Neste documento, explicamos como reduzir o volume de descobertas recebidas no Security Command Center silenciando as descobertas.
A desativação de uma descoberta a oculta da visualização padrão das suas descobertas no console doGoogle Cloud . É possível ignorar descobertas manual ou programaticamente e criar filtros para silenciar automaticamente as descobertas atuais e futuras com base nos critérios especificados por você.
Os serviços de detecção do Security Command Center oferecem avaliações de segurança amplas da implantação do Google Cloud , mas talvez você descubra que determinadas descobertas não são apropriadas ou relevantes para sua organização ou projetos. Um grande volume de descobertas também pode dificultar a identificação e a correção dos riscos mais críticos pelos analistas de segurança. As descobertas de silenciamento economizam tempo de análise ou resposta a descobertas de segurança para recursos isolados ou que se enquadram em parâmetros comerciais aceitáveis.
A desativação de descobertas tem várias vantagens em relação à desativação de detectores:
- Você pode criar filtros personalizados para ajustar quais descobertas são silenciadas.
- É possível usar regras de silenciamento para silenciar descobertas temporária ou indefinidamente.
- Ignorar as descobertas não impede que os recursos subjacentes sejam verificados. As descobertas ainda serão geradas, mas permanecerão ocultas até que você decida visualizá-las.
Permissões
Para realizar tarefas específicas de desativação do som, você precisa ter os papéis adequados do Identity and Access Management (IAM). Para conferir as permissões detalhadas necessárias para cada tarefa, consulte:
Criar e gerenciar regras de silenciamento
As regras de silenciamento são configurações do Security Command Center que usam filtros criados para ignorar automaticamente as descobertas futuras e atuais com base nos critérios especificados por você. Você pode criar filtros com regras de silenciamento estáticas ou dinâmicas.
As regras de silenciamento estático silenciam as descobertas futuras por tempo indeterminado. As regras de desativação dinâmica silenciam descobertas futuras e atuais temporariamente até uma data especificada ou indefinidamente até que uma descoberta não corresponda mais à configuração.
Regras de silenciamento estáticas e dinâmicas
O Security Command Center é compatível com configurações de regras de silenciamento estáticas e dinâmicas. Embora seja possível usar regras de silenciamento estáticas e dinâmicas simultaneamente, não recomendamos isso. As regras de silenciamento estático substituem as dinâmicas quando são aplicadas à mesma descoberta. Como resultado, as regras de silenciamento dinâmico não vão funcionar como esperado, o que pode gerar confusão ao gerenciar suas descobertas. Por isso, recomendamos que você use um tipo de regra de silenciamento exclusivamente.
A menos que você já esteja usando regras de silenciamento estáticas, recomendamos usar apenas as dinâmicas, porque elas oferecem mais flexibilidade.
A tabela a seguir oferece uma comparação de alto nível dos dois tipos de regras de exclusão temporária. Para mais detalhes, consulte Regras de silenciamento estáticas e Regras de silenciamento dinâmicas.
| Regras de silenciamento estáticas | Regras de silenciamento dinâmicas |
|---|---|
| Agir indefinidamente com base nas descobertas. | Pode agir em uma descoberta temporariamente com um prazo de validade ou indefinidamente se nenhum prazo de validade for definido. |
| Não se aplicam a descobertas atuais. | Aplicar a descobertas novas e atuais. |
| Ter precedência sobre as regras de silenciamento dinâmicas. | Têm uma prioridade menor e são substituídas por regras de exclusão estática quando os dois tipos se aplicam a uma descoberta. |
Regras de silenciamento estáticas
- As regras de silenciamento estáticas funcionam por tempo indeterminado. Quando uma descoberta corresponde à sua configuração de
silenciamento estático, o Security Command Center define automaticamente a propriedade
muteda descoberta comoMUTEDaté que você a mude manualmente. - As regras de silenciamento estático não afetam as descobertas atuais, a menos que sejam criadas usando o console Google Cloud . Nesse caso, a regra vai silenciar as descobertas atuais de forma retroativa. Caso contrário, elas se aplicam apenas a descobertas criadas ou atualizadas depois que a regra é definida. Se você também quiser silenciar descobertas existentes semelhantes sem usar o console Google Cloud , use os mesmos filtros para silenciar descobertas em massa.
- As regras de silenciamento estático têm precedência sobre as dinâmicas. Portanto, todas as novas descobertas que corresponderem a uma regra de silenciamento estático definida serão consideradas silenciadas, mesmo que também correspondam a uma regra de silenciamento dinâmico definida.
Regras de silenciamento dinâmicas
- As regras de silenciamento dinâmico podem agir em uma descoberta temporariamente com um tempo de expiração ou indefinidamente se nenhum tempo de expiração for definido. Quando uma descoberta existente ou recém-criada corresponde à sua configuração de exclusão dinâmica, o Security Command Center define automaticamente a propriedade
muteda descoberta comoMUTEDaté a data de expiração especificada ou até que haja mudanças na descoberta ou na própria configuração. Quando uma regra de silenciamento dinâmico expira, o Security Command Center remove a regra da descoberta. Se a descoberta não corresponder a nenhuma outra regra de silenciamento dinâmico, a propriedademuteserá redefinida automaticamente paraUNDEFINED. - As regras de silenciamento dinâmico são aplicadas automaticamente às descobertas atuais que correspondem à sua configuração, bem como às descobertas recém-criadas ou atualizadas.
- As regras de exclusão dinâmica têm uma prioridade menor e são substituídas pelas regras de exclusão estática quando ambos os tipos se aplicam a uma descoberta.
Recomendamos usar apenas regras de desativação dinâmica. A capacidade de silenciar e ativar o som das descobertas temporariamente torna as regras de silenciamento dinâmicas uma opção mais flexível do que as estáticas.
Se você estiver usando regras de silenciamento estático para reduzir o número de descobertas que analisa manualmente e quiser migrar para regras de silenciamento dinâmico, consulte Migrar de regras de silenciamento estático para dinâmico.
Escopo das regras de silenciamento
Considere o escopo de uma regra de silenciamento ao criar filtros.
Por exemplo, se um filtro for gravado para silenciar as descobertas em Project A, mas o próprio filtro for criado em Project B, o filtro poderá não corresponder a nenhuma descoberta.
Da mesma forma, se a residência de dados estiver ativada, o escopo de uma regra de silenciamento será limitado ao local do Security Command Center em que ela foi criada. Por exemplo, se você criar uma regra de silenciamento no local Estados Unidos (us), ela não vai silenciar descobertas armazenadas no local União Europeia (eu).
Para mais informações sobre como criar filtros, consulte Como filtrar notificações.
Restrições das regras de silenciamento
As regras de silenciamento não são compatíveis com todas as propriedades de descoberta. Para ver uma lista de propriedades que não são compatíveis com as regras de desativação de som, consulte Propriedades de descoberta não compatíveis com regras de silenciamento.
É possível criar, visualizar, atualizar e excluir regras de silenciamento com base no escopo dos papéis do IAM. Com os papéis no nível da organização, você vê regras de silenciamento para todas as pastas e projetos dentro da organização. Se você tiver papéis no nível da pasta, poderá acessar e gerenciar regras de silenciamento para pastas específicas e todas as subpastas e projetos dentro dessas pastas. Os papéis no nível do projeto permitem gerenciar regras de silenciamento em projetos específicos.
O Security Command Center Premium é compatível com a concessão de papéis nos níveis da organização, pasta e projeto. O Security Command Center Standard aceita apenas papéis no nível da organização. Para mais informações, consulte Controle de acesso.
O Security Command Center usa descobertas ativas e silenciadas para calcular as porcentagens dos controles de conformidade na página Conformidade e nos relatórios de conformidade. Silenciar uma descoberta não a exclui da página Conformidade nem dos relatórios de conformidade.
Residência de dados e regras de silenciamento
Se a residência de dados estiver ativada, as configurações que definem regras de exclusão (recursos muteConfig) estarão sujeitas aos controles de residência de dados e serão armazenadas em um local do Security Command Center que você selecionar.
Para aplicar uma regra de silenciamento às descobertas em um local do Security Command Center, crie a regra no mesmo local das descobertas a que ela se aplica.
Como os filtros usados nas regras de silenciamento podem conter dados sujeitos a controles de residência, especifique o local correto antes de criar. O Security Command Center não restringe o local em que você cria regras de exclusão ou exportações de streaming.
As regras de silenciamento são armazenadas apenas no local em que foram criadas e não podem ser visualizadas ou editadas em outros locais.
Depois de criar uma regra de silenciamento, não é possível mudar o local dela. Para mudar o local, exclua a regra de silenciamento e crie outra no novo local.
Para saber como usar o Security Command Center quando a residência de dados está ativada, consulte Endpoints regionais do Security Command Center.
Silenciar tarefas
Para instruções sobre como realizar tarefas específicas de silenciamento, consulte as seguintes páginas:
- Gerenciar regras de silenciamento
- Silenciar descobertas individuais
- Migrar de regras de silenciamento estáticas para dinâmicas
Encontrar propriedades relacionadas à desativação do som
Esta seção lista as propriedades relacionadas ao estado de silenciamento de uma descoberta e descreve como elas são afetadas pelas operações de silenciamento:
mute: defina comoUNDEFINEDquando as descobertas forem criadas e as alterações nos seguintes cenários:MUTED: uma descoberta foi silenciada manualmente ou por uma regra de silenciamento.UNMUTED: um usuário ativa o som de uma descoberta.
muteUpdateTime: o tempo em que uma descoberta será silenciada ou não.muteInitiator: o identificador da regra principal ou de silenciamento que silenciou uma descoberta.muteInfo: informações de silenciamento sobre a descoberta, como tipo de regra de silenciamento (estática ou dinâmica) e quais regras de silenciamento corresponderam à descoberta.muteInfo.staticMute: um estado de silenciamento estático substitui todas as regras de silenciamento dinâmico aplicadas a essa descoberta.state: um estado de silenciamento estático que pode ser definido silenciando a descoberta diretamente ou por uma regra de silenciamento estático.applyTime: o momento em que o estado de desativação estática foi aplicado à descoberta.
muteInfo.dynamicMuteRecords: o registro de uma regra de silenciamento dinâmico que corresponde à descoberta.muteConfig:o nome do recurso relativo da regra de exclusão temporária, representado pela configuração de exclusão temporária que criou o registro. Por exemplo,organizations/123/muteConfigs/examplemuteconfig.matchTime: o horário em que uma regra de silenciamento dinâmico correspondeu à descoberta.
A seguir
Saiba mais sobre como filtrar notificações de descoberta.
Veja mais exemplos de filtros que você pode usar.