מעבר מכללי השתקה סטטיים לכללי השתקה דינמיים

‫

בדף הזה מוסבר איך להעביר את כללי ההשתקה הקיימים שלכם לכללי השתקה דינמיים.

מומלץ להשתמש בכללי השתקה דינמיים בלבד בהגדרות של כללי ההשתקה, כי הם גמישים יותר מכללי השתקה סטטיים. בהשוואה לכללי השתקה סטטיים, לכללי השתקה דינמיים יש שלושה יתרונות עיקריים:

• כללי השתקה דינמיים חלים על ממצאים קיימים וחדשים. כללי השתקה דינמיים משתיקים באופן אוטומטי ממצאים קיימים וגם ממצאים חדשים או מעודכנים שתואמים לקריטריונים של המסנן.
• כללי השתקה דינמיים מציעים אפשרות תפוגה. כללי השתקה דינמיים מאפשרים גם להגדיר תקופת תפוגה מותאמת אישית כדי להתאים באופן זמני לממצאים ספציפיים. אם לא מוגדר תאריך תפוגה, כללי ההשתקה הדינמיים משתיקים את הממצאים ללא הגבלת זמן, עד שהם כבר לא תואמים לכלל.

• כללי השתקה דינמיים מבטלים אוטומטית את ההשתקה של ממצאים. כשמתרחש אחד מהמקרים הבאים, Security Command Center מבטל אוטומטית את ההשתקה של הממצא:

  • התוקף של כלל להשתקת ממצאים דינמי פג.
  • המאפיינים של הממצא משתנים כך שהם כבר לא תואמים לקריטריונים של המסנן.
  • הקריטריונים של המסנן משתנים כך שהם כבר לא תואמים לממצא.

לא מומלץ להשתמש בכללי השתקה סטטיים ודינמיים בו-זמנית. כללי השתקה סטטיים מבטלים כללי השתקה דינמיים כשהם מוחלים על אותה תוצאת סריקה. כתוצאה מכך, כללי השתקה דינמיים לא יפעלו כמצופה, וזה עלול ליצור בלבול כשמנהלים את הממצאים.

אם אתם רוצים להשתמש רק בכללי השתקה דינמיים, בקטעים הבאים מוסבר על ההרשאות והשלבים שנדרשים להעברת כללי ההשתקה הסטטיים.

הרשאות

כדי לקבל את ההרשאות שדרושות לביצוע תהליך ההעברה של השתקה דינמית, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט שלכם Google Cloud :

• צפייה באדמין ב-Security Center (roles/securitycenter.adminViewer)
• בעל הרשאת צפייה בהגדרות מרכז האבטחה (roles/securitycenter.settingsViewer)
• צפייה בהגדרות השתקה ב-SecurityCenter (roles/securitycenter.muteConfigsViewer)
• אדמין ב-Security Center (roles/securitycenter.admin)
• אדמין עם הרשאת עריכה ב-Security Center (roles/securitycenter.adminEditor)
• עורך ההגדרות של מרכז האבטחה(roles/securitycenter.settingsEditor)
• כלי העריכה של הגדרות ההשתקה במרכז האבטחה (roles/securitycenter.muteConfigsEditor)
• Security Center FindingsEditor (roles/securitycenter.findingsEditor)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

מעבר לכללי השתקה דינמיים

כדי להשתמש רק בכללי השתקה דינמיים, צריך ליצור כללי השתקה דינמיים ולוודא שהממצאים המושתקים הקיימים יישארו מושתקים אחרי ההעברה.

1. יצירת כללים חדשים להשתקה דינמית. אי אפשר לשנות את הסוג של כלל השתקה אחרי שהוא נוצר. לכן, צריך ליצור כלל להשתקת ממצאים דינמי אחד לכל כלל השתקה סטטי שרוצים לשמור. כל שם חדש של כלל השתקה דינמי חייב להיות ייחודי ושונה משמות הכללים הקיימים להשתקה. יכול להיות שיחלפו כמה שעות עד ש-Security Command Center יחיל את כללי ההשתקה הדינמיים על הממצאים המתאימים. הוראות ליצירת כלל להשתקת ממצאים דינמית מופיעות במאמר יצירת כלל להשתקה.

2. מאמתים את מצב ההשתקה של הממצאים הרלוונטיים. כדי לוודא שכללי ההשתקה הדינמיים הוחלו בצורה מתאימה, אפשר להשתמש במאפיין muteInfo ב-Security Command Center API כדי להציג את הממצאים הרלוונטיים ולבדוק את שדות ההשתקה שלהם. כך תוכלו לקבוע אם הממצאים הרלוונטיים משתמשים בכללי השתקה דינמיים או סטטיים.

   לדוגמה, אפשר להשתמש ב-muteInfo.dynamicMuteRecords בשאילתה כדי להציג את הממצאים הרלוונטיים שמושבתים על ידי כלל ההשתקה הדינמי החדש:

     contains(muteInfo.dynamicMuteRecords, muteConfig =
     "organizations/123/muteConfigs/my-dynamic-rule")
   

   מידע נוסף על הצגת הממצאים זמין במאמר הצגת ממצאי אבטחה באמצעות Security Command Center API.

3. מחיקת כל כללי ההשתקה הסטטיים. הממצאים העתידיים הרלוונטיים מכוסים על ידי הכללים הדינמיים החדשים שיצרתם. כדי לוודא שהכללים החדשים להשתקה דינמית לא יבטלו את הכללים הקיימים להשתקה סטטית לגבי ממצאים חדשים, צריך למחוק את כל הכללים הקיימים להשתקה סטטית. הוראות למחיקת כלל להשתקת ממצאים מופיעות במאמר מחיקת כללי השתקת ממצאים. מחיקה של כללי השתקה סטטיים לא משנה את מצב ההשתקה הסטטי של ממצאים קיימים.

4. איפוס מצב ההשתקה הסטטי בכל הממצאים. כדי לאפס את מצב ההשתקה הסטטי של ממצאים קיימים בכמות גדולה, מבצעים אחת מהפעולות הבאות:

   • משתמשים בפקודה gcloud scc findings bulk-mute או ב-method bulkMute של API עם המאפיין muteState שהוגדר לערך UNDEFINED. בשדה או בדגל --filter, משתמשים במסנן ממצאים שתואם לממצאים שהושבתו על ידי כלל ההשתקה הסטטי שמחקתם.filter

     בדוגמה הבאה משתמשים בפקודה gcloud scc findings bulk-mute. אם מחקתם כלל להשתקת ממצאים סטטי עם המסנן category="OPEN_SSH_PORT", אתם יכולים לאפס את מצב ההשתקה של הממצאים שתואמים למסנן הזה על ידי הפעלת הפקודה הבאה:

     gcloud scc findings bulk-mute --organization=ORGANIZATION_ID --filter="category=\"OPEN_SSH_PORT\"" --mute-state=UNDEFINED
     

     מחליפים את ORGANIZATION_ID במזהה הארגון. אפשר להחליף את --organization ב---project או ב---folder בהתאם להיקף הממצאים שרוצים לאפס.

     הוראות נוספות לביצוע פעולות השתקה בכמות גדולה זמינות במאמר השתקה או איפוס של כמה ממצאים קיימים.

   • אם פסק הזמן של פעולת ההשתקה בכמות גדולה מסתיים, צריך לנקות את מצב ההשתקה הסטטי מכל הממצאים. כדי לעשות זאת, צריך לעדכן את המסנן להשתקת התראות בכמות גדולה כך שישתמש במסננים פחות מפורטים שמכסים את כל הממצאים הרלוונטיים.

     הנה דוגמה למסנן בכלל להשתקת ממצאים סטטי:

     filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456\")"
     

     כדי לבטל את ההשתקה של כל הממצאים שתואמים לקריטריונים של המסנן הזה של כלל להשתקת ממצאים סטטי, אפשר לשנות את המסנן על ידי הסרת התנאים הנוספים שמופיעים אחרי קטגוריית הממצא. בדוגמה הזו, התוצאה תהיה:

     filter: "category = \"OPEN_SSH_PORT""
     

     אם הגדרתם ידנית את מצב ההשתקה של ממצאים כלשהם, יכול להיות שהשיטה הזו תאפס גם את מצב ההשתקה של הממצאים האלה.

     מידע נוסף על עדכון כלל להשתקת ממצאים זמין במאמר בנושא עדכון כלל להשתקת ממצאים.

אם אתם צריכים עזרה בהעברת כללי ההשתקה הסטטיים לכללי השתקה דינמיים, אתם יכולים לפנות אל התמיכה.

המאמרים הבאים

מידע נוסף על יצירה וניהול של כללי השתקה