisations d'écriture des règles
securitycenter.muteconfigs.create
securitycenter.muteconfigs.update
securitycenter.muteconfigs.delete
- Rechercher des autorisations en écriture
securitycenter.findings.setMute
securitycenter.findings.bulkMuteUpdate
Vous pouvez ignorer les résultats conformément aux rôles attribués au niveau de l'organisation, du dossier ou du projet. Vous pouvez ignorer les résultats de dossiers ou de projets spécifiques, et limiter la capacité d'autres personnes à ignorer les résultats en fonction de l'accès qui leur est accordé. Par exemple, si vous avez accès à un seul projet, vous ne pouvez ignorer les résultats que dans ce projet. Si vous avez accès à un dossier, vous pouvez ignorer les résultats de n'importe quel sous-dossier ou projet dans ce dossier.
Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Créer et gérer des règles de blocage
Les règles de blocage sont des configurations Security Command Center qui utilisent des filtres que vous créez pour ignorer automatiquement les résultats futurs et existants en fonction des critères que vous spécifiez. Vous pouvez créer des filtres avec des règles Ignorer statiques ou dynamiques.
Les règles Ignorer statiques ignorent les futurs résultats indéfiniment. Les règles de masquage dynamique masquent temporairement les résultats futurs et existants jusqu'à une date spécifiée ou indéfiniment jusqu'à ce qu'un résultat ne corresponde plus à la configuration.
Types de règles de blocage
Security Command Center est compatible avec les configurations de règles Ignorer statiques et dynamiques. Bien que vous puissiez utiliser simultanément des règles de masquage statiques et dynamiques, nous vous déconseillons de le faire. Les règles Ignorer statiques remplacent les règles Ignorer dynamiques lorsqu'elles sont appliquées au même résultat. Par conséquent, les règles Ignorer dynamique ne fonctionneront pas comme prévu, ce qui peut prêter à confusion lorsque vous gérez vos résultats. Par conséquent, nous vous recommandons d'utiliser un seul type de règle de masquage.
Sauf si vous utilisez déjà des règles de masquage statiques, nous vous recommandons d'utiliser exclusivement des règles de masquage dynamiques, car elles offrent plus de flexibilité.
Le tableau suivant présente une comparaison générale des deux types de règles de masquage. Pour en savoir plus, consultez les sections Règles de masquage statiques et Règles de masquage dynamiques.
Règles Ignorer statiques | Règles Ignorer dynamiques |
---|---|
Intervenir indéfiniment en fonction des résultats. | Peut agir sur une découverte de manière temporaire avec un délai d'expiration ou indéfiniment si aucun délai d'expiration n'est défini. |
Ne s'appliquent pas aux résultats existants. | S'applique aux résultats existants et nouveaux. |
Elles prévalent sur les règles Ignorer dynamiques. | Elles ont une priorité inférieure et sont remplacées par les règles de masquage statiques lorsque les deux types s'appliquent à une observation. |
Règles Ignorer statiques
- Les règles Ignorer statiques s'appliquent indéfiniment. Lorsqu'un résultat correspond à votre configuration de masquage statique, Security Command Center définit automatiquement la propriété
mute
du résultat surMUTED
jusqu'à ce que vous la modifiiez manuellement. - Les règles Ignorer statiques n'ont aucun effet sur les résultats existants. Elles ne s'appliquent qu'aux résultats nouvellement créés ou mis à jour après la définition de la règle. Si vous souhaitez également ignorer des résultats existants, utilisez les mêmes filtres pour ignorer des résultats de manière groupée.
- Les règles Ignorer statiques sont prioritaires sur les règles Ignorer dynamiques. Par conséquent, toutes les nouvelles découvertes qui correspondent à une règle de masquage statique définie sont considérées comme masquées, même si elles correspondent également à une règle de masquage dynamique définie.
Règles Ignorer dynamiques
- Les règles d'ignorer dynamique peuvent agir sur un résultat de façon temporaire avec une date d'expiration ou indéfiniment si aucune date d'expiration n'est définie. Lorsqu'un résultat existant ou nouvellement créé correspond à votre configuration de masquage dynamique, Security Command Center définit automatiquement la propriété
mute
du résultat surMUTED
jusqu'à la date d'expiration spécifiée ou jusqu'à ce que le résultat ou la configuration elle-même changent. Lorsqu'une règle Ignorer dynamique expire, Security Command Center la supprime du résultat. Si le résultat ne correspond à aucune autre règle de blocage dynamique, la propriétémute
est automatiquement réinitialisée surUNDEFINED
. - Les règles de masquage dynamique s'appliquent automatiquement aux résultats existants qui correspondent à votre configuration, ainsi qu'aux résultats nouvellement créés ou mis à jour.
- Les règles de masquage dynamique ont une priorité inférieure et sont remplacées par les règles de masquage statique lorsque les deux types s'appliquent à une infraction.
Nous vous recommandons d'utiliser exclusivement des règles de masquage dynamique. La possibilité de désactiver temporairement et de réactiver automatiquement les résultats rend les règles Ignorer dynamiques plus flexibles que les règles Ignorer statiques.
Si vous utilisez des règles Ignorer statiques pour réduire le nombre de résultats que vous examinez manuellement et que vous souhaitez passer aux règles Ignorer dynamiques, consultez Passer des règles Ignorer statiques aux règles Ignorer dynamiques.
Portée des règles Ignorer
Tenez compte du champ d'application d'une règle de blocage lors de la création de filtres.
Par exemple, si un filtre est écrit pour ignorer des résultats dans Project A
, mais qu'il est créé sous Project B
, il peut ne correspondre à aucun résultat.
De même, si la résidence des données est activée, le champ d'application d'une règle de masquage est limité à l'emplacement Security Command Center dans lequel la règle de masquage est créée. Par exemple, si vous créez une règle de masquage dans l'emplacement États-Unis (us
), elle ne masque pas les résultats stockés dans les emplacements Union européenne (eu
) ou Monde (global
).
Pour en savoir plus sur la résidence des données et les règles de blocage, consultez la section Règles de blocage, exportations continues et résidence des données.
Pour en savoir plus sur la création de filtres, consultez la section Filtrer les notifications.
Restrictions des règles Ignorer
Les règles de blocage ne sont pas compatibles avec toutes les propriétés de résultats. Pour obtenir la liste des propriétés non compatibles avec les règles de blocage, consultez la section Propriétés de résultats non compatibles avec les règles de blocage.
Vous pouvez créer, afficher, mettre à jour et supprimer des règles de blocage en fonction du champ d'application de vos rôles IAM. Les rôles au niveau de l'organisation s'affichent pour tous les dossiers et projets de l'organisation. Si vous disposez de rôles au niveau des dossiers, vous pouvez accéder aux règles de blocage pour des dossiers spécifiques, ainsi que tous les sous-dossiers et projets de ces dossiers, et les gérer. Les rôles au niveau du projet vous permettent de gérer les règles de blocage dans des projets spécifiques.
Security Command Center Premium permet d'accorder des rôles au niveau de l'organisation, du dossier et du projet. Security Command Center Standard n'accepte que l'attribution de rôles au niveau de l'organisation. Pour plus d'informations, consultez la section Contrôle des accès.
Résidence des données et règles de masquage
Si la résidence des données est activée, les configurations qui définissent les règles de masquage (ressources muteConfig
) sont soumises au contrôle de la résidence des données et sont stockées dans un emplacement Security Command Center que vous sélectionnez.
Pour appliquer une règle de masquage aux résultats d'un emplacement Security Command Center, vous devez créer la règle de masquage au même emplacement que les résultats auxquels elle s'applique.
Étant donné que les filtres utilisés dans les règles Ignorer peuvent contenir des données soumises à des contrôles de résidence, assurez-vous de spécifier l'emplacement correct avant de les créer. Security Command Center ne limite pas l'emplacement dans lequel vous créez des règles de masquage ou des exportations de streaming.
Les règles Ignorer ne sont stockées que dans l'emplacement où elles sont créées et ne peuvent pas être consultées ni modifiées dans d'autres emplacements.
Une fois que vous avez créé une règle de masquage, vous ne pouvez plus modifier son emplacement. Pour modifier l'emplacement, vous devez supprimer la règle de blocage et la recréer au nouvel emplacement.
Pour afficher les règles de masquage dans la console Google Cloud, vous devez d'abord définir la vue de la console Google Cloud sur l'emplacement où elles ont été créées.
Les mêmes règles s'appliquent à la représentation de l'API d'une règle de masquage, MuteConfig
.
Pour récupérer un MuteConfig
à l'aide d'appels d'API, vous devez spécifier l'emplacement dans le nom de ressource complet de l'MuteConfig
. Exemple :
GET https://securitycenter.googleapis.com/v2/organizations/123/locations/eu/muteConfigs/my-mute-rule-01
De même, pour récupérer un muteConfig
à l'aide de gcloud CLI, vous pouvez spécifier l'emplacement à l'aide de l'option --location
. Exemple :
gcloud scc muteconfigs list --organization=123 --location=us
Créer une règle de mise en sourdine
Votre organisation peut créer jusqu'à 1 000 règles de blocage.
Vous pouvez créer des règles de masquage statiques ou dynamiques à l'aide de la console Google Cloud, de la gcloud CLI ou de l'API Security Command Center. Nous vous recommandons d'utiliser exclusivement des règles Ignorer dynamiques dans vos configurations de règles Ignorer, car elles sont plus flexibles que les règles Ignorer statiques. Pour comparer les types de règles de masquage, consultez la section Types de règles de masquage.
Pour obtenir un exemple de code qui crée une règle de blocage, consultez la section Créer une règle de blocage.
Pour créer une règle de masquage, cliquez sur l'onglet de la procédure que vous souhaitez utiliser:
Console
Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Facultatif: Si la résidence des données est activée pour Security Command Center, modifiez l'emplacement des données si nécessaire.
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'établissements s'affiche. Sélectionnez le nouvel emplacement.
Cliquez sur Ignorer les options, puis sélectionnez Gérer les règles de blocage.
Cliquez sur Créer une règle de blocage, puis sélectionnez Règle de blocage dynamique ou Règle de blocage statique. Pour en savoir plus sur les types de règles de blocage, consultez la section Types de règles de blocage.
Saisissez un ID de règle de blocage. Veuillez indiquer une valeur.
Saisissez une description de la règle de blocage qui fournit des informations sur la raison pour laquelle les résultats sont ignorés. Cette valeur est facultative, mais recommandée.
La ressource parente indique le champ d'application auquel la règle de blocage sera créée et appliquée.
Si vous créez une règle de blocage statique ou une règle de blocage dynamique sans expiration, passez à l'étape suivante. Si vous créez une règle de masquage dynamique pour désactiver temporairement les résultats, procédez comme suit:
- Cochez la case Ignorer temporairement les résultats correspondants.
- Sélectionnez ou saisissez la date d'expiration de la règle de masquage dynamique. Cette valeur indique la durée pendant laquelle la règle ignorera les résultats correspondants.
Dans le champ Requête de résultats, créez vos instructions de requête en cliquant sur Ajouter un filtre. Vous pouvez également saisir manuellement les instructions de requête.
La boîte de dialogue Sélectionner un filtre vous permet de choisir les attributs et les valeurs de résultats compatibles.
- Sélectionnez un attribut de résultat ou saisissez son nom dans la zone Rechercher des attributs de résultats. La liste des sous-attributs disponibles s'affiche.
- Sélectionnez un sous-attribut. Un champ de sélection s'affiche, dans lequel vous pouvez créer l'instruction de requête à l'aide du sous-attribut que vous avez sélectionné, d'un opérateur de requête et d'une ou plusieurs valeurs pour le sous-attribut.
- Sélectionnez l'opérateur et une ou plusieurs valeurs pour le sous-attribut dans le panneau. Pour en savoir plus sur les opérateurs de requête et les fonctions qu'ils utilisent, consultez la section Opérateurs de requête dans le menu "Ajouter des filtres".
- Cliquez sur Appliquer.
La boîte de dialogue se ferme et votre requête est mise à jour.
- Répétez l'opération jusqu'à ce que la requête de résultats contienne tous les attributs souhaités.
Vérifiez l'exactitude du filtre. Pour apporter des modifications, supprimez ou ajoutez des propriétés et filtrez les valeurs si nécessaire.
Cliquez sur Prévisualiser les résultats correspondants.
Une table affiche les résultats correspondant à votre requête.
Cliquez sur Enregistrer.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour créer des règles de blocage, exécutez la commande
gcloud scc muteconfigs create
:gcloud scc muteconfigs create CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description="RULE_DESCRIPTION" \ --filter="FILTER" \ --type=MUTE_TYPE \ --expiry-time=TIMESTAMP
Remplacez les éléments suivants :
CONFIG_ID
: nom de la règle de masquage. L'ID doit comporter entre 1 et 63 caractères, et être composé de caractères alphanumériques et de traits d'union.PARENT
: champ d'application dans la hiérarchie des ressources auquel la règle de masquage s'applique,organization
,folder
ouproject
.PARENT_ID
: ID numérique de l'organisation, du dossier ou du projet parent, ou ID alphanumérique du projet parent.LOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel créer une règle de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.RULE_DESCRIPTION
: description de la règle de masquage ne dépassant pas 1 024 caractères.FILTER
: expression que vous définissez pour filtrer les résultats. Par exemple, pour ignorer les résultatsOPEN_FIREWALL
, votre filtre peut êtreFILTER="category=\"OPEN_FIREWALL\""
.MUTE_TYPE
: type de règle de blocage que vous souhaitez créer. Les types de règles de masquage valides sontDYNAMIC
etSTATIC
. Le type de règle de masquage est défini surSTATIC
par défaut. Vous ne pouvez pas modifier le type d'une règle de masquage une fois qu'elle a été créée.TIMESTAMP
: ne s'applique que si vous créez une règle de blocage dynamique. Chaîne de date/heure qui indique quand la règle de masquage dynamique expire. La valeur doit être définie sur au moins un jour à l'avance, sinon la demande sera refusée. Pour en savoir plus sur les formats de date et d'heure, consultezgcloud topic datetimes
. Lorsqu'une règle de masquage dynamique expire, elle est supprimée de toutes les correspondances. Si vous souhaitez que la règle Ignorer dynamique agisse indéfiniment sur les résultats correspondants, omettez ce champ.
La réponse inclut l'ID de la règle de blocage, que vous pouvez utiliser pour afficher, mettre à jour et supprimer des règles de blocage, comme décrit dans la section Gérer les règles de blocage.
Go
Java
Python
REST
Dans l'API Security Command Center, utilisez la méthode muteConfigs.create
pour créer une règle de masquage. Le corps de la requête est une instance de MuteConfig
:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs?muteConfigId=MUTE_CONFIG_ID -d { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "MUTE_TYPE", "expiryTime": "TIMESTAMP" }
Remplacez les éléments suivants :
PARENT
: ressource parente de votre règle de blocage (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projet parentLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel créer une règle de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.MUTE_CONFIG_ID
: nom de la règle de blocage (entre 1 et 63 caractères)RULE_DESCRIPTION
: description de la règle de masquage (1 024 caractères au plus)FILTER
: expression que vous définissez pour filtrer les résultatsPar exemple, pour ignorer les résultats
OPEN_FIREWALL
, votre filtre peut être"category=\"OPEN_FIREWALL\""
.MUTE_TYPE
: type de règle de blocage que vous souhaitez créer. Les types de règles de masquage valides sontDYNAMIC
etSTATIC
. Vous ne pouvez pas modifier le type d'une règle de masquage une fois qu'elle a été créée.TIMESTAMP
: ne s'applique que si vous créez une règle de blocage dynamique. Chaîne de date/heure qui indique quand la règle de mise en sourdine dynamique expire. La valeur doit être définie sur au moins un jour à l'avance, sinon la demande sera refusée. Pour en savoir plus sur les formats de date et d'heure, consultezgcloud topic datetimes
. Lorsqu'une règle de masquage dynamique expire, elle est supprimée de toutes les correspondances. Si vous souhaitez que la règle Ignorer dynamique agisse indéfiniment sur les résultats correspondants, omettez ce champ.
La réponse inclut un ID de configuration de blocage, que vous pouvez utiliser pour afficher, mettre à jour et supprimer des règles de blocage, comme décrit dans la section Gérer les règles de blocage.
Les nouveaux résultats qui correspondent exactement au filtre sont masqués et l'attribut mute
des résultats est défini sur MUTED
.
Propriétés de résultats non compatibles avec les règles de blocage
Les règles de blocage ne sont pas compatibles avec toutes les propriétés de résultat dans les filtres. Les propriétés suivantes ne sont pas compatibles avec les filtres de règle de blocage.
createTime
eventTime
mute
mute_initiator
mute_update_time
name
parent
security_marks
source_properties
state
Répertorier les règles de blocage
Vous pouvez lister les règles de masquage d'une organisation, d'un dossier ou d'un projet à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Security Command Center.
La possibilité d'afficher la liste des règles de blocage pour un champ d'application donné dépend des autorisations accordées à vos rôles IAM.
Si la résidence des données est activée pour Security Command Center, la portée de la commande de liste est également limitée à l'emplacement Security Command Center sélectionné.
Pour obtenir un exemple de code qui liste les règles de blocage, consultez la section Liste des règles de blocage.
Pour afficher les règles de masquage d'une organisation, d'un dossier ou d'un projet, cliquez sur l'onglet correspondant à la procédure que vous souhaitez suivre:
Console
Dans Google Cloud Console, accédez à l'onglet Règles de blocage de la page Paramètres de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Facultatif: Si la résidence des données est activée pour Security Command Center, modifiez l'emplacement des données si nécessaire.
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'emplacements s'affiche. Sélectionnez le nouvel emplacement.
La section Règles de blocage affiche les détails des règles de blocage actives, y compris les suivantes:
- Nom : ID de la règle de blocage
- Ressource parente : ressource où réside la règle de blocage
- Description : description de la règle de blocage, si disponible
- Dernière mise à jour par : compte principal qui a mis à jour la règle pour la dernière fois.
- Dernière mise à jour : date et heure de la dernière mise à jour de la règle.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour répertorier les règles de blocage, exécutez la commande
gcloud scc muteconfigs list
:gcloud scc muteconfigs list --PARENT=PARENT_ID \ --location=LOCATION
Remplacez les éléments suivants :
PARENT
:organization
,folder
ouproject
parent pour lequel lister les règles de blocagePARENT_ID
: ID de l'organisation, du dossier ou du projet parentLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel lister les règles de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.
Go
Java
Python
REST
Dans l'API Security Command Center, utilisez la méthode muteConfigs.list
pour lister les règles de masquage:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs
Remplacez les éléments suivants :
PARENT
: ressource parente de votre règle de blocage (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projet parentLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel lister les règles de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.
La réponse inclut les noms, les descriptions et les ID de configuration de blocage pour vos règles de blocage.
Afficher la configuration d'une règle de blocage
Vous pouvez afficher la configuration d'une règle de masquage à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Security Command Center.
Pour obtenir un exemple de code qui récupère une configuration de règle de blocage, consultez la section Afficher une règle de blocage.
Pour afficher la configuration d'une règle de blocage, cliquez sur l'onglet de la procédure que vous souhaitez utiliser:
Console
Dans Google Cloud Console, accédez à l'onglet Règles de blocage de la page Paramètres de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Facultatif: Si la résidence des données est activée pour Security Command Center, modifiez l'emplacement des données si nécessaire.
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'emplacements s'affiche. Sélectionnez le nouvel emplacement.
La section Règles de blocage s'affiche dans la section.
Cliquez sur le nom de la règle que vous souhaitez afficher.
La page qui s'ouvre affiche la configuration de la règle de blocage.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour afficher la configuration d'une règle de blocage, exécutez la commande
gcloud scc muteconfigs get
:gcloud scc muteconfigs get MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Remplacez les éléments suivants :
MUTE_CONFIG_ID
: ID de la règle de blocagePARENT
: ressource parente de votre règle de blocage (organization
,folder
ouproject
)PARENT_ID
: ID de l'organisation, du dossier ou du projetLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel afficher la configuration de la règle de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.
Go
Java
Python
REST
Dans l'API Security Command Center, utilisez la méthode muteConfigs.get
pour renvoyer la configuration d'une règle de masquage:
GET https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Remplacez les éléments suivants :
PARENT
: ressource parente de votre règle de blocage (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projetLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel afficher la configuration de la règle de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.CONFIG_ID
: ID numérique de la règle de blocage
Mettre à jour les règles de blocage
Vous pouvez modifier la description ou le filtre de recherche d'une règle de masquage à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Security Command Center.
Vous ne pouvez pas modifier l'ID, l'organisation, le dossier ou le projet parent, ni l'emplacement d'une règle de masquage. Pour modifier l'une de ces valeurs, vous devez créer une règle de blocage.
Si vous avez précédemment réactivé les résultats, ils seront de nouveau ignorés s'ils sont mis en correspondance par une règle de blocage mise à jour dans la console Google Cloud. Pour en savoir plus, consultez la section Réactiver des résultats individuels.
Pour obtenir un exemple de code qui met à jour une règle de blocage, consultez la section Mettre à jour une règle de blocage.
Pour mettre à jour une règle de blocage, cliquez sur l'onglet correspondant à la procédure que vous souhaitez utiliser:
Console
Dans Google Cloud Console, accédez à l'onglet Règles de blocage de la page Paramètres de Security Command Center.
Sélectionnez le projet ou l'organisation Google Cloud qui est la ressource parente de la règle de blocage que vous souhaitez modifier.
Facultatif: Si la résidence des données est activée pour Security Command Center, modifiez l'emplacement des données si nécessaire.
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'établissements s'affiche. Sélectionnez le nouvel emplacement.
Cliquez sur le nom de la règle de blocage que vous souhaitez modifier.
Si vous n'avez pas sélectionné le projet ou l'organisation appropriés, une note peut vous informer que vous n'êtes pas autorisé à modifier la règle de blocage.
Saisissez une nouvelle description, puis cliquez sur Enregistrer.
Pour les règles de masquage dynamiques, mettez à jour ou modifiez la date/heure d'expiration de la règle.
Mettez à jour le filtre.
Pour obtenir des instructions, consultez l'article Créer des règles de blocage.
Pour afficher les résultats correspondant au filtre mis à jour, cliquez sur Prévisualiser les résultats correspondants.
Une table se charge avec les résultats correspondant à la nouvelle requête.
Cliquez sur Enregistrer.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour mettre à jour les règles de blocage, exécutez la commande
gcloud scc muteconfigs update
:gcloud scc muteconfigs update MUTE_CONFIG_ID \ --PARENT=PARENT_ID \ --location=LOCATION --description=RULE_DESCRIPTION \ --filter=FILTER --type=MUTE_TYPE \ --expiry-time=TIMESTAMP
Remplacez les éléments suivants :
MUTE_CONFIG_ID
: ID de la règle de blocage.PARENT
: ressource parente de votre règle de blocage (organization
,folder
ouproject
)PARENT_ID
: ID de l'organisation, du dossier ou du projet.LOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel mettre à jour la règle de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.RULE_DESCRIPTION
: description de la règle de blocage (1 024 caractères au plus)FILTER
: expression que vous définissez pour filtrer les résultats.Par exemple, pour ignorer les résultats
OPEN_FIREWALL
, votre filtre peut êtreFILTER="category=\"OPEN_FIREWALL\""
.MUTE_TYPE
: type de règle de blocage que vous mettez à jour. Les types de règles de masquage valides sontDYNAMIC
etSTATIC
. Une fois la règle de masquage créée, vous ne pouvez plus en modifier le type.TIMESTAMP
: ne s'applique que si vous mettez à jour une règle de blocage dynamique. Chaîne de date/heure qui indique quand la règle de masquage dynamique expire. La valeur doit être définie sur au moins un jour à l'avance, sinon la demande sera refusée. Pour en savoir plus sur les formats de date et d'heure, consultezgcloud topic datetimes
. Lorsqu'une règle de masquage dynamique expire, elle est supprimée de toutes les correspondances. Si vous souhaitez que la règle Ignorer dynamique agisse indéfiniment sur les résultats correspondants, omettez ce champ.
Go
Java
Python
REST
Dans l'API Security Command Center, utilisez la méthode muteConfigs.patch
pour mettre à jour une règle de masquage. Le corps de la requête est une instance de MuteConfig
:
PATCH https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID { "description": "RULE_DESCRIPTION", "filter": "FILTER", "type": "MUTE_TYPE", "expiryTime": "TIMESTAMP" }
Remplacez les éléments suivants :
PARENT
: ressource parente de votre règle de blocage (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projetLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel mettre à jour la règle de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.CONFIG_ID
: ID numérique de la règle de blocageRULE_DESCRIPTION
: description de la règle de blocage (max. : 1 024 caractères)FILTER
: expression que vous définissez pour filtrer les résultatsPar exemple, pour ignorer les résultats
OPEN_FIREWALL
, votre filtre peut être"category=\"OPEN_FIREWALL\""
.MUTE_TYPE
: type de règle de blocage que vous mettez à jour. Les types de règles de masquage valides sontDYNAMIC
etSTATIC
. Une fois la règle de masquage créée, vous ne pouvez plus en modifier le type.TIMESTAMP
: ne s'applique que si vous mettez à jour une règle de blocage dynamique. Chaîne de date/heure indiquant quand la règle de masquage dynamique expire. La valeur doit être définie sur au moins un jour à venir, sinon la requête sera rejetée. Pour en savoir plus sur les formats de date et d'heure, consultezgcloud topic datetimes
. Lorsqu'une règle Ignorer dynamique expire, elle est supprimée de tous les résultats correspondants. Si vous souhaitez que la règle Ignorer dynamique agisse indéfiniment sur les résultats correspondants, omettez ce champ.
Les nouveaux résultats qui correspondent exactement au filtre sont masqués et l'attribut mute
des résultats est défini sur MUTED
.
Supprimer les règles de blocage
Vous pouvez supprimer une règle de masquage à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Security Command Center.
Avant de supprimer les règles de blocage, prenez en compte les points suivants :
- Vous ne pouvez pas récupérer les règles de blocage supprimées.
- La suppression des règles Ignorer statiques ne réactive pas automatiquement les résultats ignorés. Vous devez réactiver les résultats manuellement ou de manière automatisée.
- La suppression des règles de blocage dynamiques supprime automatiquement la règle de tous les résultats précédemment correspondants et les réactive s'ils ne correspondent à aucune règle supplémentaire.
- Les futurs résultats qui correspondent aux filtres dans les règles de blocage supprimées ne sont pas ignorés.
Pour obtenir un exemple de code qui supprime une règle de blocage, consultez la section Supprimer une règle de blocage.
Pour supprimer une règle de blocage, cliquez sur l'onglet correspondant à la procédure que vous souhaitez suivre:
Console
Dans Google Cloud Console, accédez à l'onglet Règles de blocage de la page Paramètres de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Facultatif: Si la résidence des données est activée pour Security Command Center, modifiez l'emplacement des données si nécessaire.
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'emplacements s'affiche. Sélectionnez le nouvel emplacement.
Cliquez sur le nom de la règle de blocage que vous souhaitez supprimer.
Cliquez sur delete Supprimer.
Lisez la boîte de dialogue et, si vous êtes satisfait, cliquez sur Supprimer.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour supprimer les règles de blocage, exécutez la commande
gcloud scc muteconfigs delete
:gcloud scc muteconfigs delete MUTE_CONFIG_ID \ --PARENT=PARENT_ID --location=LOCATION
Remplacez les éléments suivants :
MUTE_CONFIG_ID
: ID de la configuration de blocagePARENT
: ressource parente de votre règle de blocage (organization
,folder
ouproject
)PARENT_ID
: ID de l'organisation, du dossier ou du projetLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel supprimer la règle de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.
Confirmez votre demande de suppression de la règle de blocage.
Go
Java
Python
REST
Dans l'API Security Command Center, utilisez la méthode muteConfigs.delete
pour supprimer une règle de masquage:
DELETE https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/muteConfigs/CONFIG_ID
Remplacez les éléments suivants :
PARENT
: ressource parente de votre règle de blocage (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projetLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel supprimer la règle de masquage. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.CONFIG_ID
: ID numérique de la règle de blocage
Ignorer un résultat individuel
Vous pouvez statiquement désactiver un résultat individuel à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Security Command Center.
Le fait de désactiver de manière statique un résultat n'a aucune incidence sur son état (actif ou non). Si un résultat actif est masqué, l'attribut state
reste inchangé : state="ACTIVE"
. Le résultat est masqué, mais reste actif jusqu'à ce que la faille, la configuration incorrecte ou la menace sous-jacente soient résolues. En outre, en ignorant de manière statique un résultat, vous remplacez toutes les règles de blocage dynamiques qui s'appliquent à ce résultat.
Si vous désactivez une combinaison toxique, la demande correspondante est clôturée.
Pour ignorer tous les résultats futurs correspondant aux critères que vous spécifiez, consultez la section Créer des règles de blocage.
Pour obtenir un exemple de code permettant de désactiver un résultat, consultez Désactiver un résultat.
Pour ignorer de manière statique un résultat individuel, cliquez sur l'onglet de la procédure que vous souhaitez utiliser:
Console
Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Facultatif: Si la résidence des données est activée pour Security Command Center, modifiez l'emplacement des données si nécessaire.
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'emplacements s'affiche. Sélectionnez le nouvel emplacement.
Si le résultat que vous devez désactiver ne s'affiche pas dans le panneau Résultats de la requête de résultats, sélectionnez la catégorie du résultat dans la section Catégorie du panneau Filtres rapides.
Cochez la case à côté du résultat que vous devez ignorer. Vous pouvez sélectionner un ou plusieurs résultats.
Dans la barre d'action Résultats de la requête sur les résultats, cliquez sur Options de blocage, puis sélectionnez Appliquer le forçage de la désactivation du son.
L'attribut
mute
des résultats sélectionnés est défini surMUTED
, et le résultat est supprimé du panneau Résultats de la requête "Résultats".
Vous pouvez également ignorer un résultat depuis son panneau d'informations:
- Dans le panneau Résultats de la requête de résultats de la page Résultats, dans la colonne Catégorie, cliquez sur le nom d'un résultat. Le panneau d'informations du résultat s'ouvre.
- Cliquez sur Prendre des mesures.
Dans le menu Prendre des mesures, sélectionnez Appliquer le forçage de la désactivation du son.
Si vous sélectionnez plutôt Ignorer les résultats comme celui-ci, la page Créer une règle de blocage s'ouvre. Vous pouvez y créer une règle de blocage des résultats du même type ou qui incluent le même attribut
Indicator
.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour définir l'état de blocage d'un résultat sur
MUTED
, utilisez la commandeset-mute
dans gcloud CLI :gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=MUTED
Remplacez les éléments suivants :
FINDING_ID
: ID du résultat que vous souhaitez ignorer.Pour récupérer les ID de résultats, utilisez l'API Security Command Center afin de répertorier les résultats. L'ID de résultat est la dernière partie de l'attribut
canonicalName
, par exempleprojects/123456789012/sources/1234567890123456789/findings`/5ee30aa342e799e4e1700826de053aa9
.PARENT
: ressource parente (project
,folder
ouorganization
), sensible à la cassePARENT_ID
: ID de l'organisation, du dossier ou du projet parentLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel couper le son du résultat. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.SOURCE_ID
: ID de la sourcePour obtenir des instructions sur la manière de récupérer l'ID d'une source, consultez la section Obtenir l'ID d'une source.
Go
Java
Python
REST
Dans l'API Security Command Center, utilisez la méthode findings.setMute
pour désactiver un résultat. Le corps de la requête est une énumération qui indique l'état de blocage résultant:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "MUTED" }
Remplacez les éléments suivants :
PARENT
: ressource parente (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projet parent.LOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel couper le son du résultat. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.SOURCE_ID
: ID numérique de la source.Pour obtenir des instructions sur la manière de récupérer l'ID d'une source, consultez la section Obtenir l'ID d'une source.
FINDING_ID
: ID du résultat que vous souhaitez ignorer.Pour récupérer les ID de résultats, utilisez l'API Security Command Center afin de répertorier les résultats. L'ID de résultat est la dernière partie de l'attribut
canonicalName
, par exempleprojects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.
Une fois que vous avez désactivé un résultat, son attribut mute
est défini sur MUTED
.
Réactiver les résultats individuels
Vous pouvez statiquement réactiver un résultat individuel à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Security Command Center.
Désactiver le masquage d'un résultat est utile lorsque vous devez empêcher un résultat d'être masqué par une règle de masquage trop large ou par une règle qui pourrait être trop complexe à modifier pour exclure les résultats que vous jugez importants.
Pour obtenir un exemple de code permettant de réactiver un résultat, consultez la section Réactiver un résultat.
Les résultats ignorés ne sont à nouveau ignorés que si vous les désactivez manuellement. Les règles de blocage créées avec gcloud CLI ou l'API Security Command Center n'affectent pas les résultats obtenus par les utilisateurs.
Pour obtenir un exemple de code permettant de réactiver un résultat, consultez Réactiver un résultat.
Console
Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
La page Résultats s'ouvre, et la requête par défaut s'affiche dans la section Aperçu de la requête. La requête par défaut filtre les résultats masqués. Vous devez donc modifier la requête avant que les résultats masqués ne s'affichent dans le panneau Résultats de la requête de résultats.
Facultatif: Si la résidence des données est activée pour Security Command Center, modifiez l'emplacement des données si nécessaire.
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'établissements s'affiche. Sélectionnez le nouvel emplacement.
À droite de la section Aperçu de la requête, cliquez sur Modifier la requête pour ouvrir l'éditeur de requête.
Dans le champ Éditeur de requête, remplacez l'instruction de masquage existante par la suivante:
mute="MUTED"
Cliquez sur Appliquer. Les résultats du panneau Résultats de la requête "Résultats" sont mis à jour pour n'inclure que les résultats ignorés.
Si nécessaire, filtrez les autres résultats masqués. Par exemple, dans le panneau Filtres rapides, sous Catégorie, sélectionnez le nom de l'anomalie que vous devez réactiver pour filtrer toutes les autres catégories d'anomalies.
Cochez la case à côté du résultat que vous souhaitez réactiver. Vous pouvez sélectionner un ou plusieurs résultats.
Dans la barre d'action Résultats de la requête de résultats, cliquez sur Ignorer les options, puis sélectionnez Appliquer le forçage de la réactivation.
L'attribut
mute
des résultats sélectionnés est défini surUNMUTED
, et le résultat est supprimé du panneau Résultats de la requête "Résultats".
Vous pouvez également réactiver un résultat depuis son panneau d'informations:
- Dans le panneau Résultats de la requête de résultats de la page Résultats, dans la colonne Catégorie, cliquez sur le nom d'un résultat. Le panneau d'informations du résultat s'ouvre.
- Cliquez sur Prendre des mesures.
- Dans le menu Prendre une mesure, sélectionnez Appliquer le forçage de la désactivation du masquage du son.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour définir l'état de blocage d'un résultat sur
UNMUTED
, utilisez la commandeset-mute
dans gcloud CLI :gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=UNMUTED
Remplacez les éléments suivants :
FINDING_ID
: ID du résultat que vous souhaitez ignorer.Pour récupérer les ID de résultats, utilisez l'API Security Command Center afin de répertorier les résultats. L'ID de résultat est la dernière partie de l'attribut
canonicalName
, par exempleprojects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.PARENT
: ressource parente (project
,folder
ouorganization
) sensible à la cassePARENT_ID
: ID de l'organisation, du dossier ou du projet parentLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel rétablir le son du résultat. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.SOURCE_ID
: ID de la sourcePour obtenir des instructions sur la manière de récupérer l'ID d'une source, consultez la section Obtenir l'ID d'une source.
Go
Java
Python
REST
Dans l'API Security Command Center, utilisez la méthode findings.setMute
pour réactiver le son d'un résultat. Le corps de la requête est une énumération qui indique l'état de blocage résultant:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNMUTED" }
Remplacez les éléments suivants :
PARENT
: ressource parente (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projet parentLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel rétablir le son du résultat. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.SOURCE_ID
: ID numérique de la sourcePour obtenir des instructions sur la manière de récupérer l'ID d'une source, consultez la section Obtenir l'ID d'une source.
FINDING_ID
: ID du résultat que vous souhaitez ignorer.Pour récupérer les ID de résultats, utilisez l'API Security Command Center afin de répertorier les résultats. L'ID de résultat est la dernière partie de l'attribut
canonicalName
, par exempleprojects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.
Les résultats sélectionnés ne sont plus masqués et l'attribut mute
des résultats est défini sur UNMUTED
.
Supprimer un forçage de l'état de masquage pour des résultats individuels
Vous appliquez un dépassement de l'état de désactivation lorsque vous modifiez intentionnellement l'état de désactivation d'un résultat pour le désactiver ou l'activer de manière statique. Par exemple, vous pouvez appliquer un forçage de l'état de masquage pour masquer un résultat de faible gravité pour lequel il n'est pas nécessaire de créer une règle de masquage dynamique.
Vous pouvez supprimer un forçage de l'état de masquage d'un résultat individuel à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Security Command Center.
Avant de supprimer le forçage de l'état de masquage d'un résultat, tenez compte des points suivants:
- Un résultat est masqué ou non masqué de manière statique. Vous pouvez appliquer un forçage de l'état de masquage à n'importe quel résultat manuellement ou automatiquement à l'aide de règles de masquage statiques.
- Un forçage de l'état de masquage s'applique indéfiniment à un résultat et prévaut sur toutes les règles de masquage correspondantes.
- Si vous supprimez le forçage de l'état de blocage d'un résultat, son état de blocage est réinitialisé afin qu'il puisse être traité par des règles de blocage statiques ou dynamiques.
- Supprimer le forçage de l'état de désactivation d'un résultat n'a pas le même effet que le réactiver. Lorsque vous réactivez un résultat (appliquez un forçage de réactivation), les règles de blocage ne peuvent pas le désactiver tant que vous n'avez pas supprimé manuellement le forçage de l'état de blocage.
Pour supprimer le forçage de la désactivation du son d'un résultat individuel, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
Sélectionnez votre projet ou votre organisation Google Cloud.
Facultatif: Si la résidence des données est activée pour Security Command Center, modifiez l'emplacement des données si nécessaire.
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'établissements s'affiche. Sélectionnez le nouvel emplacement.
À droite de la section Aperçu de la requête, cliquez sur Modifier la requête pour ouvrir l'éditeur de requête.
Dans le champ Éditeur de requête, remplacez l'instruction de masquage existante par la suivante:
mute="MUTED" OR mute="UNMUTED"
Cliquez sur Appliquer. Les résultats du panneau Résultats de la requête sur les résultats sont mis à jour pour inclure les résultats ignorés de manière statique et ceux qui ne le sont pas.
Si nécessaire, filtrez les autres résultats. Par exemple, dans le panneau Filtres rapides, sous Catégorie, sélectionnez le nom de l'anomalie que vous devez réinitialiser pour filtrer toutes les autres catégories d'anomalies.
Cochez la case à côté du résultat que vous souhaitez réinitialiser. Vous pouvez sélectionner un ou plusieurs résultats.
Dans la barre d'action Résultats de la requête "Résultats", cliquez sur Options de blocage, puis sélectionnez Supprimer les forçages de blocage.
L'attribut
mute
des résultats sélectionnés est défini surUNDEFINED
, et le résultat est supprimé du panneau Résultats de la requête "Résultats".
Vous pouvez également réactiver un résultat depuis son panneau d'informations:
- Dans le panneau Résultats de la requête de résultats de la page Résultats, dans la colonne Catégorie, cliquez sur le nom d'un résultat. Le panneau d'informations du résultat s'ouvre.
- Cliquez sur Prendre des mesures.
- Dans le menu Prendre une mesure, sélectionnez Supprimer les forçages de mise en sourdine.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour définir l'état de blocage d'un résultat sur
UNDEFINED
, utilisez la commandeset-mute
dans gcloud CLI :gcloud scc findings set-mute FINDING_ID \ --PARENT=PARENT_ID \ --location=LOCATION \ --source=SOURCE_ID \ --mute=UNDEFINED
Remplacez les éléments suivants :
FINDING_ID
: ID du résultat que vous souhaitez réinitialiserPour récupérer les ID de résultats, utilisez l'API Security Command Center afin de répertorier les résultats. L'ID de résultat est la dernière partie de l'attribut
canonicalName
, par exempleprojects/123456789012/sources/1234567890123456789/findings/5ee30aa342e799e4e1700826de053aa9
.PARENT
: ressource parente (project
,folder
ouorganization
) sensible à la cassePARENT_ID
: ID de l'organisation, du dossier ou du projet parentLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel supprimer le forçage de l'état de masquage d'un résultat. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.SOURCE_ID
: ID de la sourcePour obtenir des instructions sur la manière de récupérer l'ID d'une source, consultez la section Obtenir l'ID d'une source.
REST
Dans l'API Security Command Center, utilisez la méthode findings.setMute
pour réinitialiser l'état de désactivation d'un résultat. Le corps de la requête est une énumération qui indique l'état de blocage obtenu:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/sources/SOURCE_ID/locations/LOCATION/findings/FINDING_ID:setMute { "mute": "UNDEFINED" }
Remplacez les éléments suivants :
PARENT
: ressource parente (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projet parentLOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel supprimer le forçage de l'état de masquage d'un résultat. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.SOURCE_ID
: ID numérique de la source
Ignorer ou réinitialiser plusieurs résultats existants
Vous pouvez effectuer les opérations de masquage groupé suivantes pour plusieurs résultats existants à l'aide de la commande gcloud scc findings bulk-mute
de gcloud CLI ou de la méthode bulkMute
de l'API Security Command Center:
Ignorez plusieurs résultats existants. Ignorer les résultats existants de manière groupée les ignore statiquement et remplace toutes les règles Ignorer dynamiques qui s'appliquent au résultat. Si vous devez ignorer des résultats futurs similaires, créez une règle de blocage.
Supprimez le forçage de l'état d'ignorer pour plusieurs résultats existants. En supprimant le forçage de l'état de masquage d'un résultat, vous réinitialisez l'état de masquage de
MUTED
(masqué de manière statique) ouUNMUTED
(démasqué de manière statique) àUNDEFINED
. Cette fonctionnalité peut être utile si vous passez de règles de masquage statiques à des règles de masquage dynamiques.
Spécifiez l'ensemble de résultats que vous devez ignorer en définissant un filtre de résultats. Les filtres de désactivation groupée ne sont pas compatibles avec toutes les propriétés de résultats. Pour obtenir la liste des propriétés non compatibles, consultez la section Propriétés de résultats non compatibles avec les règles de blocage.
Si la résidence des données est activée pour Security Command Center, la portée des opérations de masquage groupé est limitée à l'emplacement Security Command Center dans lequel elles sont exécutées.
Pour obtenir un exemple de code qui permet d'ignorer les résultats de manière groupée, consultez la section Ignorer les résultats de manière groupée.
Pour désactiver ou réinitialiser des résultats de manière groupée, cliquez sur l'onglet correspondant à la procédure que vous souhaitez utiliser:
Console
Dans la console Google Cloud, vous ne pouvez ignorer les résultats de manière groupée qu'en créant des règles de blocage. Dans la console Google Cloud, la création de règles de blocage désactive les résultats existants et futurs.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour désactiver ou réinitialiser plusieurs résultats de manière groupée, exécutez la commande
gcloud scc findings bulk-mute
:gcloud scc findings bulk-mute \ --PARENT=PARENT_ID \ --location=LOCATION \ --filter="FILTER" \ --mute-state=MUTE_STATE
Remplacez les éléments suivants :
PARENT
: champ d'application dans la hiérarchie des ressources auquel la règle de masquage s'applique,organization
,folder
ouproject
.PARENT_ID
: ID numérique de l'organisation, du dossier ou du projet parent, ou ID alphanumérique du projet parent.LOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel couper le son ou réinitialiser les résultats de manière groupée. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.FILTER
: expression que vous définissez pour filtrer les résultats.Par exemple, pour ignorer tous les résultats
OPEN_FIREWALL
etPUBLIC_IP_ADDRESS
existants de faible gravité dans le projetinternal-test
, votre filtre peut être"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.projectDisplayName=\"internal-test\""
.MUTE_STATE
: valeur qui indique si le résultat est masqué de manière statique ou non. Les valeurs valides sontMUTED
etUNDEFINED
. La valeur est définie surMUTED
par défaut. Ne définissez cette valeur surUNDEFINED
que si vous réinitialisez l'état de masquage de plusieurs résultats existants.
REST
Dans l'API Security Command Center, utilisez la méthode findings.bulkMute
pour désactiver ou réinitialiser l'état de désactivation de plusieurs résultats existants. Le corps de la requête contient l'expression utilisée pour filtrer les résultats:
POST https://securitycenter.googleapis.com/v2/PARENT/PARENT_ID/locations/LOCATION/findings:bulkMute { "filter": "FILTER", "muteState": "MUTE_STATE" }
Remplacez les éléments suivants :
PARENT
: ressource parente (organizations
,folders
ouprojects
)PARENT_ID
: ID de l'organisation, du dossier ou du projet parent.LOCATION
: si la résidence des données est activée, l'emplacement Security Command Center dans lequel couper le son ou réinitialiser les résultats de manière groupée. Si la résidence des données n'est pas activée, utilisez la valeurglobal
.FILTER
: expression que vous définissez pour filtrer les résultats.Par exemple, pour ignorer tous les résultats
OPEN_FIREWALL
etPUBLIC_IP_ADDRESS
existants de faible gravité dans le projetinternal-test
, votre filtre peut être"category=\"OPEN_FIREWALL\" OR category=\"PUBLIC_IP_ADDRESS\" AND severity=\"LOW\" AND resource.projectDisplayName=\"internal-test\""
.MUTE_STATE
: valeur qui indique si le résultat est ignoré ou non. Les valeurs valides sontMUTED
ouUNDEFINED
. La valeur est définie surMUTED
par défaut. Ne définissez cette valeur surUNDEFINED
que si vous réinitialisez l'état de masquage de plusieurs résultats existants.
Tous les résultats existants de la ressource que vous sélectionnez et qui correspondent exactement au filtre sont masqués. L'attribut mute
des résultats est défini sur MUTED
.
La désactivation de résultats ne modifie pas leur état. Si les résultats actifs sont ignorés, ils sont masqués, mais restent actifs jusqu'à ce que les failles sous-jacentes, les erreurs de configuration ou les menaces soient résolues.
Afficher les résultats masqués dans la console Google Cloud
Pour afficher les résultats masqués dans la console Google Cloud, modifiez la requête de résultats afin de sélectionner les résultats qui incluent la valeur de propriété mute="MUTED"
.
Par exemple, la requête de résultats suivante n'affiche que les résultats actifs qui sont ignorés:
state="ACTIVE"
AND mute="MUTED"
Pour afficher tous les résultats actifs, masqués et non masqués, omettez complètement l'attribut mute
de la requête:
state="ACTIVE"
Par défaut, la requête de résultats dans la console Google Cloud n'affiche que les résultats qui ne sont pas masqués.
Afficher les résultats ignorés par type de règle de blocage
Les sections suivantes expliquent comment interroger les résultats actifs par type de règle de blocage.
Pour en savoir plus sur la liste de résultats spécifiques, consultez la section Filtrer les résultats.
Résultats de requête ignorés par des règles Ignorer statiques
Pour afficher les résultats actifs qui ont été masqués par une règle de masquage statique après un délai spécifié, utilisez la requête suivante et inspectez l'attribut muteInitiator
pour déterminer si le résultat a été masqué par une règle de masquage statique.
state="ACTIVE" AND
muteInfo.staticMute.applyTime>=TIMESTAMP AND
muteInfo.staticMute.state="MUTED"
Remplacez TIMESTAMP
par la chaîne de date/heure qui indique le début de la période que vous souhaitez interroger. Pour en savoir plus sur les formats de date et d'heure, consultez gcloud topic datetimes
.
Résultats de requête ignorés par des règles Ignorer dynamiques
Pour afficher les résultats actifs qui ont été ignorés par une règle de blocage dynamique après un délai spécifié, utilisez la requête suivante:
state="ACTIVE" AND
muteUpdateTime>=TIMESTAMP AND
contains(muteInfo.dynamicMuteRecords, muteConfig="PARENT_ID/muteConfigs/CONFIG_ID")
Remplacez les éléments suivants :
TIMESTAMP
: chaîne de date/heure indiquant le début de la période que vous souhaitez interroger. Pour en savoir plus sur les formats de date et d'heure, consultezgcloud topic datetimes
.PARENT_ID
: ID de l'organisation, du dossier ou du projet parent, spécifié au formatorganizations/123
,folders/456
ouprojects/789
.CONFIG_ID
: nom de la règle de masquage. L'ID doit comporter entre 1 et 63 caractères alphanumériques et des traits d'union.
Pour en savoir plus sur la modification des requêtes de résultats, consultez la section Créer ou modifier une requête de résultats dans le tableau de bord.
Propriétés de résultats liées au masquage
Cette section répertorie les propriétés de résultat liées à l'état de masquage d'un résultat et décrit leur impact sur les opérations de masquage:
mute
: défini surUNDEFINED
lorsque des résultats sont créés et changent dans les scénarios suivants :MUTED
: le résultat est ignoré manuellement ou par une règle de blocageUNMUTED
: un utilisateur réactive le résultat
muteUpdateTime
: heure à laquelle un résultat est ignoré ou réactivé.muteInitiator
: identifiant de la règle principale ou de blocage qui a ignoré un résultat.muteInfo
: informations de blocage sur le résultat, telles que le type de règle de blocage (statique ou dynamique) et les règles de blocage auxquelles le résultat correspond.muteInfo.staticMute
: un état de masquage statique remplace toutes les règles de masquage dynamique qui s'appliquent à ce résultat.state
: état de blocage statique qui peut être défini en bloquant directement le résultat ou par une règle de blocage statique.applyTime
: heure à laquelle l'état d'inactivation statique a été appliqué au résultat.
muteInfo.dynamicMuteRecords
: enregistrement d'une règle de blocage dynamique correspondant au résultat.muteConfig:
: nom de ressource relatif de la règle de masquage, représenté par la configuration de masquage ayant créé l'enregistrement. Exemple :organizations/123/muteConfigs/examplemuteconfig
.matchTime
: heure à laquelle une règle de blocage dynamique a correspondu au résultat.
Arrêter les notifications et les exportations des résultats ignorés
Si vous activez les notifications de résultats, les résultats ignorés nouveaux ou mis à jour qui correspondent à vos filtres de notification sont toujours exportés vers Pub/Sub.
Pour arrêter les exportations et les notifications concernant les résultats ignorés, utilisez l'attribut mute
afin d'exclure les résultats ignorés dans votre filtre NotificationConfig
.
Par exemple, le filtre suivant n'envoie de notification que pour les résultats actifs qui ne sont pas ignorés ou pour lesquels l'attribut de désactivation n'a pas été défini :
FILTER="state=\"ACTIVE\" AND -mute=\"MUTED\""
Étape suivante
Découvrez comment filtrer les notifications de résultats.
Consultez d'autres exemples de filtres que vous pouvez utiliser.