En esta página, se explica cómo migrar tus reglas de silenciamiento estáticas existentes a reglas de silenciamiento dinámicas.
Te recomendamos que uses reglas de silencio dinámicas exclusivamente en tus configuraciones de reglas de silencio, ya que son más flexibles que las reglas de silencio estáticas. En comparación con las reglas de silenciamiento estáticas, las reglas de silenciamiento dinámicas tienen tres beneficios clave:
- Las reglas de silenciamiento dinámico se aplican a los hallazgos existentes y nuevos. Las reglas de silenciamiento dinámicas silencian automáticamente los hallazgos existentes y los nuevos o actualizados que coinciden con los criterios de tu filtro.
- Las reglas de silenciamiento dinámico ofrecen una opción de vencimiento. Las reglas de silencio dinámicas también te permiten establecer un período de vencimiento personalizado para que coincidan temporalmente con hallazgos específicos. Si no se establece un período de vencimiento, las reglas de silenciamiento dinámicas silenciarán los resultados de forma indefinida hasta que ya no coincidan con la regla.
Las reglas de silenciamiento dinámicas dejan de silenciar automáticamente los resultados. Cuando ocurre cualquiera de los siguientes eventos, Security Command Center desactiva automáticamente el silencio del hallazgo:
- La regla de silenciamiento dinámico vence.
- Las propiedades de un hallazgo cambian y ya no coinciden con tus criterios de filtro.
- Los criterios de filtro cambian y ya no coinciden con el hallazgo.
No recomendamos usar reglas de silencio estáticas y dinámicas de forma simultánea. Las reglas de silenciamiento estáticas anulan las reglas de silenciamiento dinámicas cuando se aplican al mismo hallazgo. Como resultado, las reglas de silenciamiento dinámico no funcionarán según lo previsto, lo que puede generar confusión cuando administres tus hallazgos.
Si deseas usar reglas de silenciamiento dinámicas exclusivamente, en las siguientes secciones se describen los permisos y los pasos necesarios para migrar tus reglas de silenciamiento estáticas.
Permisos
Para obtener los permisos que necesitas para realizar el proceso de migración de silencio dinámico, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización, carpeta o proyecto de Google Cloud :
-
Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) -
Visualizador de configuración del centro de seguridad (
roles/securitycenter.settingsViewer) -
Visualizador de parámetros de configuración de elementos silenciados del centro de seguridad (
roles/securitycenter.muteConfigsViewer) -
Administrador del centro de seguridad (
roles/securitycenter.admin) -
Editor administrador del centro de seguridad (
roles/securitycenter.adminEditor) -
Editor de configuración del centro de seguridad(
roles/securitycenter.settingsEditor) -
Editor de parámetros de configuración de elementos silenciados del centro de seguridad (
roles/securitycenter.muteConfigsEditor) -
Security Center FindingsEditor (
roles/securitycenter.findingsEditor)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Migra a las reglas de silenciamiento dinámicas
Para usar exclusivamente las reglas de silenciamiento dinámico, completa los siguientes pasos para crear reglas de silenciamiento dinámico y asegurarte de que los hallazgos silenciados existentes permanezcan silenciados después de la migración.
- Crea reglas de silenciamiento dinámico nuevas. No puedes modificar el tipo de una regla de silenciamiento después de que se haya creado. Por lo tanto, debes crear una regla de silenciamiento dinámico para cada regla de silenciamiento estático que desees conservar. Cada nombre de regla de silenciamiento dinámico nuevo debe ser único y diferente de las reglas de silenciamiento existentes. Es posible que Security Command Center tarde unas horas en aplicar las reglas de silenciamiento dinámico a los hallazgos correspondientes. Para obtener instrucciones sobre cómo crear una regla de silenciamiento dinámica, consulta Crea una regla de silenciamiento.
Valida el estado de silencio de los hallazgos aplicables. Para validar que las reglas de silencio dinámico se hayan aplicado correctamente, puedes usar el atributo
muteInfoen la API de Security Command Center para enumerar los resultados aplicables y, luego, inspeccionar sus campos de silencio. Esto te ayuda a determinar si los hallazgos aplicables usan reglas de silenciamiento dinámicas o estáticas.Por ejemplo, usa
muteInfo.dynamicMuteRecordsen una búsqueda para enumerar los hallazgos aplicables que se silencian con la nueva regla de silencio dinámica:contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Para obtener más información sobre cómo enumerar resultados, consulta Enumera los resultados de seguridad con la API de Security Command Center.
Borra todas las reglas de silencio estáticas. Los hallazgos futuros aplicables están cubiertos por las nuevas reglas dinámicas que creaste. Borra todas las reglas de silenciamiento estáticas existentes para asegurarte de que no anulen las nuevas reglas de silenciamiento dinámicas para los hallazgos nuevos. Si quieres obtener instrucciones para borrar una regla de silenciamiento, consulta Borra reglas de silenciamiento. Si borras reglas de silenciamiento estáticas, no se cambiará el estado de silenciamiento estático de los hallazgos existentes.
Restablece el estado de silenciamiento estático en todos los hallazgos. Para restablecer de forma masiva el estado de silencio estático de los hallazgos existentes, realiza una de las siguientes acciones:
Usa el comando
gcloud scc findings bulk-muteo el método de la API debulkMutecon el atributomuteStateestablecido enUNDEFINED. Haz esto para cada regla de silenciamiento estático que borraste. Para obtener instrucciones sobre cómo realizar operaciones de silenciamiento masivo, consulta Cómo silenciar o restablecer varios hallazgos existentes.Si se agota el tiempo de espera de la operación de silencio masivo, puedes borrar el estado de silencio estático de todos los resultados actualizando tu filtro de silencio masivo para que use filtros menos detallados que abarquen todos los resultados pertinentes que necesitas actualizar.
Considera el siguiente ejemplo de un filtro en una regla de silencio estática:
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456")"Para borrar el estado de silencio en todos los hallazgos que coincidan con los criterios de este filtro de regla de silenciamiento estática, puedes modificar el filtro quitando las condiciones adicionales que siguen a la categoría del hallazgo. En este ejemplo, el resultado sería el siguiente:
filter: "category = \"OPEN_SSH_PORT""Si configuraste manualmente el estado de silencio de algún hallazgo, es posible que este método también restablezca el estado de silencio de esos hallazgos.
Si deseas obtener más información para actualizar una regla de silenciamiento, consulta Actualiza reglas de silenciamiento.
Si necesitas ayuda para migrar tus reglas de silenciamiento estáticas a dinámicas, comunícate con el equipo de asistencia.
¿Qué sigue?
Obtén más información para crear y administrar reglas de silencio.