보안 태세 통제를 위한 정책 생성, 복제 및 활성화

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기5분

    • 도구 범위 및 기타 고위험 조합에 대한 자산을 모니터링하는 사용자 지정 정책을 생성합니다.

    시작하기 전에

    시작하기 전에 에 설명된 보안 태세 통제의 사용 사례 취약성 및 보안 도구 범위 격차가 있는 자산 탐지에 대한 사용 사례를 참조하여 CrowdStrike 제품에 대한 서비스 그래프 커넥터를 활성화하고 Vulnerability Response 애플리케이션을 설치했는지 확인하십시오.

    정책을 만드는 데 필요한 단계를 이해하려면 아래 제공된 예를 따르십시오. 이 정책의 경우 CrowdStrike 제품에서 보거나 보고하지 않고 log4shell 취약성 'CVE-2021-44228'이 있는 모든 자산을 찾는 정책을 생성한다고 가정해 보겠습니다.

    필요한 역할:
    • SPC 관리자 그룹
    • SPC 분석가 그룹

    프로시저

    1. 다음으로 이동 워크플레이스 > 보안 태세 통제 > 목록 > 정책 > 모두레이블이 표시됩니다.
    2. 새 정책을 선택합니다.
    3. 상단의 이름 옆에 있는 연필 아이콘을 선택하여 메타데이터를 수정합니다.

      필드를 채웁니다.

      필드 설명
      이름 정책의 고유한 이름입니다.
      중요도 목록에서 하나를 선택합니다.
      간단한 설명 정책에 대한 고유한 설명입니다.
    4. 메타데이터 저장을 선택합니다.
    5. 양식의 첫 번째 필드에 있는 목록에서 하드웨어 자산을 선택합니다.

      페이지 오른쪽에 있는 Base policy(기본 정책) 및 Exclusion policies(제외 정책) 옵션을 확인합니다.

      • 기본 정책 - 이 정책의 기본으로 사용할 기존 정책의 조건을 시작점으로 상속할 수 있습니다.
      • 제외 정책 - 이 정책에서 결과가 무시되도록 기존 정책에서 일치하는 자산을 제외할 수 있습니다. 이 옵션을 사용하면 이 정책에 대해 반환된 결과를 더 구체화하거나 자산에 대해 승인된 예외를 무시할 수 있습니다.

      연결 및 엔터티 필드가 표시됩니다.

    6. 연결 필드의 목록에서 보고하지 않음 을 선택합니다.
      대상 엔터티 필드는 Service Graph Connector로 자동으로 채워집니다. 기준 필드가 있는 새 조건이 속성, 연산자 및 값 필드와 함께 표시됩니다. 속성이 기준 필드에 표시됩니다.
    7. 표시된 값 목록에서 [Category][is][Endpoint Protection] 을 선택합니다.
    8. Endpoint Protection으로 채워진 값 필드의 오른쪽에 있는 연산자를 선택합니다.
    9. 다음 필드 세트에서 [Product-name][is][CrowdStrike]를 선택합니다.
    10. 새 연결 및 엔터티 필드를 표시하려면 서비스 그래프 커넥터로 채워진 첫 번째 엔터티 필드 옆의 맨 위에 있는 and 연산자를 선택합니다.
    11. 보고자를 선택합니다.
      엔터티 필드가 자동으로 채워집니다(서비스 그래프 커넥터). 속성, 연산자 및 값에 대한 필드와 함께 새 조건(기준)이 표시됩니다. 속성이 기준 필드에 표시됩니다.
    12. [Category][is][Networking]을 선택합니다.
    13. Networking(네트워킹)으로 채워진 Value(값) 필드 옆에 있는 and 연산자를 선택합니다.
    14. [Category][is][Infrastructure Monitoring]을 선택합니다.
    15. Service Graph Connector로 채워진 엔터티 필드의 초를 기준으로 and 연산자를 선택합니다.
    16. 새 연결 필드에서 취약성 포함을 선택합니다.
      엔터티 필드는 취약성으로 자동으로 채워집니다.
    17. [CVE-id][is]를 선택하고 CVE-2021-44228을 입력합니다.
      정책 조건은 이미지와 일치해야 합니다.

      정책 조건

    18. 정책 저장을 선택하고, 결과를 구성하고, 정책을 활성화합니다.

      정책을 저장하고 활성화하면 다음 실행에서 예약된 SGC에서 가져온 데이터가 평가됩니다. 작업 영역의 사용자 지정 인사이트 대시보드에 데이터를 표시하려면 대시보드의 사용자 지정 인사이트 구성 모듈(작업 영역의 마지막 아이콘)에서 새 인사이트를 만들어야 합니다. 사용자 지정 인사이트를 활성화하면 해당 데이터가 작업 영역의 사용자 지정 인사이트 대시보드에 표시됩니다(두 번째 아이콘).

    19. Save policy(정책 저장) 오른쪽에 있는 메뉴에서 Configure findings(결과 구성)를 선택합니다.
    20. 필드에 내용을 입력합니다.
      옵션설명
      결과 생성

      [Yes]를 선택하여 결과를 생성합니다.

      결과를 생성하지 않으려면 아니요를 선택합니다.
      담당 규칙 구성 Configuration Compliance 애플리케이션에서 정정 결과를 할당하기 위한 할당 규칙을 설정하려면 해당 링크를 선택합니다. Configuration Compliance에서 사용할 수 있는 [sn_vulc_assignment_rule_list] 테이블에는 기본 할당 규칙이 있습니다.
    21. 구성 저장을 선택합니다.
    22. 옵션: 이 정책 또는 기존 정책을 복제하려면 정책 활성화 옆의 메뉴에서 정책 복제를 선택합니다.

      정책을 기반으로 사용하여 하위 정책을 생성하면 조건을 다시 입력하지 않고도 기존 정책을 확장할 수 있습니다. 기본 정책의 모든 조건은 하위 정책에도 상속됩니다. 복제된 정책 이름 뒤에 '복사'가 있는 새 정책 기록이 열립니다.

      제외 정책을 선택하고 이 정책의 결과에서 제외할 정책을 선택합니다. 새 정책에서 기존 정책과 일치하는 결과는 결과에 포함되지 않습니다.

    23. 기본 정책을 선택하고 활성 정책을 상위 정책으로 선택합니다.

      기존 정책의 조건을 새 정책의 시작점으로 사용하려는 경우 이 옵션을 선택할 수 있습니다.

      둘 이상의 정책을 추가하는 경우 다음 계층 구조에 유의하십시오. 정책 계층 구조에 여러 정책이 있을 수 있습니다. 각 정책을 사용하여 자산이 각 수준과 일치하는 방법에 대한 다양한 분류를 볼 수 있습니다.

      • 레벨 1이 기본입니다. 이 정책은 (N)의 광범위한 샘플 크기(예: Active Directory 서비스 그래프 커넥터에서 보고한 Active Directory의 모든 자산)를 쿼리합니다.
      • 수준 2는 첫 번째 정책의 결과를 평가합니다. 이 정책은 (N)의 하위 집합만 평가합니다. 예를 들어 Active Directory의 모든 자산에서 취약성이 검색되지 않는 취약성 평가 도구가 있는 자산만 반환합니다.
      • 수준 3은 정책 1과 2 등의 결과를 평가합니다. 예를 들어 취약성을 검사하지 않은 취약성 평가 도구가 있는 Active Directory의 모든 자산에서 누락된 엔드포인트 보호 에이전트만 반환합니다.
      주:
      계층 구조에 여러 정책이 있을 수 있습니다. 계층 구조를 사용하면 자산이 계층 구조의 각 수준과 일치하는 방법에 대한 다양한 분류를 볼 수 있습니다.
    24. 정책을 저장합니다.
      정책이 작업 영역의 목록 모듈에 있는 모두 목록에 표시됩니다.
    25. 정책을 활성화하려면 정책 레코드를 열고 정책 활성화를 선택합니다.