Migrer des règles Ignorer statiques vers des règles Ignorer dynamiques

Cette page explique comment migrer vos règles Ignorer statiques existantes vers des règles Ignorer dynamiques.

Nous vous recommandons d'utiliser des règles Ignorer dynamiques exclusivement dans vos configurations de règles Ignorer, car elles sont plus flexibles que les règles Ignorer statiques. Par rapport aux règles Ignorer statiques, les règles Ignorer dynamiques présentent trois avantages clés :

• Les règles Ignorer dynamiques s'appliquent aux résultats existants et nouveaux. Les règles Ignorer dynamiques ignorent automatiquement les résultats existants, nouveaux ou mis à jour qui correspondent à vos critères de filtrage.
• Les règles Ignorer dynamiques proposent une option d'expiration. Les règles de blocage dynamiques vous permettent également de définir une période d'expiration personnalisée pour faire correspondre temporairement des résultats spécifiques. Si aucune période d'expiration n'est définie, les règles Ignorer dynamiques bloquent les résultats indéfiniment jusqu'à ce qu'ils ne correspondent plus à la règle.

• Les règles Ignorer dynamiques réactivent automatiquement les résultats. Lorsque l'un des événements suivants se produit, Security Command Center réactive automatiquement le résultat :

  • La règle Ignorer dynamique expire.
  • Les propriétés d'un résultat ne correspondent plus à vos critères de filtrage.
  • Les critères de filtrage ne correspondent plus au résultat.

Nous vous déconseillons d'utiliser simultanément des règles Ignorer statiques et dynamiques. Les règles de désactivation statiques remplacent les règles de désactivation dynamiques lorsqu'elles sont appliquées à la même découverte. Par conséquent, les règles de mise en sourdine dynamique ne fonctionneront pas comme prévu, ce qui peut créer de la confusion lors de la gestion de vos résultats.

Si vous souhaitez utiliser exclusivement des règles Ignorer dynamiques, les sections suivantes décrivent les autorisations et les étapes nécessaires pour migrer vos règles Ignorer statiques.

Autorisations

Pour obtenir les autorisations nécessaires pour effectuer le processus de migration de la mise en sourdine dynamique, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre organisation Google Cloud , votre dossier ou votre projet :

• Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer)
• Lecteur de paramètres du centre de sécurité (roles/securitycenter.settingsViewer)
• Lecteur des configurations de mise en sourdine du centre de sécurité (roles/securitycenter.muteConfigsViewer)
• Administrateur du centre de sécurité (roles/securitycenter.admin)
• Éditeur administrateur du centre de sécurité (roles/securitycenter.adminEditor)
• Éditeur de paramètres du centre de sécurité(roles/securitycenter.settingsEditor)
• Éditeur des configurations de mise en sourdine du centre de sécurité (roles/securitycenter.muteConfigsEditor)
• Éditeur de résultats du centre de sécurité (roles/securitycenter.findingsEditor)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Migrer vers les règles Ignorer dynamiques

Pour utiliser exclusivement les règles de blocage dynamiques, procédez comme suit pour les créer et assurez-vous que les résultats ignorés existants le restent après la migration.

1. Créez des règles Ignorer dynamiques. Vous ne pouvez pas modifier le type d'une règle de blocage après sa création. Vous devez donc créer une règle Ignorer dynamique pour chaque règle Ignorer statique que vous souhaitez conserver. Chaque nouveau nom de règle de désactivation dynamique doit être unique par rapport aux règles de désactivation existantes. L'application des règles Ignorer dynamique aux résultats appropriés peut prendre quelques heures dans Security Command Center. Pour savoir comment créer une règle de blocage dynamique, consultez Créer une règle de blocage.

2. Validez l'état "Ignorer" des résultats applicables. Pour vérifier que les règles de désactivation dynamique ont été appliquées correctement, vous pouvez utiliser l'attribut muteInfo dans l'API Security Command Center pour lister les résultats applicables et inspecter leurs champs de désactivation. Cela vous permet de déterminer si les résultats applicables utilisent des règles Ignorer dynamiques ou statiques.

   Par exemple, utilisez muteInfo.dynamicMuteRecords dans une requête pour lister les résultats applicables qui sont mis en sourdine par la nouvelle règle de mise en sourdine dynamique :

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   Pour savoir comment lister les résultats, consultez Lister les résultats de sécurité à l'aide de l'API Security Command Center.

3. Supprimez toutes les règles de blocage statiques. Les futurs résultats applicables sont couverts par les nouvelles règles dynamiques que vous avez créées. Supprimez toutes vos règles Ignorer statiques existantes pour vous assurer qu'elles ne remplacent pas les nouvelles règles Ignorer dynamiques pour les nouveaux résultats. Pour savoir comment supprimer une règle de blocage, consultez Supprimer des règles de blocage. La suppression des règles Ignorer statiques ne modifie pas l'état Ignorer statique des résultats existants.

4. Réinitialisez l'état de désactivation statique de tous les résultats. Pour réinitialiser l'état de désactivation statique des résultats existants de manière groupée, effectuez l'une des actions suivantes :

   • Utilisez la commande gcloud scc findings bulk-mute ou la méthode d'API bulkMute avec l'attribut muteState défini sur UNDEFINED. Pour l'indicateur --filter ou le champ filter, utilisez un filtre de résultats qui correspond à ceux qui ont été mis en sourdine par la règle de mise en sourdine statique que vous avez supprimée.

     L'exemple suivant utilise la commande gcloud scc findings bulk-mute. Si vous avez supprimé une règle Ignorer statique avec le filtre category="OPEN_SSH_PORT", vous pouvez réinitialiser l'état d'ignorance des résultats correspondant à ce filtre en exécutant la commande suivante :

     gcloud scc findings bulk-mute --organization=ORGANIZATION_ID --filter="category=\"OPEN_SSH_PORT\"" --mute-state=UNDEFINED
     

     Remplacez ORGANIZATION_ID par l'ID de votre organisation. Vous pouvez remplacer --organization par --project ou --folder, selon le champ d'application des résultats que vous devez réinitialiser.

     Pour obtenir des instructions sur la façon d'effectuer des opérations de désactivation groupées, consultez Désactiver ou réinitialiser plusieurs résultats existants.

   • Si l'opération de désactivation groupée expire, effacez l'état de désactivation statique de tous les résultats. Pour ce faire, mettez à jour votre filtre de désactivation groupée afin d'utiliser des filtres moins précis qui couvrent tous les résultats pertinents.

     Prenons l'exemple suivant de filtre dans une règle de mise en sourdine statique :

     filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456\")"
     

     Pour annuler l'état de mise en sourdine de tous les résultats correspondant aux critères de filtrage de cette règle Ignorer statique, vous pouvez modifier le filtre en supprimant les conditions supplémentaires qui suivent la catégorie de résultat. Dans cet exemple, le résultat serait le suivant :

     filter: "category = \"OPEN_SSH_PORT""
     

     Si vous avez défini manuellement l'état "Ignorer" pour certains résultats, cette méthode peut également réinitialiser l'état "Ignorer" de ces résultats.

     Pour en savoir plus sur la modification d'une règle de blocage, consultez Modifier des règles de blocage.

Si vous avez besoin d'aide pour migrer vos règles Ignorer statiques vers des règles Ignorer dynamiques, contactez l'assistance.

Étapes suivantes

Découvrez comment créer et gérer des règles de désactivation du son.