In diesem Dokument wird erläutert, wie Sie die Anzahl der Ergebnisse, die Sie in Security Command Center erhalten, durch das Ausblenden von Ergebnissen reduzieren können.
Wenn Sie ein Ergebnis ausblenden, wird es in der Standardansicht Ihrer Ergebnisse in der Google Cloud Console nicht mehr angezeigt. Sie können Ergebnisse manuell oder programmatisch ausblenden und Filter erstellen, um vorhandene und zukünftige Ergebnisse anhand von von Ihnen angegebenen Kriterien automatisch auszublenden.
Die Erkennungsdienste von Security Command Center bieten umfassende Sicherheitsbewertungen für Ihre Google Cloud Bereitstellung. Möglicherweise finden Sie jedoch, dass bestimmte Ergebnisse für Ihre Organisation oder Projekte nicht geeignet oder relevant sind. Eine große Anzahl von Ergebnissen kann Ihren Sicherheitsanalysten außerdem die effektive Identifizierung und Behebung der größten Risiken erschweren. Durch das Ausblenden von Ergebnissen ersparen Sie sich die Zeit, Sicherheitsergebnisse für isolierte oder unter akzeptable Geschäftsparameter fallende Assets zu prüfen oder darauf zu reagieren.
Das Ausblenden von Ergebnissen hat mehrere Vorteile gegenüber dem Deaktivieren von Detektoren:
- Sie können benutzerdefinierte Filter erstellen, um genauer festzulegen, welche Ergebnisse ausgeblendet werden.
- Sie können Ausblendungsregeln verwenden, um Ergebnisse vorübergehend oder dauerhaft auszublenden.
- Auch beim Ausblenden von Ergebnissen werden die zugrunde liegenden Assets weiterhin gescannt. Die Ergebnisse werden weiterhin generiert, bleiben jedoch ausgeblendet, bis Sie sie aufrufen.
Berechtigungen
Für bestimmte Ausblendungsaufgaben benötigen Sie die entsprechenden IAM-Rollen (Identity and Access Management). Die detaillierten Berechtigungen, die für jede Aufgabe erforderlich sind, finden Sie hier:
Ausblendungsregeln erstellen und verwalten
Ausblendungsregeln sind Security Command Center-Konfigurationen, die von Ihnen erstellte Filter verwenden, um zukünftige und vorhandene Ergebnisse anhand der von Ihnen angegebenen Kriterien automatisch auszublenden. Sie können Filter mit statischen oder dynamischen Ausblendungsregeln erstellen.
Statische Ausblendungsregeln blenden zukünftige Ergebnisse dauerhaft aus. Dynamische Ausblendungsregeln blenden zukünftige und vorhandene Ergebnisse vorübergehend bis zu einem bestimmten Datum oder dauerhaft aus, bis ein Ergebnis nicht mehr mit der Konfiguration übereinstimmt.
Statische und dynamische Ausblendungsregeln
Security Command Center unterstützt Konfigurationen für statische und dynamische Ausblendungsregeln. Sie können zwar statische und dynamische Ausblendungsregeln gleichzeitig verwenden, wir empfehlen dies jedoch nicht. Statische Ausblendungsregeln überschreiben dynamische Ausblendungsregeln, wenn sie auf dasselbe Ergebnis angewendet werden. Daher funktionieren dynamische Ausblendungsregeln nicht wie beabsichtigt, was die Verwaltung Ihrer Ergebnisse erschweren kann. Wir empfehlen daher, ausschließlich einen Ausblendungsregeltyp zu verwenden.
Wenn Sie noch keine statischen Ausblendungsregeln verwenden, empfehlen wir, ausschließlich dynamische Ausblendungsregeln zu verwenden, da sie mehr Flexibilität bieten.
In der folgenden Tabelle finden Sie einen allgemeinen Vergleich der beiden Ausblendungsregeltypen. Weitere Informationen finden Sie unter Statische Ausblendungsregeln und Dynamische Ausblendungsregeln.
| Statische Ausblendungsregeln | Dynamische Ausblendungsregeln |
|---|---|
| Wirken dauerhaft auf Ergebnisse. | Können vorübergehend mit einem Ablaufdatum oder dauerhaft auf ein Ergebnis wirken, wenn kein Ablaufdatum festgelegt ist. |
| Gelten nicht für vorhandene Ergebnisse. | Gelten für vorhandene und neue Ergebnisse. |
| Haben Vorrang vor dynamischen Ausblendungsregeln. | Haben eine niedrigere Priorität und werden von statischen Ausblendungsregeln überschrieben, wenn beide Typen auf ein Ergebnis angewendet werden. |
Statische Ausblendungsregeln
- Statische Ausblendungsregeln wirken dauerhaft. Wenn ein Ergebnis mit Ihrer statischen Ausblendungskonfiguration übereinstimmt, legt Security Command Center die Eigenschaft
mutedes Ergebnisses automatisch aufMUTEDfest, bis Sie sie manuell ändern. - Statische Ausblendungsregeln haben keine Auswirkungen auf vorhandene Ergebnisse, es sei denn, sie werden über die Google Cloud Console erstellt. In diesem Fall werden vorhandene Ergebnisse rückwirkend ausgeblendet. Andernfalls gelten sie nur für Ergebnisse, die nach der Definition der Regel neu erstellt oder aktualisiert werden. Wenn Sie auch ähnliche vorhandene Ergebnisse ausblenden möchten, ohne die Google Cloud Console zu verwenden, verwenden Sie dieselben Filter, um Ergebnisse im Bulk auszublenden.
- Statische Ausblendungsregeln haben Vorrang vor dynamischen Ausblendungsregeln. Daher werden alle neuen Ergebnisse, die mit einer definierten statischen Ausblendungsregel übereinstimmen, als ausgeblendet betrachtet, auch wenn sie auch mit einer definierten dynamischen Ausblendungsregel übereinstimmen.
Dynamische Ausblendungsregeln
- Dynamische Ausblendungsregeln können vorübergehend mit einem Ablaufdatum oder dauerhaft auf ein Ergebnis wirken, wenn kein Ablaufdatum festgelegt ist. Wenn ein vorhandenes oder neu erstelltes Ergebnis mit Ihrer dynamischen Ausblendungskonfiguration übereinstimmt, legt Security Command Center die Eigenschaft
mutedes Ergebnisses automatisch aufMUTEDfest, bis zum angegebenen Ablaufdatum oder bis sich das Ergebnis oder die Konfiguration selbst ändert. Wenn eine dynamische Ausblendungsregel abläuft, entfernt Security Command Center die Regel aus dem Ergebnis. Wenn das Ergebnis mit keiner anderen dynamischen Ausblendungsregel übereinstimmt, wird die Eigenschaftmuteautomatisch aufUNDEFINEDzurückgesetzt. - Dynamische Ausblendungsregeln werden automatisch auf vorhandene Ergebnisse angewendet, die mit Ihrer Konfiguration übereinstimmen, sowie auf Ergebnisse, die neu erstellt oder aktualisiert werden.
- Dynamische Ausblendungsregeln haben eine niedrigere Priorität und werden von statischen Ausblendungsregeln überschrieben, wenn beide Typen auf ein Ergebnis angewendet werden.
Wir empfehlen, ausschließlich dynamische Ausblendungsregeln zu verwenden. Die Möglichkeit, Ergebnisse vorübergehend auszublenden und automatisch wieder einzublenden, macht dynamische Ausblendungsregeln zu einer flexibleren Option als statische Ausblendungsregeln.
Wenn Sie statische Ausblendungsregeln verwenden, um die Anzahl der Ergebnisse zu reduzieren, die Sie manuell prüfen, und zu dynamischen Ausblendungsregeln migrieren möchten, lesen Sie Von statischen zu dynamischen Ausblendungs regeln migrieren.
Bereich von Ausblendungsregeln
Berücksichtigen Sie beim Erstellen von Filtern den Bereich einer Ausblendungsregel.
Wenn beispielsweise ein Filter geschrieben wird, um Ergebnisse in Project A auszublenden, der Filter selbst jedoch unter Project B erstellt wird, stimmt er möglicherweise mit keinen Ergebnissen überein.
Wenn der Datenstandort
aktiviert ist, ist der Bereich einer Ausblendungsregel auf den Security Command Center-Standort beschränkt, an dem die Ausblendungsregel
erstellt wird. Wenn Sie beispielsweise eine Ausblendungsregel am Standort USA (us) erstellen, werden mit dieser Ausblendungsregel keine Ergebnisse ausgeblendet, die am Standort Europäische Union (eu) gespeichert sind.
Weitere Informationen zum Erstellen von Filtern finden Sie unter Benachrichtigungen filtern.
Einschränkungen für Ausblendungsregeln
Ausblendungs-Regeln unterstützen nicht alle Ergebnisattribute. Eine Liste der Attribute, die von Ausblendungsregeln nicht unterstützt werden, finden Sie unter Nicht unterstützte Ergebnisattribute für Ausblendungsregeln.
Sie können Ausblendungsregeln basierend auf dem Bereich Ihrer IAM-Rollen erstellen, ansehen, aktualisieren und löschen. Mit Rollen auf Organisationsebene werden Ausblendungsregeln für alle Ordner und Projekte innerhalb der Organisation angezeigt. Wenn Sie Rollen auf Ordnerebene haben, können Sie auf Ausblendungsregeln für bestimmte Ordner sowie für alle Unterordner und Projekte in diesen Ordnern zugreifen und diese verwalten. Mit Rollen auf Projektebene können Sie Ausblendungsregeln in bestimmten Projekten verwalten.
Security Command Center Premium unterstützt die Zuweisung von Rollen auf Organisations-, Ordner- und Projektebene. Security Command Center Standard unterstützt nur die Rollenzuweisung auf Organisationsebene. Weitere Informationen finden Sie unter Zugriffssteuerung.
Security Command Center verwendet aktive und ausgeblendete Ergebnisse, um die Prozentsätze für Compliance-Kontrollen auf der Seite Compliance und in Compliance-Berichten zu berechnen. Wenn Sie ein Ergebnis ausblenden, wird es nicht von der Seite Compliance oder aus Compliance-Berichten ausgeschlossen.
Datenstandort und Ausblendungsregeln
Wenn der Datenstandort aktiviert ist, unterliegen die
Konfigurationen, die Ausblendungsregeln definieren (muteConfig Ressourcen), den
Datenstandortkontrollen und werden an einem
Security Command Center-Standort
gespeichert, den Sie auswählen.
Wenn Sie eine Ausblendungsregel auf die Ergebnisse an einem Security Command Center-Standort anwenden möchten, müssen Sie die Ausblendungsregel am selben Standort erstellen wie die Ergebnisse, auf die sie angewendet werden soll.
Da die in Ausblendungsregeln verwendeten Filter Daten enthalten können, die den Datenstandortkontrollen unterliegen, müssen Sie den richtigen Standort angeben, bevor Sie sie erstellen. Security Command Center schränkt nicht ein, an welchem Standort Sie Ausblendungsregeln oder Streaming-Exporte erstellen.
Ausblendungsregeln werden nur an dem Standort gespeichert, an dem sie erstellt wurden, und können an anderen Standorten nicht angesehen oder bearbeitet werden.
Nachdem Sie eine Ausblendungsregel erstellt haben, können Sie ihren Standort nicht mehr ändern. Wenn Sie den Standort ändern möchten, müssen Sie die Ausblendungsregel löschen und am neuen Standort neu erstellen.
Informationen zur Verwendung von Security Command Center, wenn der Datenstandort aktiviert ist, finden Sie unter Regionale Endpunkte von Security Command Center.
Ausblendungsaufgaben
Eine Anleitung zum Ausführen bestimmter Ausblendungsaufgaben finden Sie auf den folgenden Seiten:
- Ausblendungsregeln verwalten
- Einzelne Ergebnisse ausblenden
- Von statischen zu dynamischen Ausblendungsregeln migrieren
Ergebnisattribute im Zusammenhang mit dem Ausblenden
In diesem Abschnitt werden die Ergebnisattribute aufgeführt, die mit dem Ausblendungsstatus eines Ergebnisses zusammenhängen. Außerdem wird beschrieben, wie sie durch Vorgänge zum Ausblenden betroffen sind:
mute: Wird aufUNDEFINEDgesetzt, wenn Ergebnisse erstellt werden, und ändert sich in den folgenden Szenarien:MUTED: Ein Ergebnis wird manuell oder durch eine Ausblendungs-Regel ausgeblendet.UNMUTED: Ein Nutzer hebt die Ausblendung eines Ergebnisses auf.
muteUpdateTime: die Zeit, zu der ein Ergebnis ausgeblendet oder wieder eingeblendet wird.muteInitiator: die Kennung für das Hauptkonto oder die Ausblendungs-Regel, mit der ein Ergebnis ausgeblendet wurde.muteInfo: Ausblendungsinformationen zum Ergebnis, z. B. Ausblendungsregeltyp (statisch oder dynamisch) und mit welchen Ausblendungsregeln das Ergebnis übereinstimmt.muteInfo.staticMute: Ein statischer Ausblendungsstatus überschreibt alle dynamischen Ausblendungsregeln, die auf dieses Ergebnis angewendet werden.state: Ein statischer Ausblendungsstatus, der durch direktes Ausblenden des Ergebnisses oder durch eine statische Ausblendungsregel festgelegt werden kann.applyTime: Zeitpunkt, zu dem der statische Ausblendungsstatus auf das Ergebnis angewendet wurde.
muteInfo.dynamicMuteRecords: Der Eintrag einer dynamischen Ausblendungsregel, die mit dem Ergebnis übereinstimmt.muteConfig:der relative Ressourcenname der Ausblendungsregel, dargestellt durch die Ausblendungskonfiguration, mit der der Eintrag erstellt wurde. Beispiel:organizations/123/muteConfigs/examplemuteconfig.matchTime: Zeitpunkt, zu dem eine dynamische Ausblendungsregel mit dem Ergebnis übereinstimmte.
Nächste Schritte
Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen.
Weitere Beispiele für Filter, die Sie verwenden können