Auf dieser Seite wird erläutert, wie Sie Ihre vorhandenen statischen Ausblendungsregeln zu dynamischen Ausblendungsregeln migrieren.
Wir empfehlen, in Ihren Ausblendungsregelkonfigurationen ausschließlich dynamische Ausblendungsregeln zu verwenden, da sie flexibler als statische Ausblendungsregeln sind. Im Vergleich zu statischen Ausblendungsregeln haben dynamische Ausblendungsregeln drei Hauptvorteile:
- Dynamische Ausblendungsregeln gelten für vorhandene und neue Ergebnisse. Dynamische Ausblendungsregeln blenden sowohl vorhandene als auch neue oder aktualisierte Ergebnisse automatisch aus, die Ihren Filterkriterien entsprechen.
- Dynamische Ausblendungsregeln bieten eine Ablaufoption. Mit dynamischen Ausblendungsregeln können Sie auch einen benutzerdefinierten Ablaufzeitraum festlegen, um bestimmte Ergebnisse vorübergehend auszublenden. Wenn kein Ablaufzeitraum festgelegt ist, blenden dynamische Ausblendungsregeln Ergebnisse unbegrenzt aus, bis sie nicht mehr mit der Regel übereinstimmen.
Dynamische Ausblendungsregeln blenden Ergebnisse automatisch wieder ein. Wenn einer der folgenden Fälle eintritt, blendet Security Command Center das Ergebnis automatisch wieder ein:
- Die dynamische Ausblendungsregel läuft ab.
- Die Eigenschaften eines Ergebnisses ändern sich, sodass es nicht mehr Ihren Filterkriterien entspricht.
- Die Filterkriterien ändern sich, sodass sie nicht mehr mit dem Ergebnis übereinstimmen.
Wir empfehlen, statische und dynamische Ausblendungsregeln nicht gleichzeitig zu verwenden. Statische Ausblendungsregeln überschreiben dynamische Ausblendungsregeln, wenn sie auf dasselbe Ergebnis angewendet werden. Dadurch funktionieren dynamische Ausblendungsregeln nicht wie vorgesehen, was bei der Verwaltung Ihrer Ergebnisse zu Verwirrung führen kann.
Wenn Sie ausschließlich dynamische Ausblendungsregeln verwenden möchten, werden in den folgenden Abschnitten die Berechtigungen und Schritte beschrieben, die für die Migration Ihrer statischen Ausblendungsregeln erforderlich sind.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Google Cloud Organisation, Ihren Ordner oder Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Migration dynamischer Ausblendungsregeln benötigen:
- Sicherheitscenter-Admin-Betrachter (
roles/securitycenter.adminViewer) - Sicherheitscenter-Einstellungsbetrachter (
roles/securitycenter.settingsViewer) - Betrachter von Konfigurationen für Ausblendungen im Sicherheitscenter (
roles/securitycenter.muteConfigsViewer) - Sicherheitscenter-Administrator (
roles/securitycenter.admin) - Sicherheitscenter-Administratorbearbeiter (
roles/securitycenter.adminEditor) - Sicherheitscenter-Einstellungsbearbeiter (
roles/securitycenter.settingsEditor) - Bearbeiter von Konfigurationen für Ausblendungen im Sicherheitscenter (
roles/securitycenter.muteConfigsEditor) - Sicherheitscenter-Ergebnisbearbeiter (
roles/securitycenter.findingsEditor)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Zu dynamischen Ausblendungsregeln migrieren
Wenn Sie ausschließlich dynamische Ausblendungsregeln verwenden möchten, führen Sie die folgenden Schritte aus, um dynamische Ausblendungsregeln zu erstellen und dafür zu sorgen, dass vorhandene ausgeblendete Ergebnisse nach der Migration ausgeblendet bleiben.
- Neue dynamische Ausblendungsregeln erstellen Der Typ einer Ausblendungsregel kann nach dem Erstellen nicht mehr geändert werden. Daher müssen Sie für jede statische Ausblendungsregel, die Sie beibehalten möchten, eine dynamische Ausblendungsregel erstellen. Jeder neue Name für eine dynamische Ausblendungsregel muss sich von den vorhandenen Ausblendungsregeln unterscheiden. Es kann einige Stunden dauern, bis Security Command Center die dynamischen Ausblendungsregeln auf die entsprechenden Ergebnisse anwendet. Eine Anleitung zum Erstellen einer dynamischen Ausblendungsregel finden Sie unter Ausblendungsregel erstellen.
Ausblendungsstatus der entsprechenden Ergebnisse prüfen Um zu prüfen, ob die dynamischen Ausblendungsregeln richtig angewendet wurden, können Sie das Attribut
muteInfoin der Security Command Center API verwenden, um die entsprechenden Ergebnisse aufzulisten und ihre Ausblendungsfelder zu prüfen. So können Sie feststellen, ob für die entsprechenden Ergebnisse dynamische oder statische Ausblendungsregeln verwendet werden.Verwenden Sie beispielsweise
muteInfo.dynamicMuteRecordsin einer Abfrage, um die entsprechenden Ergebnisse aufzulisten, die von der neuen dynamischen Ausblendungsregel ausgeblendet werden:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Weitere Informationen zum Auflisten von Ergebnissen finden Sie unter Sicherheitsergebnisse mit der Security Command Center API auflisten.
Alle statischen Ausblendungsregeln löschen Zukünftige entsprechende Ergebnisse werden von den neuen dynamischen Regeln abgedeckt, die Sie erstellt haben. Löschen Sie alle vorhandenen statischen Ausblendungsregeln, damit sie die neuen dynamischen Ausblendungsregeln für neue Ergebnisse nicht überschreiben. Eine Anleitung zum Löschen einer Ausblendungsregel finden Sie unter Ausblendungsregeln löschen. Durch das Löschen statischer Ausblendungsregeln ändert sich der statische Ausblendungsstatus vorhandener Ergebnisse nicht.
Statischen Ausblendungsstatus für alle Ergebnisse zurücksetzen Führen Sie eine der folgenden Aktionen aus, um den statischen Ausblendungsstatus vorhandener Ergebnisse im Bulk zurückzusetzen:
Verwenden Sie entweder den
gcloud scc findings bulk-mute-Befehl oder diebulkMute-API-Methode, wobei dasmuteState-Attribut aufUNDEFINEDgesetzt ist. Verwenden Sie für das Flag--filteroder das Feldfiltereinen Ergebnisfilter, der mit den Ergebnissen übereinstimmt, die von der gelöschten statischen Ausblendungsregel ausgeblendet wurden.Im folgenden Beispiel wird der Befehl
gcloud scc findings bulk-muteverwendet. Wenn Sie eine statische Ausblendungsregel mit dem Filtercategory="OPEN_SSH_PORT"gelöscht haben, können Sie den Ausblendungsstatus von Ergebnissen die diesem Filter entsprechen, mit dem folgenden Befehl zurücksetzen:gcloud scc findings bulk-mute --organization=ORGANIZATION_ID --filter="category=\"OPEN_SSH_PORT\"" --mute-state=UNDEFINEDErsetzen Sie
ORGANIZATION_IDdurch die ID Ihrer Organisation. Sie können--organizationdurch--projectoder--folderersetzen, je nachdem, welchen Umfang die Ergebnisse haben, die Sie zurücksetzen müssen.Weitere Informationen zum Ausführen von Bulk-Ausblendungsvorgängen finden Sie unter Mehrere vorhandene Ergebnisse ausblenden oder zurücksetzen.
Wenn bei der Bulk-Ausblendung ein Zeitlimit überschritten wird, löschen Sie den statischen Ausblendungsstatus für alle Ergebnisse. Aktualisieren Sie dazu Ihren Bulk-Ausblendungsfilter, um weniger detaillierte Filter zu verwenden, die alle relevanten Ergebnisse abdecken.
Hier ein Beispiel für einen Filter in einer statischen Ausblendungsregel:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456\")"Wenn Sie den Ausblendungsstatus für alle Ergebnisse löschen möchten, die den Kriterien dieses statischen Ausblendungsregelfilters entsprechen, können Sie den Filter ändern, indem Sie die zusätzlichen Bedingungen nach der Ergebniskategorie entfernen. In diesem Beispiel sieht das Ergebnis so aus:
filter: "category = \"OPEN_SSH_PORT""Wenn Sie den Ausblendungsstatus für Ergebnisse manuell festgelegt haben, kann diese Methode auch den Ausblendungsstatus dieser Ergebnisse zurücksetzen.
Weitere Informationen zum Aktualisieren einer Ausblendungsregel finden Sie unter Ausblendungsregeln aktualisieren.
Wenn Sie Hilfe bei der Migration Ihrer statischen Ausblendungsregeln zu dynamischen Ausblendungsregeln benötigen, wenden Sie sich an den Support.
Nächste Schritte
Weitere Informationen zum Erstellen und Verwalten von Ausblendungsregeln.