Esta página explica como migrar as regras de desativação do som estáticas existentes para regras de desativação do som dinâmicas.
Recomendamos que use regras de desativação do som dinâmicas exclusivamente nas configurações das regras de desativação do som, porque são mais flexíveis do que as regras de desativação do som estáticas. Em comparação com as regras de desativação do som estáticas, as regras de desativação do som dinâmicas têm três vantagens principais:
- As regras de desativação do som dinâmicas aplicam-se a novas e existentes descobertas. As regras de desativação do som dinâmicas desativam automaticamente o som das descobertas existentes e novas ou atualizadas que correspondam aos seus critérios de filtro.
- As regras de desativação do som dinâmicas oferecem uma opção de validade. As regras de desativação temporária dinâmicas também permitem definir um período de validade personalizado para corresponder temporariamente a conclusões específicas. Se não for definido um período de validade, as regras de desativação temporária dinâmicas desativam temporariamente as deteções indefinidamente até deixarem de corresponder à regra.
As regras de desativação dinâmicas reativam automaticamente o som das conclusões. Quando ocorre qualquer uma das seguintes situações, o Security Command Center desativa automaticamente o som da descoberta:
- A regra de desativação do som dinâmica expira.
- As propriedades de uma descoberta mudam de forma a não corresponderem aos critérios do filtro.
- Os critérios de filtro são alterados e deixam de corresponder à descoberta.
Não recomendamos a utilização de regras de desativação do som estáticas e dinâmicas em simultâneo. As regras de desativação do som estáticas substituem as regras de desativação do som dinâmicas quando são aplicadas à mesma deteção. Como resultado, as regras de desativação do som dinâmicas não funcionam como previsto, o que pode criar confusão ao gerir as suas descobertas.
Se quiser usar regras de desativação do som dinâmicas exclusivamente, as secções seguintes descrevem as autorizações e os passos necessários para migrar as suas regras de desativação do som estáticas.
Autorizações
Para receber as autorizações de que precisa para realizar o processo de migração da desativação do som dinâmica, peça ao seu administrador para lhe conceder as seguintes funções do IAM na sua Google Cloud organização, pasta ou projeto:
-
Visualizador de administrador do centro de segurança (
roles/securitycenter.adminViewer) -
Visualizador das definições do centro de segurança (
roles/securitycenter.settingsViewer) -
Visualizador de configurações de desativação do som do Centro de segurança (
roles/securitycenter.muteConfigsViewer) -
Administrador do centro de segurança (
roles/securitycenter.admin) -
AdminEditor do Centro de segurança (
roles/securitycenter.adminEditor) -
Editor das definições do centro de segurança(
roles/securitycenter.settingsEditor) -
Security Center Mute ConfigurationsEditor (
roles/securitycenter.muteConfigsEditor) -
Security Center FindingsEditor (
roles/securitycenter.findingsEditor)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Migre para regras de desativação de som dinâmicas
Para usar exclusivamente regras de desativação do som dinâmicas, conclua os passos seguintes para criar regras de desativação do som dinâmicas e garantir que as deteções com o som desativado existentes permanecem com o som desativado após a migração.
- Crie novas regras de desativação do som dinâmicas. Não pode modificar o tipo de uma regra de desativação do som depois de esta ser criada. Por conseguinte, tem de criar uma regra de desativação do som dinâmica para cada regra de desativação do som estática que quer manter. O nome de cada nova regra de desativação do som dinâmica tem de ser diferente dos nomes das regras de desativação do som existentes. O Security Command Center pode demorar algumas horas a aplicar as regras de desativação temporária dinâmicas às conclusões adequadas. Para ver instruções sobre como criar uma regra de desativação do som dinâmica, consulte o artigo Crie uma regra de desativação do som.
Valide o estado de desativação de alertas das descobertas aplicáveis. Para validar se as regras de desativação do som dinâmicas foram aplicadas corretamente, pode usar o atributo
muteInfona API Security Command Center para listar as descobertas aplicáveis e inspecionar os respetivos campos de desativação do som. Isto ajuda a determinar se as conclusões aplicáveis estão a usar regras de desativação do som dinâmicas ou estáticas.Por exemplo, use
muteInfo.dynamicMuteRecordsnuma consulta para listar as descobertas aplicáveis que estão a ser desativadas pela nova regra de desativação dinâmica:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Para mais informações sobre como listar descobertas, consulte o artigo Listar descobertas de segurança através da API Security Command Center.
Eliminar todas as regras de desativação do som estáticas. As conclusões futuras aplicáveis são abrangidas pelas novas regras dinâmicas que criou. Elimine todas as regras de desativação de som estáticas existentes para garantir que não substituem as novas regras de desativação de som dinâmicas para novas descobertas. Para ver instruções sobre como eliminar uma regra de desativação do som, consulte o artigo Elimine regras de desativação do som. A eliminação de regras de desativação do som estáticas não altera o estado de desativação do som estático das deteções existentes.
Reponha o estado de desativação do som estático em todas as descobertas. Para repor o estado de desativação do som estático das descobertas existentes em massa, execute uma das seguintes ações:
Use o comando
gcloud scc findings bulk-muteou o método da APIbulkMutecom o atributomuteStatedefinido comoUNDEFINED. Faça isto para cada regra de desativação do som estática que eliminou. Para ver instruções sobre como realizar operações de desativação do som em massa, consulte o artigo Desative o som ou reponha várias deteções existentes.Se a operação de desativação do som em massa expirar, pode limpar o estado de desativação do som estático de todas as deteções atualizando o filtro de desativação do som em massa para usar filtros menos detalhados que abranjam todas as deteções relevantes que tem de atualizar.
Considere o seguinte exemplo de um filtro numa regra de desativação do som estática:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456")"Para limpar o estado de desativação do som em todos os resultados que correspondam aos critérios deste filtro de regra de desativação do som estática, pode modificar o filtro removendo as condições adicionais que seguem a categoria do resultado. Para este exemplo, o resultado seria o seguinte:
filter: "category = \"OPEN_SSH_PORT""Se tiver definido manualmente o estado de desativação do som para quaisquer resultados, este método também pode repor o estado de desativação do som desses resultados.
Para mais informações sobre como atualizar uma regra de desativação do som, consulte o artigo Atualize as regras de desativação do som.
Se precisar de ajuda para migrar as regras de desativação do som estáticas para regras de desativação do som dinâmicas, contacte o apoio técnico.
O que se segue?
Saiba mais acerca de como criar e gerir regras de desativação do som.