En esta página, se explica cómo migrar tus reglas de silenciamiento estáticas existentes a reglas de silenciamiento dinámicas.
Te recomendamos usar reglas de silenciamiento dinámicas solo en los parámetros de configuración de las reglas de silenciamiento, ya que son más flexibles que las estáticas. En comparación con las reglas de silenciamiento estáticas, las dinámicas tienen los siguientes tres beneficios clave:
- Las reglas de silenciamiento dinámico se aplican a los hallazgos existentes y nuevos. Las reglas de silenciamiento dinámicas silencian automáticamente los hallazgos existentes y los nuevos o actualizados que coinciden con los criterios de tu filtro.
- Las reglas de silenciamiento dinámico ofrecen una opción de vencimiento. Las reglas de silenciamiento dinámicas también te permiten establecer un período de vencimiento personalizado para que coincidan temporalmente con hallazgos específicos. Si no se establece un período de vencimiento, las reglas de silenciamiento dinámicas silenciarán los hallazgos de forma indefinida hasta que ya no coincidan con la regla.
Las reglas de silenciamiento dinámicas dejan de silenciar automáticamente los hallazgos. Cuando ocurra cualquiera de los siguientes eventos, Security Command Center desactivará automáticamente el silenciamiento del hallazgo:
- La regla de silenciamiento dinámico vence.
- Las propiedades de un hallazgo cambian y ya no coinciden con tus criterios de filtro.
- Los criterios del filtro cambian y ya no coinciden con el hallazgo.
No recomendamos usar reglas de silenciamiento estáticas y dinámicas de forma simultánea. Las reglas de silenciamiento estáticas anulan las dinámicas cuando se aplican al mismo hallazgo. Como resultado, las reglas de silenciamiento dinámicas no funcionarán según lo previsto, lo que puede generar confusión cuando administres tus hallazgos.
Si deseas usar solo las reglas de silenciamiento dinámicas, en las siguientes secciones se describen los permisos y los pasos necesarios para migrar tus reglas de silenciamiento estáticas.
Permisos
Para obtener los permisos que necesitas y realizar el proceso de migración de silenciamiento dinámico, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización, carpeta o proyecto de Google Cloud :
-
Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) -
Visualizador de configuración del centro de seguridad (
roles/securitycenter.settingsViewer) -
Visualizador de la configuración de elementos silenciados del centro de seguridad (
roles/securitycenter.muteConfigsViewer) -
Administrador del centro de seguridad (
roles/securitycenter.admin) -
Editor administrador del centro de seguridad (
roles/securitycenter.adminEditor) -
Editor de configuración del centro de seguridad (
roles/securitycenter.settingsEditor) -
Editor de la configuración de elementos silenciados del centro de seguridad (
roles/securitycenter.muteConfigsEditor) -
Editor de hallazgos del centro de seguridad (
roles/securitycenter.findingsEditor)
Si quieres obtener más información para otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios con los roles personalizados o cualquier otro rol predefinido.
Migra a reglas de silenciamiento dinámicas
Para usar solo las reglas de silenciamiento dinámico, completa los siguientes pasos y crea las reglas correspondientes. Además, deberás asegurarte de que los hallazgos silenciados existentes permanezcan silenciados luego de la migración.
- Crea reglas de silenciamiento dinámico nuevas. No puedes modificar el tipo de una regla de silenciamiento después de que se haya creado. Por lo tanto, debes crear una regla de silenciamiento dinámico para cada regla de silenciamiento estático que desees conservar. Cada nombre de regla de silenciamiento dinámico nuevo debe ser único y diferente de las existentes. Es posible que Security Command Center tarde unas horas en aplicar las reglas de silenciamiento dinámico a los hallazgos correspondientes. Si quieres obtener instrucciones para crear una regla de silenciamiento dinámica, consulta Crea una regla de silenciamiento.
Valida el estado de silenciamiento de los hallazgos aplicables. Para corroborar que las reglas de silenciamiento dinámico se hayan aplicado de forma correcta, puedes usar el atributo
muteInfoen la API de Security Command Center y enumerar los hallazgos aplicables y, luego, inspeccionar sus campos de silenciamiento. Esto te ayuda a determinar si los hallazgos aplicables usan reglas de silenciamiento dinámicas o estáticas.Por ejemplo, usa
muteInfo.dynamicMuteRecordsen una consulta para enumerar los hallazgos aplicables que se silencian con la nueva regla de silenciamiento dinámica:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Si quieres obtener más información para enumerar hallazgos, consulta Enumera los hallazgos de seguridad con la API de Security Command Center.
Borra todas las reglas de silenciamiento estáticas. Las nuevas reglas dinámicas que creaste cubrirán los hallazgos futuros aplicables. Borra todas tus reglas de silenciamiento estáticas existentes y asegúrate de que no anulen las nuevas reglas de silenciamiento dinámicas para los hallazgos nuevos. Si quieres obtener instrucciones para borrar una regla de silenciamiento, consulta Borra reglas de silenciamiento. Si borras reglas de silenciamiento estáticas, no se cambiará su estado de los hallazgos existentes.
Restablece el estado de silenciamiento estático en todos los hallazgos. Para restablecer de forma masiva el estado de silenciamiento estático de los hallazgos existentes, realiza una de las siguientes acciones:
Usa el comando
gcloud scc findings bulk-muteo el método de la API debulkMutecon el atributomuteStateestablecido enUNDEFINED. Haz esto en cada regla de silenciamiento estático que hayas borrado. Si quieres obtener instrucciones para realizar operaciones de silenciamiento masivo, consulta Silencia o restablece varios hallazgos existentes.Si se agota el tiempo de espera de la operación de silenciamiento masivo, puedes borrar el estado de silenciamiento estático de todos los hallazgos. Para ello, actualiza tu filtro de silenciamiento masivo y usa filtros menos detallados que abarquen todos los hallazgos pertinentes que necesites actualizar.
Considera el siguiente ejemplo de un filtro en una regla de silenciamiento estática:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456")"Para borrar el estado de silenciamiento en todos los hallazgos que coincidan con los criterios de esta regla de silenciamiento estática, puedes quitar las condiciones adicionales que siguen a la categoría del hallazgo y modificar el filtro. En este ejemplo, el resultado sería el siguiente:
filter: "category = \"OPEN_SSH_PORT""Si configuraste de forma manual el estado de silenciamiento de algún hallazgo, es posible que este método también restablezca su estado de silenciamiento.
Si deseas obtener más información para actualizar una regla de silenciamiento, consulta Actualiza reglas de silenciamiento.
Si necesitas ayuda para migrar tus reglas de silenciamiento estáticas a dinámicas, comunícate con el equipo de asistencia.
¿Qué sigue?
Obtén más información para crear y administrar reglas de silenciamiento.