Questo documento spiega come ridurre il volume dei risultati che ricevi in Security Command Center disattivandoli.
La disattivazione di un risultato lo nasconde dalla visualizzazione predefinita dei risultati nella Google Cloud console. Puoi disattivare manualmente o a livello di programmazione i risultati e creare filtri per disattivare automaticamente i risultati esistenti e futuri in base ai criteri che specifichi.
I servizi di rilevamento di Security Command Center forniscono valutazioni di sicurezza generali della tua implementazione Google Cloud , ma potresti scoprire che alcuni risultati non sono appropriati o pertinenti per la tua organizzazione o i tuoi progetti. Un volume elevato di risultati può anche rendere difficile per gli analisti della sicurezza identificare e correggere in modo efficace i rischi più critici. La disattivazione dei risultati ti consente di risparmiare tempo nella revisione o nella risposta ai risultati di sicurezza per gli asset isolati o che rientrano nei parametri aziendali accettabili.
La disattivazione dei risultati presenta diversi vantaggi rispetto alla disattivazione dei rilevatori:
- Puoi creare filtri personalizzati per perfezionare i risultati da disattivare.
- Puoi utilizzare le regole di disattivazione per disattivare i risultati temporaneamente o a tempo indeterminato.
- La disattivazione dei risultati non impedisce la scansione degli asset sottostanti. I risultati vengono comunque generati, ma rimangono nascosti finché non decidi di visualizzarli.
Autorizzazioni
Per eseguire attività di disattivazione specifiche, devi disporre dei ruoli Identity and Access Management (IAM) appropriati. Per le autorizzazioni dettagliate richieste per ogni attività, consulta quanto segue:
Crea e gestisci regole di disattivazione
Le regole di disattivazione sono configurazioni di Security Command Center che utilizzano i filtri che crei per disattivare automaticamente i risultati futuri ed esistenti in base ai criteri che specifichi. Puoi creare filtri con regole di disattivazione statiche o dinamiche.
Le regole di disattivazione statiche disattivano i risultati futuri a tempo indeterminato. Le regole di disattivazione dinamiche disattivano i risultati futuri ed esistenti temporaneamente fino a una data specificata o a tempo indeterminato finché un risultato non corrisponde più alla configurazione.
Regole di disattivazione statiche e dinamiche
Security Command Center supporta le configurazioni delle regole di silenziamento statiche e dinamiche. Sebbene sia possibile utilizzare contemporaneamente regole di disattivazione statiche e dinamiche, non è consigliabile. Le regole di disattivazione statiche sostituiscono le regole di disattivazione dinamiche quando vengono applicate allo stesso risultato. Di conseguenza, le regole di disattivazione dinamiche non funzioneranno come previsto, il che può creare confusione durante la gestione dei risultati. Pertanto, ti consigliamo di utilizzare esclusivamente un tipo di regola di silenziamento.
A meno che tu non stia già utilizzando regole di disattivazione statiche, ti consigliamo di utilizzare esclusivamente regole di disattivazione dinamiche perché offrono maggiore flessibilità.
La tabella seguente fornisce un confronto di alto livello dei due tipi di regole di silenziamento. Per maggiori dettagli, consulta Regole di disattivazione statiche e Regole di disattivazione dinamiche.
| Regole di disattivazione statiche | Regole di disattivazione dinamiche |
|---|---|
| Agiscono sui risultati a tempo indeterminato. | Possono agire su un risultato temporaneamente con un tempo di scadenza o a tempo indeterminato se non viene impostato alcun tempo di scadenza. |
| Non si applicano ai risultati esistenti. | Si applicano ai risultati esistenti e nuovi. |
| Hanno la precedenza sulle regole di disattivazione dinamiche. | Hanno una priorità inferiore e vengono sostituite dalle regole di disattivazione statiche quando entrambi i tipi si applicano a un risultato. |
Regole di disattivazione statiche
- Le regole di disattivazione statiche agiscono a tempo indeterminato. Quando un risultato corrisponde alla configurazione di disattivazione statica, Security Command Center imposta automaticamente la proprietà
mutedel risultato suMUTEDfinché non la modifichi manualmente. - Le regole di disattivazione statiche non hanno effetto sui risultati esistenti, a meno che non vengano create utilizzando la Google Cloud console, nel qual caso la regola disattiverà retroattivamente i risultati esistenti. In caso contrario, si applicano solo ai risultati creati o aggiornati di recente dopo la definizione della regola. Se vuoi disattivare anche i risultati esistenti simili senza utilizzare la Google Cloud console, utilizza gli stessi filtri per disattivare in blocco i risultati.
- Le regole di disattivazione statiche hanno la precedenza sulle regole di disattivazione dinamiche. Di conseguenza, tutti i nuovi risultati che corrispondono a una regola di silenziamento statica definita vengono considerati silenziati anche se corrispondono anche a una regola di silenziamento dinamica definita.
Regole di disattivazione dinamiche
- Le regole di disattivazione dinamiche possono agire su un risultato temporaneamente con un tempo di scadenza o a tempo indeterminato se non viene impostato alcun tempo di scadenza. Quando un risultato esistente o creato di recente corrisponde alla configurazione di disattivazione dinamica, Security Command Center imposta automaticamente la proprietà
mutedel risultato suMUTEDfino alla data di scadenza specificata o finché non vengono apportate modifiche al risultato o alla configurazione stessa. Quando una regola di silenziamento dinamica scade, Security Command Center rimuove la regola dal risultato. Se il risultato non corrisponde ad altre regole di disattivazione dinamiche, la proprietàmuteviene reimpostata automaticamente suUNDEFINED. - Le regole di disattivazione dinamiche si applicano automaticamente ai risultati esistenti che corrispondono alla configurazione, nonché ai risultati creati o aggiornati di recente.
- Le regole di disattivazione dinamiche hanno una priorità inferiore e vengono sostituite dalle regole di disattivazione statiche quando entrambi i tipi si applicano a un risultato.
Ti consigliamo di utilizzare esclusivamente regole di disattivazione dinamiche. La possibilità di disattivare temporaneamente e riattivare automaticamente i risultati rende le regole di disattivazione dinamiche un'opzione più flessibile rispetto alle regole di disattivazione statiche.
Se utilizzi regole di disattivazione statiche per ridurre il numero di risultati che esamini manualmente e vuoi eseguire la migrazione alle regole di disattivazione dinamiche, consulta Eseguire la migrazione dalle regole di disattivazione statiche a quelle dinamiche.
Ambito delle regole di disattivazione
Tieni presente l'ambito di una regola di silenziamento quando crei i filtri.
Ad esempio, se un filtro è scritto per disattivare i risultati in Project A, ma il filtro stesso viene creato in Project B, il filtro potrebbe non corrispondere a nessun risultato.
Allo stesso modo, se la residenza dei dati
è abilitata, l'ambito di una regola di silenziamento
è limitato alla località di Security Command Center in cui la regola di silenziamento è
creata. Ad esempio, se crei una regola di silenziamento nella località Stati Uniti (us), la regola di silenziamento non silenzia i risultati archiviati nella località Unione Europea (eu).
Per ulteriori informazioni sulla creazione dei filtri, consulta Filtrare le notifiche.
Limitazioni delle regole di silenziamento
Le regole di disattivazione non supportano tutte le proprietà dei risultati. Per un elenco delle proprietà non supportate dalle regole di disattivazione, consulta Proprietà dei risultati non supportate per le regole di disattivazione.
Puoi creare, visualizzare, aggiornare ed eliminare le regole di disattivazione in base all'ambito dei tuoi ruoli IAM. Con i ruoli a livello di organizzazione, vedrai le regole di disattivazione per tutte le cartelle e tutti i progetti all'interno dell'organizzazione. Se hai ruoli a livello di cartella, puoi accedere e gestire le regole di disattivazione per cartelle specifiche e tutte le sottocartelle e i progetti all'interno di queste cartelle. I ruoli a livello di progetto ti consentono di gestire le regole di disattivazione in progetti specifici.
Security Command Center Premium supporta la concessione di ruoli a livello di organizzazione, cartella e progetto. Security Command Center Standard supporta la concessione di ruoli solo a livello di organizzazione. Per ulteriori informazioni, consulta Controllo dell'accesso.
Security Command Center utilizza i risultati attivi e disattivati per calcolare le percentuali per i controlli di conformità nella pagina Conformità e nei report di conformità. La disattivazione di un risultato non lo esclude dalla pagina Conformità o dai report di conformità.
Residenza dei dati e regole di disattivazione
Se la residenza dei dati è abilitata, le
configurazioni che definiscono le regole di disattivazione, ovvero le risorse muteConfig, sono
soggette ai controlli di residenza dei dati e vengono archiviate in una
località di Security Command Center
che selezioni.
Per applicare una regola di silenziamento ai risultati in una località di Security Command Center, devi creare la regola di silenziamento nella stessa località dei risultati a cui si applica.
Poiché i filtri utilizzati nelle regole di disattivazione possono contenere dati soggetti a controlli di residenza, assicurati di specificare la località corretta prima di crearli. Security Command Center non limita la località in cui crei le regole di disattivazione o le esportazioni di streaming.
Le regole di disattivazione vengono archiviate solo nella località in cui vengono create e non possono essere visualizzate o modificate in altre località.
Dopo aver creato una regola di silenziamento, non puoi modificarne la località. Per modificare la località, devi eliminare la regola di silenziamento e ricrearla nella nuova località.
Per scoprire come utilizzare Security Command Center quando la residenza dei dati è abilitata, consulta Endpoint regionali di Security Command Center.
Attività di disattivazione
Per istruzioni su come eseguire attività di disattivazione specifiche, consulta le pagine seguenti:
- Gestisci regole di disattivazione
- Disattiva singoli risultati
- Esegui la migrazione dalle regole di disattivazione statiche a quelle dinamiche
Proprietà dei risultati correlate alla disattivazione
Questa sezione elenca le proprietà dei risultati correlate allo stato di disattivazione di un risultato e descrive l'impatto delle operazioni di disattivazione:
mute: impostato suUNDEFINEDquando vengono creati i risultati e le modifiche nei seguenti scenari:MUTED: un risultato viene silenziato manualmente o da una regola di silenziamento.UNMUTED: un utente riattiva un risultato.
muteUpdateTime: l'ora in cui un risultato viene disattivato o riattivato.muteInitiator: l'identificatore per l'entità o la regola di silenziamento che ha disattivato un risultato.muteInfo: informazioni sul silenziamento del risultato, ad esempio il tipo di regola di silenziamento (statica o dinamica) e le regole di silenziamento a cui corrisponde il risultato.muteInfo.staticMute: uno stato di disattivazione statica sostituisce tutte le regole di disattivazione dinamiche che si applicano a questo risultato.state: uno stato di silenziamento statico che può essere impostato silenziando direttamente il risultato o una regola di silenziamento statica.applyTime: l'ora in cui lo stato di disattivazione statica è stato applicato al risultato.
muteInfo.dynamicMuteRecords: il record di una regola di silenziamento dinamica che corrisponde al risultato.muteConfig:il nome della risorsa relativa della regola di silenziamento, rappresentato dalla configurazione di silenziamento che ha creato il record. Ad esempio,organizations/123/muteConfigs/examplemuteconfig.matchTime: ora in cui una regola di silenziamento dinamico corrispondeva al risultato.
Passaggi successivi
Scopri di più su filtraggio delle notifiche dei risultati.
Consulta altri esempi di filtri che puoi utilizzare.