Bermigrasi dari aturan penonaktifan statis ke dinamis

Halaman ini menjelaskan cara memigrasikan aturan senyap statis yang ada ke aturan senyap dinamis.

Sebaiknya gunakan aturan senyap dinamis secara eksklusif dalam konfigurasi aturan senyap Anda karena lebih fleksibel daripada aturan senyap statis. Dibandingkan dengan aturan penonaktifan statis, aturan penonaktifan dinamis memiliki tiga manfaat utama:

• Aturan penonaktifan dinamis berlaku untuk temuan yang ada dan baru. Aturan penonaktifan dinamis secara otomatis menonaktifkan temuan yang ada dan yang baru atau diperbarui yang cocok dengan kriteria filter Anda.
• Aturan penonaktifan dinamis menawarkan opsi masa berlaku. Aturan senyap dinamis juga memungkinkan Anda menetapkan periode habis masa berlaku kustom untuk mencocokkan temuan tertentu untuk sementara. Jika periode habis masa berlaku tidak ditetapkan, aturan penonaktifan dinamis akan menonaktifkan temuan tanpa batas waktu hingga temuan tersebut tidak lagi cocok dengan aturan.

• Aturan pembisuan dinamis akan otomatis membatalkan pembisuan temuan. Jika salah satu dari berikut terjadi, Security Command Center akan otomatis membatalkan pembisuan temuan:

  • Masa berlaku aturan penonaktifan dinamis berakhir.
  • Properti temuan berubah sehingga tidak lagi cocok dengan kriteria filter Anda.
  • Kriteria filter berubah sehingga tidak lagi cocok dengan temuan.

Sebaiknya jangan gunakan aturan senyap statis dan dinamis secara bersamaan. Aturan pembisuan statis menggantikan aturan pembisuan dinamis saat diterapkan pada temuan yang sama. Akibatnya, aturan bisu dinamis tidak akan berfungsi sebagaimana mestinya, yang dapat menimbulkan kebingungan saat mengelola temuan Anda.

Jika Anda ingin menggunakan aturan bisu dinamis secara eksklusif, bagian berikut menjelaskan izin dan langkah-langkah yang diperlukan untuk memigrasikan aturan bisu statis Anda.

Izin

Untuk mendapatkan izin yang diperlukan untuk melakukan proses migrasi senyap dinamis, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project Google Cloud Anda:

• Security Center Admin Viewer (roles/securitycenter.adminViewer)
• Security Center Settings Viewer (roles/securitycenter.settingsViewer)
• SecurityCenter Mute Configurations Viewer (roles/securitycenter.muteConfigsViewer)
• Security Center Admin (roles/securitycenter.admin)
• Security Center AdminEditor (roles/securitycenter.adminEditor)
• Security Center Settings Editor(roles/securitycenter.settingsEditor)
• Security Center Mute ConfigurationsEditor (roles/securitycenter.muteConfigsEditor)
• Security Center FindingsEditor (roles/securitycenter.findingsEditor)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Bermigrasi ke aturan penonaktifan dinamis

Untuk menggunakan aturan senyap dinamis secara eksklusif, selesaikan langkah-langkah berikut untuk membuat aturan senyap dinamis dan memastikan temuan yang disenyapkan tetap disenyapkan setelah migrasi.

1. Buat aturan penonaktifan dinamis baru. Anda tidak dapat mengubah jenis aturan senyap setelah dibuat. Oleh karena itu, Anda harus membuat satu aturan penonaktifan dinamis untuk setiap aturan penonaktifan statis yang ingin Anda pertahankan. Setiap nama aturan bisu dinamis baru harus unik dari aturan bisu yang ada. Security Command Center mungkin memerlukan waktu beberapa jam untuk menerapkan aturan nonaktif dinamis ke temuan yang sesuai. Untuk petunjuk tentang cara membuat aturan penonaktifan dinamis, lihat Membuat aturan penonaktifan.

2. Validasi status nonaktif temuan yang berlaku. Untuk memvalidasi bahwa aturan senyap dinamis telah diterapkan dengan tepat, Anda dapat menggunakan atribut muteInfo di Security Command Center API untuk mencantumkan temuan yang berlaku dan memeriksa kolom senyapnya. Hal ini membantu Anda menentukan apakah temuan yang berlaku menggunakan aturan senyap dinamis atau statis.

   Misalnya, gunakan muteInfo.dynamicMuteRecords dalam kueri untuk mencantumkan temuan yang berlaku yang diabaikan oleh aturan pengabaian dinamis baru:

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   Untuk mengetahui informasi selengkapnya tentang cara mencantumkan temuan, lihat Mencantumkan temuan keamanan menggunakan Security Command Center API.

3. Hapus semua aturan penonaktifan statis. Temuan mendatang yang relevan akan tercakup dalam aturan dinamis baru yang Anda buat. Hapus semua aturan penonaktifan statis yang ada untuk memastikan aturan tersebut tidak menggantikan aturan penonaktifan dinamis baru untuk temuan baru. Untuk mengetahui petunjuk cara menghapus aturan senyap, lihat Menghapus aturan senyap. Menghapus aturan penonaktifan statis tidak akan mengubah status penonaktifan statis temuan yang ada.

4. Mereset status penonaktifan statis pada semua temuan. Untuk mereset status bisu statis temuan yang ada secara massal, lakukan salah satu tindakan berikut:

   • Gunakan perintah gcloud scc findings bulk-mute atau metode API bulkMute dengan atribut muteState yang disetel ke UNDEFINED. Untuk tanda --filter atau kolom filter, gunakan filter temuan yang cocok dengan temuan yang disenyapkan oleh aturan senyap statis yang Anda hapus.

     Contoh berikut menggunakan perintah gcloud scc findings bulk-mute. Jika Anda menghapus aturan senyap statis dengan filter category="OPEN_SSH_PORT", Anda dapat mereset status senyap temuan yang cocok dengan filter tersebut dengan menjalankan perintah berikut:

     gcloud scc findings bulk-mute --organization=ORGANIZATION_ID --filter="category=\"OPEN_SSH_PORT\"" --mute-state=UNDEFINED
     

     Ganti ORGANIZATION_ID dengan ID organisasi Anda. Anda dapat mengganti --organization dengan --project atau --folder, bergantung pada cakupan temuan yang perlu Anda reset.

     Untuk mengetahui petunjuk selengkapnya tentang cara melakukan operasi senyapkan massal, lihat Menyenyapkan atau mereset beberapa temuan yang ada.

   • Jika operasi penonaktifan massal kehabisan waktu, hapus status penonaktifan statis dari semua temuan. Lakukan dengan memperbarui filter penonaktifan massal untuk menggunakan filter yang kurang terperinci yang mencakup semua temuan yang relevan.

     Perhatikan contoh filter berikut dalam aturan bisu statis:

     filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456\")"
     

     Untuk menghapus status nonaktif pada semua temuan yang cocok dengan kriteria filter aturan nonaktif statis ini, Anda dapat mengubah filter dengan menghapus kondisi tambahan yang mengikuti kategori temuan. Untuk contoh ini, hasilnya akan seperti berikut:

     filter: "category = \"OPEN_SSH_PORT""
     

     Jika Anda telah menetapkan status nonaktif secara manual untuk temuan apa pun, metode ini juga dapat mereset status nonaktif temuan tersebut.

     Untuk mengetahui informasi selengkapnya tentang cara memperbarui aturan senyap, lihat Memperbarui aturan senyap.

Jika Anda memerlukan bantuan untuk memigrasikan aturan senyap statis ke aturan senyap dinamis, hubungi dukungan.

Langkah berikutnya

Pelajari lebih lanjut cara membuat dan mengelola aturan senyap.