Cette page explique comment migrer vos règles Ignorer statiques existantes vers des règles Ignorer dynamiques.
Nous vous recommandons d'utiliser des règles Ignorer dynamiques exclusivement dans vos configurations de règles Ignorer, car elles sont plus flexibles que les règles Ignorer statiques. Par rapport aux règles Ignorer statiques, les règles Ignorer dynamiques présentent trois avantages clés :
- Les règles Ignorer dynamiques s'appliquent aux résultats existants et nouveaux. Les règles de masquage dynamiques masquent automatiquement les résultats existants, nouveaux ou mis à jour qui correspondent à vos critères de filtrage.
- Les règles Ignorer dynamiques proposent une option d'expiration. Les règles de blocage dynamiques vous permettent également de définir une période d'expiration personnalisée pour faire correspondre temporairement des résultats spécifiques. Si aucune période d'expiration n'est définie, les règles Ignorer dynamiques ignorent les résultats indéfiniment jusqu'à ce qu'ils ne correspondent plus à la règle.
Les règles Ignorer dynamiques réactivent automatiquement les résultats. Security Command Center réactive automatiquement le résultat dans les cas suivants :
- La règle Ignorer dynamique expire.
- Les propriétés d'un résultat ne correspondent plus à vos critères de filtrage.
- Les critères de filtrage ne correspondent plus au résultat.
Nous vous déconseillons d'utiliser simultanément des règles de désactivation statiques et dynamiques. Les règles Ignorer statiques remplacent les règles Ignorer dynamiques lorsqu'elles sont appliquées à la même découverte. Par conséquent, les règles Ignorer dynamiques ne fonctionneront pas comme prévu, ce qui peut créer de la confusion lors de la gestion de vos résultats.
Si vous souhaitez utiliser exclusivement des règles Ignorer dynamiques, les sections suivantes décrivent les autorisations et les étapes nécessaires pour migrer vos règles Ignorer statiques.
Autorisations
Pour obtenir les autorisations nécessaires pour effectuer le processus de migration de la désactivation dynamique, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre organisation, votre dossier ou votre projet Google Cloud :
-
Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer) -
Lecteur de paramètres du centre de sécurité (
roles/securitycenter.settingsViewer) -
Lecteur des configurations de mise en sourdine du centre de sécurité (
roles/securitycenter.muteConfigsViewer) -
Administrateur du centre de sécurité (
roles/securitycenter.admin) -
Éditeur administrateur du centre de sécurité (
roles/securitycenter.adminEditor) -
Éditeur de paramètres du centre de sécurité(
roles/securitycenter.settingsEditor) -
Éditeur des configurations de mise en sourdine du centre de sécurité (
roles/securitycenter.muteConfigsEditor) -
Éditeur de données du centre de sécurité (
roles/securitycenter.findingsEditor)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Migrer vers les règles Ignorer dynamiques
Pour utiliser exclusivement les règles de blocage dynamiques, procédez comme suit pour les créer et assurez-vous que les résultats ignorés existants le restent après la migration.
- Créez des règles Ignorer dynamiques. Vous ne pouvez pas modifier le type d'une règle de blocage après sa création. Vous devez donc créer une règle Ignorer dynamique pour chaque règle Ignorer statique que vous souhaitez conserver. Chaque nouveau nom de règle Ignorer dynamique doit être unique par rapport aux règles Ignorer existantes. Security Command Center peut mettre quelques heures à appliquer les règles Ignorer dynamique aux résultats appropriés. Pour savoir comment créer une règle de blocage dynamique, consultez Créer une règle de blocage.
Validez l'état de désactivation des résultats applicables. Pour vérifier que les règles de désactivation dynamique ont été appliquées correctement, vous pouvez utiliser l'attribut
muteInfodans l'API Security Command Center pour lister les résultats applicables et inspecter leurs champs de désactivation. Cela vous permet de déterminer si les résultats applicables utilisent des règles Ignorer dynamiques ou statiques.Par exemple, utilisez
muteInfo.dynamicMuteRecordsdans une requête pour lister les résultats applicables qui sont mis en sourdine par la nouvelle règle de mise en sourdine dynamique :contains(muteInfo.dynamicMuteRecords, muteConfig = "organizations/123/muteConfigs/my-dynamic-rule")Pour savoir comment lister les résultats, consultez Lister les résultats de sécurité à l'aide de l'API Security Command Center.
Supprimez toutes les règles de blocage statiques. Les futurs résultats applicables sont couverts par les nouvelles règles dynamiques que vous avez créées. Supprimez toutes vos règles Ignorer statiques existantes pour vous assurer qu'elles ne remplacent pas les nouvelles règles Ignorer dynamiques pour les nouveaux résultats. Pour savoir comment supprimer une règle de blocage, consultez Supprimer des règles de blocage. La suppression des règles Ignorer statiques ne modifie pas l'état Ignorer statique des résultats existants.
Réinitialisez l'état de désactivation statique de tous les résultats. Pour réinitialiser l'état de désactivation statique des résultats existants de manière groupée, effectuez l'une des actions suivantes :
Utilisez la commande
gcloud scc findings bulk-muteou la méthode d'APIbulkMuteavec l'attributmuteStatedéfini surUNDEFINED. Faites-le pour chaque règle Ignorer statique que vous avez supprimée. Pour savoir comment effectuer des opérations de blocage groupé, consultez Bloquer ou réinitialiser plusieurs résultats existants.Si l'opération d'ignorance groupée expire, vous pouvez effacer l'état d'ignorance statique de tous les résultats en mettant à jour votre filtre d'ignorance groupée pour utiliser des filtres moins précis qui couvrent tous les résultats pertinents que vous devez mettre à jour.
Prenons l'exemple suivant de filtre dans une règle de désactivation statique :
filter: "category = \"OPEN_SSH_PORT\" AND (resource.parentDisplayName = \"organizations/123\" OR resource.parentDisplayName = \"folder/456")"Pour annuler l'état de mise en sourdine de tous les résultats correspondant aux critères de filtrage de cette règle Ignorer statique, vous pouvez modifier le filtre en supprimant les conditions supplémentaires qui suivent la catégorie de résultat. Dans cet exemple, le résultat serait le suivant :
filter: "category = \"OPEN_SSH_PORT""Si vous avez défini manuellement l'état de désactivation pour certains résultats, cette méthode peut également réinitialiser l'état de désactivation de ces résultats.
Pour en savoir plus sur la modification d'une règle de blocage, consultez Modifier des règles de blocage.
Si vous avez besoin d'aide pour migrer vos règles Ignorer statiques vers des règles Ignorer dynamiques, contactez l'assistance.
Étapes suivantes
Découvrez comment créer et gérer des règles de mise en sourdine.