Masquer des résultats dans Security Command Center

Ce document explique comment réduire le volume de résultats que vous recevez dans Security Command Center en les désactivant.

La désactivation d'un résultat le masque dans la vue par défaut de vos résultats dans la Google Cloud console. Vous pouvez désactiver manuellement ou automatiquement les résultats, et créer des filtres pour interrompre automatiquement les résultats actuels et futurs en fonction des critères que vous définissez.

Les services de détection de Security Command Center fournissent des évaluations de sécurité générales de votre Google Cloud déploiement, mais vous pouvez constater que certains résultats ne sont pas appropriés ou pertinents pour votre organisation ou vos projets. Un grand nombre de résultats peut également compliquer l'identification et la résolution des risques les plus critiques pour vos analystes de sécurité. La désactivation des résultats vous fait gagner du temps lors de l'examen ou de la réponse aux résultats de sécurité des éléments isolés ou relevant des paramètres d'entreprise acceptables.

La désactivation des résultats présente plusieurs avantages par rapport à la désactivation des détecteurs :

  • Vous pouvez créer des filtres personnalisés pour affiner les résultats désactivés.
  • Vous pouvez utiliser des règles de désactivation pour désactiver temporairement ou indéfiniment les résultats.
  • La désactivation des résultats n'empêche pas l'analyse des éléments sous-jacents. Les résultats sont toujours générés, mais restent masqués jusqu'à ce que vous décidiez de les afficher.

Autorisations

Pour effectuer des tâches de désactivation spécifiques, vous avez besoin des rôles IAM (Identity and Access Management) appropriés. Pour obtenir la liste détaillée des autorisations requises pour chaque tâche, consultez les sections suivantes :

Créer et gérer des règles de désactivation

Les règles de désactivation sont des configurations Security Command Center qui utilisent des filtres que vous créez pour désactiver automatiquement les résultats futurs et existants en fonction des critères que vous spécifiez. Vous pouvez créer des filtres avec des règles de désactivation statiques ou dynamiques.

Les règles de désactivation statiques désactivent indéfiniment les résultats futurs. Les règles de désactivation dynamiques désactivent temporairement les résultats futurs et existants jusqu'à une date spécifiée ou indéfiniment jusqu'à ce qu'un résultat ne corresponde plus à la configuration.

Règles de désactivation statiques et dynamiques

Security Command Center est compatible avec les configurations de règles Ignorer statiques et dynamiques. Bien que vous puissiez utiliser simultanément des règles de désactivation statiques et dynamiques, nous vous le déconseillons. Les règles de désactivation statiques remplacent les règles de désactivation dynamiques lorsqu'elles sont appliquées au même résultat. Par conséquent, les règles de désactivation dynamiques ne fonctionneront pas comme prévu, ce qui peut créer une confusion lors de la gestion de vos résultats. Nous vous recommandons donc d'utiliser exclusivement un seul type de règle Ignorer.

Sauf si vous utilisez déjà des règles de désactivation statiques, nous vous recommandons d'utiliser exclusivement des règles de désactivation dynamiques, car elles offrent plus de flexibilité.

Le tableau suivant compare les deux types de règles de désactivation. Pour en savoir plus, consultez les sections Règles de désactivation statiques et Règles de désactivation dynamiques.

Règles de désactivation statiques Règles de désactivation dynamiques
Agissent indéfiniment sur les résultats. Peuvent agir sur un résultat temporairement avec une date d'expiration ou indéfiniment si aucune date d'expiration n'est définie.
Ne s'appliquent pas aux résultats existants. S'appliquent aux résultats existants et nouveaux.
Sont prioritaires sur les règles de désactivation dynamiques. Sont moins prioritaires et sont remplacées par les règles de désactivation statiques lorsque les deux types s'appliquent à un résultat.

Règles de désactivation statiques

  • Les règles de désactivation statiques agissent indéfiniment. Lorsqu'un résultat correspond à votre configuration de désactivation statique, Security Command Center définit automatiquement la propriété mute du résultat sur MUTED jusqu'à ce que vous la modifiiez manuellement.
  • Les règles de désactivation statiques n'ont aucun effet sur les résultats existants, sauf si elles sont créées à l'aide de la Google Cloud console. Dans ce cas, la règle désactivera rétroactivement les résultats existants. Sinon, elles ne s'appliquent qu'aux résultats créés ou mis à jour après la définition de la règle. Si vous souhaitez également désactiver des résultats existants similaires sans utiliser la Google Cloud console, utilisez les mêmes filtres pour désactiver des résultats de manière groupée.
  • Les règles de désactivation statiques sont prioritaires sur les règles de désactivation dynamiques. Par conséquent, tous les nouveaux résultats qui correspondent à une règle de désactivation statique définie sont considérés comme désactivés, même s'ils correspondent également à une règle de désactivation dynamique définie.

Règles de désactivation dynamiques

  • Les règles de désactivation dynamiques peuvent agir sur un résultat temporairement avec une date d'expiration ou indéfiniment si aucune date d'expiration n'est définie. Lorsqu'un résultat existant ou nouvellement créé correspond à votre configuration de désactivation dynamique, Security Command Center définit automatiquement la propriété mute du résultat sur MUTED jusqu'à la date d'expiration spécifiée ou jusqu'à ce que le résultat ou la configuration elle-même soient modifiés. Lorsqu'une règle de désactivation dynamique expire, Security Command Center la supprime du résultat. Si le résultat ne correspond à aucune autre règle de désactivation dynamique, la propriété mute est automatiquement réinitialisée sur UNDEFINED.
  • Les règles de désactivation dynamiques s'appliquent automatiquement aux résultats existants qui correspondent à votre configuration, ainsi qu'aux résultats nouvellement créés ou mis à jour.
  • Les règles de désactivation dynamiques sont moins prioritaires et sont remplacées par les règles de désactivation statiques lorsque les deux types s'appliquent à un résultat.

Nous vous recommandons d'utiliser exclusivement des règles de désactivation dynamiques. La possibilité de désactiver temporairement les résultats et de les réactiver automatiquement fait des règles de désactivation dynamiques une option plus flexible que les règles de désactivation statiques.

Si vous utilisez des règles de désactivation statiques pour réduire le nombre de résultats que vous examinez manuellement et que vous souhaitez migrer vers des règles de désactivation dynamiques, consultez Migrer des règles de désactivation statiques vers des règles de désactivation dynamiques.

Champ d'application des règles de désactivation

Tenez compte du champ d'application d'une règle Ignorer lors de la création de filtres.

Par exemple, si un filtre est écrit pour désactiver les résultats dans Project A, mais que le filtre lui-même est créé sous Project B, il est possible qu'il ne corresponde à aucun résultat.

De même, si la résidence des données est activée, le champ d'application d'une règle Ignorer est limité à l'emplacement Security Command Center dans lequel la règle Ignorer est créée. Par exemple, si vous créez une règle Ignorer dans l'emplacement États-Unis (us), elle ne désactive pas les résultats stockés dans l'emplacement Union européenne (eu).

Pour en savoir plus sur la création de filtres, consultez la section Filtrer les notifications.

Restrictions des règles Ignorer

Les règles de désactivation ne sont pas compatibles avec toutes les propriétés de résultats. Pour obtenir la liste des propriétés non compatibles avec les règles de désactivation, consultez la section Propriétés de résultats non compatibles avec les règles de désactivation.

Vous pouvez créer, afficher, mettre à jour et supprimer des règles de désactivation en fonction du champ d'application de vos rôles IAM. Les rôles au niveau de l'organisation s'affichent pour tous les dossiers et projets de l'organisation. Si vous disposez de rôles au niveau des dossiers, vous pouvez accéder aux règles de blocage pour des dossiers spécifiques, ainsi que tous les sous-dossiers et projets de ces dossiers, et les gérer. Les rôles au niveau du projet vous permettent de gérer les règles de blocage dans des projets spécifiques.

Security Command Center Premium permet d'accorder des rôles au niveau de l'organisation, du dossier et du projet. Security Command Center Standard n'accepte que l'attribution de rôles au niveau de l'organisation. Pour plus d'informations, consultez la section Contrôle des accès.

Security Command Center utilise les résultats actifs et désactivés pour calculer les pourcentages des contrôles de conformité sur la page Conformité et dans les rapports de conformité. La désactivation d'un résultat ne l'exclut pas de la page Conformité ni des rapports de conformité.

Résidence des données et règles de désactivation

Si la résidence des données est activée, les configurations qui définissent les règles de désactivation (muteConfig ressources) sont soumises aux contrôles de résidence des données et sont stockées dans un emplacement Security Command Center que vous sélectionnez.

Pour appliquer une règle Ignorer aux résultats dans un emplacement Security Command Center, vous devez créer la règle Ignorer au même emplacement que les résultats auxquels elle s'applique.

Étant donné que les filtres utilisés dans les règles de désactivation peuvent contenir des données soumises à des contrôles de résidence, assurez-vous de spécifier l'emplacement correct avant de les créer. Security Command Center ne limite pas l'emplacement dans lequel vous créez des règles de désactivation ou des exportations de flux.

Les règles de désactivation ne sont stockées que dans l'emplacement dans lequel elles sont créées et ne peuvent pas être affichées ni modifiées dans d'autres emplacements.

Une fois que vous avez créé une règle Ignorer, vous ne pouvez plus modifier son emplacement. Pour modifier l'emplacement, vous devez supprimer la règle de désactivation et la recréer dans le nouvel emplacement.

Pour découvrir comment utiliser Security Command Center lorsque la résidence des données est activée, consultez la section Points de terminaison régionaux de Security Command Center.

Tâches de désactivation

Pour obtenir des instructions sur l'exécution de tâches de désactivation spécifiques, consultez les pages suivantes :

Propriétés des résultats liées à la désactivation

Cette section répertorie les propriétés des résultats liées à l'état de désactivation d'un résultat et décrit leur impact sur les opérations de désactivation :

  • mute: défini sur UNDEFINED lorsque des résultats sont créés et changent dans les scénarios suivants :
    • MUTED : le résultat est ignoré manuellement ou par une règle Ignorer
    • UNMUTED : un utilisateur réactive le résultat
  • muteUpdateTime : heure à laquelle un résultat est désactivé ou réactivé
  • muteInitiator: identifiant de la règle principale ou de désactivation qui a désactivé un résultat
  • muteInfo: informations de désactivation sur le résultat, telles que le type de règle de désactivation (statique ou dynamique) et les règles de désactivation auxquelles le résultat correspond
  • muteInfo.staticMute: un état de désactivation statique remplace toutes les règles de désactivation dynamiques qui s'appliquent à ce résultat.
    • state: état de désactivation statique qui peut être défini en désactivant directement le résultat ou une règle de désactivation statique
    • applyTime : heure à laquelle l'état de désactivation statique a été appliqué au résultat
  • muteInfo.dynamicMuteRecords: enregistrement d'une règle Ignorer dynamique qui correspond au résultat
    • muteConfig: : nom de ressource relatif de la règle Ignorer, représenté par la configuration de désactivation qui a créé l'enregistrement Exemple : organizations/123/muteConfigs/examplemuteconfig
    • matchTime : heure à laquelle une règle Ignorer dynamique correspond au résultat

Étape suivante

Découvrez comment filtrer les notifications de résultats.

Consultez d'autres exemples de filtres que vous pouvez utiliser.