Questa pagina spiega come eseguire la migrazione delle regole di disattivazione statiche esistenti alle regole di disattivazione dinamiche.
Ti consigliamo di utilizzare le regole di disattivazione dinamiche esclusivamente nelle configurazioni delle regole di disattivazione, perché sono più flessibili di quelle statiche. Rispetto alle regole di disattivazione statiche, le regole di disattivazione dinamiche presentano tre vantaggi principali:
- Le regole di disattivazione dinamiche si applicano ai risultati esistenti e nuovi. Le regole di disattivazione dinamiche disattivano automaticamente i risultati esistenti e quelli nuovi o aggiornati che corrispondono ai tuoi criteri di filtro.
- Le regole di disattivazione dinamiche offrono un'opzione di scadenza. Le regole di disattivazione dinamiche ti consentono anche di impostare un periodo di scadenza personalizzato per trovare temporaneamente corrispondenze con risultati specifici. Se non viene impostato un periodo di scadenza, le regole di disattivazione dinamiche disattivano i risultati indefinitamente finché non corrispondono più alla regola.
Le regole di disattivazione dinamica riattivano automaticamente i risultati. Quando si verifica uno degli eventi seguenti, Security Command Center riattiva automaticamente il risultato:
- La regola di disattivazione dinamica scade.
- Le proprietà di un risultato cambiano e non corrispondono più ai criteri di filtro.
- I criteri di filtro cambiano e non corrispondono più al risultato.
Sconsigliamo di utilizzare contemporaneamente regole di disattivazione statiche e dinamiche. Le regole di disattivazione statiche hanno la precedenza sulle regole di disattivazione dinamiche quando vengono applicate allo stesso risultato. Di conseguenza, le regole di disattivazione dinamica non funzioneranno come previsto, il che può creare confusione durante la gestione dei risultati.
Se vuoi utilizzare esclusivamente le regole di disattivazione dinamiche, le sezioni seguenti descrivono le autorizzazioni e i passaggi necessari per eseguire la migrazione delle regole di disattivazione statiche.
Autorizzazioni
Per ottenere le autorizzazioni necessarie per eseguire la procedura di migrazione della disattivazione dinamica, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione, cartella o progetto: Google Cloud
-
Security Center Admin Viewer (
roles/securitycenter.adminViewer) -
Visualizzatore delle impostazioni del Centro sicurezza (
roles/securitycenter.settingsViewer) -
SecurityCenter Mute Configurations Viewer (
roles/securitycenter.muteConfigsViewer) -
Security Center Admin (
roles/securitycenter.admin) -
Security Center AdminEditor (
roles/securitycenter.adminEditor) -
Editor impostazioni Centro sicurezza(
roles/securitycenter.settingsEditor) -
Security Center Mute ConfigurationsEditor (
roles/securitycenter.muteConfigsEditor) -
Editor dei risultati del Centro sicurezza (
roles/securitycenter.findingsEditor)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Eseguire la migrazione alle regole di disattivazione dinamiche
Per utilizzare esclusivamente le regole di disattivazione dinamica, completa i seguenti passaggi per creare regole di disattivazione dinamica e assicurarti che i risultati disattivati esistenti rimangano disattivati dopo la migrazione.
- Crea nuove regole di disattivazione dinamiche. Non puoi modificare il tipo di una regola di disattivazione dopo la sua creazione. Pertanto, devi creare una regola di disattivazione dinamica per ogni regola di disattivazione statica che vuoi conservare. Ogni nuovo nome di regola di disattivazione dinamica deve essere univoco rispetto alle regole di disattivazione esistenti. Security Command Center potrebbe impiegare alcune ore per applicare le regole di disattivazione dinamica ai risultati appropriati. Per istruzioni su come creare una regola di disattivazione dinamica, consulta Crea una regola di disattivazione.
Convalida lo stato di disattivazione delle vulnerabilità applicabili. Per verificare che le regole di disattivazione dinamica siano state applicate correttamente, puoi utilizzare l'attributo
muteInfonell'API Security Command Center per elencare i risultati applicabili e ispezionare i relativi campi di disattivazione. In questo modo, puoi determinare se i risultati applicabili utilizzano regole di disattivazione dinamiche o statiche.Ad esempio, utilizza
muteInfo.dynamicMuteRecordsin una query per elencare i risultati applicabili che vengono disattivati dalla nuova regola di disattivazione dinamica:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Per saperne di più su come elencare i risultati, vedi Elenco dei risultati di sicurezza utilizzando l'API Security Command Center.
Elimina tutte le regole di disattivazione statica. I risultati futuri applicabili sono coperti dalle nuove regole dinamiche che hai creato. Elimina tutte le regole di disattivazione statiche esistenti per assicurarti che non sostituiscano le nuove regole di disattivazione dinamiche per i nuovi risultati. Per istruzioni su come eliminare una regola di disattivazione, vedi Eliminare le regole di disattivazione. L'eliminazione delle regole di disattivazione statiche non modifica lo stato di disattivazione statica dei risultati esistenti.
Reimposta lo stato di disattivazione statica su tutti i risultati. Per reimpostare lo stato di disattivazione statica dei risultati esistenti collettivamente, esegui una delle seguenti azioni:
Utilizza il comando
gcloud scc findings bulk-muteo il metodo APIbulkMutecon l'attributomuteStateimpostato suUNDEFINED. Per il flag--filtero il campofilter, utilizza un filtro dei risultati che corrisponda ai risultati disattivati dalla regola di disattivazione statica che hai eliminato.L'esempio seguente utilizza il comando
gcloud scc findings bulk-mute. Se hai eliminato una regola di disattivazione statica con il filtrocategory="OPEN_SSH_PORT", puoi reimpostare lo stato di disattivazione dei risultati che corrispondono a questo filtro eseguendo il seguente comando:gcloud scc findings bulk-mute --organization=ORGANIZATION_ID --filter="category=\"OPEN_SSH_PORT\"" --mute-state=UNDEFINEDSostituisci
ORGANIZATION_IDcon l'ID della tua organizzazione. Puoi sostituire--organizationcon--projecto--foldera seconda dell'ambito dei risultati da reimpostare.Per ulteriori istruzioni su come eseguire operazioni di disattivazione collettiva, vedi Disattivare o reimpostare più risultati esistenti.
Se l'operazione di disattivazione collettiva scade, cancella lo stato di disattivazione statica da tutti i risultati. A questo scopo, aggiorna il filtro di disattivazione collettiva in modo da utilizzare filtri meno granulari che coprano tutti i risultati pertinenti.
Considera il seguente esempio di filtro in una regola di disattivazione statica:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456\")"Per cancellare lo stato di disattivazione di tutti i risultati che corrispondono ai criteri di questo filtro della regola di disattivazione statica, puoi modificare il filtro rimuovendo le condizioni aggiuntive che seguono la categoria del risultato. Per questo esempio, il risultato sarebbe il seguente:
filter: "category = \"OPEN_SSH_PORT""Se hai impostato manualmente lo stato di disattivazione per alcuni risultati, questo metodo potrebbe anche reimpostare lo stato di disattivazione di questi risultati.
Per saperne di più sull'aggiornamento di una regola di disattivazione, consulta Aggiornare le regole di disattivazione.
Se hai bisogno di aiuto per eseguire la migrazione delle regole di disattivazione statiche a quelle dinamiche, contatta l'assistenza.
Passaggi successivi
Scopri di più su come creare e gestire le regole di disattivazione.