보안 태세 통제를 위한 정책

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기6분

    • 각 사용 사례는 잠재적 위반 사항을 찾기 위해 자산을 감사하는 정책에 따라 다릅니다.

    개요

    보안 태세 통제 정책은 엔터티 관계-속성 데이터 모델을 기반으로 구축됩니다. 특정 기준과 일치하는 엔터티 또는 자산을 찾는 정책을 정의할 수 있습니다. 기준은 해당 엔터티의 속성 또는 관련 엔터티의 속성에 대한 조건 형식으로 지정할 수 있습니다.

    현재 다음과 같은 기본 또는 최상위 엔터티 또는 자산 유형을 정책을 정의하는 시작점으로 사용할 수 있습니다. 보안 태세 통제 정책 스키마에는 '취약성' 또는 '메타데이터'와 같은 지원되는 다른 엔터티가 있지만 이러한 엔터티가 시작점이 될 수는 없습니다. 기본 엔터티 또는 관련 엔터티의 관계를 사용하여 이러한 보조 엔터티로 이동할 수 있습니다.

    기본 엔터티:

    • 하드웨어 자산
    • 클라우드 가상 머신
    표 1. 엔터티 및 보조 엔터티와의 관계
    엔터티 관계 대상 엔터티 설명
    하드웨어 자산 CI 클래스에서 CMDB 필드 CMDB의 기본 클래스 또는 CMDB의 사용자 지정 CI 클래스를 나타냅니다.
    하드웨어 자산 커넥터에 의해 보고됨 커넥터 이 엔터티를 보고했거나 보고하지 않은 서비스 그래프 커넥터를 나타냅니다.
    하드웨어 자산 다음 사용자에 의해 보고되지 않음 커넥터 이 엔터티를 보고했거나 보고하지 않은 서비스 그래프 커넥터를 나타냅니다.
    하드웨어 자산 커넥터 데이터 포함 커넥터 상세 정보 이 자산에서 서비스 그래프 커넥터와 관련된 모든 속성을 나타냅니다.
    하드웨어 자산 CMDB 메타데이터 포함 CMDBMetadata 이 자산의 CMDB CI 속성 컬렉션을 나타냅니다.
    하드웨어 자산 취약성 포함 취약성 기록 이 자산에 있는 취약한 항목을 나타냅니다.
    클라우드 가상 머신
    클라우드 가상 머신 CI 클래스에서 CMDB 필드 CMDB의 기본 클래스 또는 CMDB의 사용자 지정 CI 클래스를 나타냅니다.
    클라우드 가상 머신 보고자 커넥터 이 클라우드 자산을 보고한 서비스 그래프 커넥터를 나타냅니다.
    클라우드 가상 머신 다음 사용자에 의해 보고되지 않음 커넥터 이 클라우드 자산을 보고하지 않은 서비스 그래프 커넥터를 나타냅니다.
    클라우드 가상 머신 커넥터 데이터 포함 커넥터 서비스 그래프 커넥터와 관련된 이 클라우드 자산에서 사용할 수 있는 모든 속성을 나타냅니다.
    클라우드 가상 머신 CMDB 메타데이터 포함 CMDB 메타데이터 이 클라우드 자산의 CMDB CI 속성 컬렉션을 나타냅니다.
    클라우드 가상 머신 취약성 포함 취약성 기록 이 클라우드 자산에 있는 취약한 항목을 나타냅니다.
    클라우드 가상 머신 클라우드 메타데이터 있음 클라우드 메타데이터 이 클라우드 자산의 클라우드 속성 컬렉션을 나타냅니다.
    클라우드 가상 머신 포트가 인터넷에 노출됨 포트 열기 인터넷에 열려 있는 이 클라우드 자산의 포트를 나타냅니다.
    표 2. 해당 엔터티에서 지원되는 모든 엔터티 및 속성
    엔터티 속성
    하드웨어 자산 없음
    클라우드 가상 머신
    • 클라우드 계정 ID
    • 클라우드 지역
    • 클라우드 제공자
    클라우드 가상 머신 - 서비스 그래프 커넥터
    • 범주 - 서비스 그래프 커넥터의 범주 또는 유형입니다(예: 엔드포인트 보호).
    • 제품 이름 - 서비스 그래프 커넥터를 통해 자산을 보고하는 제품의 이름입니다.
    클라우드 가상 머신 - 커넥터 데이터 커넥터의 범주 및 유형별 상세 정보(예: 소프트웨어 상세 정보, 자산 상세 정보, 네트워크 인터페이스 상세 정보)
    CMDB 메타데이터 - 연결
    • 모델 정보 있음 - 모델 이름, 표시 이름, 제조업체.
    • 설치된 소프트웨어 사용 - 제거 문자열, 버전, 이름.
    CMDB 메타데이터 - 속성 호스트 이름, 일련 번호, OS 도메인과 같은 클라우드 속성입니다.
    클라우드 메타데이터
    • 클라우드 - 지역
    • 인터넷 - 노출
    • 클라우드 - 제공자
    • 클라우드 - account -id
    취약성
    • 악용 사례
    • 심각도
    • CVE-ID
    포트 열기
    • 포트(열려 있는 포트, 예: 22).
    • 프로토콜(예: TCP).

    애플리케이션에 포함된 정책

    보안 태세 제어 애플리케이션에 포함된 몇 가지 정책은 중요한 사용 사례와 연결되어 있으며 궁극적으로 SPC 작업 공간의 방문 페이지(홈 모듈)에 있는 대시보드에 주요 인사이트로 표시됩니다. 이러한 정책을 보려면 다음으로 이동합니다. 워크플레이스 > 보안 태세 통제 > 목록 > 모두레이블이 표시됩니다.

    이러한 정책은 편집할 수 없습니다. 그러나 메타데이터는 변경할 수 있습니다. 이러한 정책을 복제하여 사용자 지정 정책을 만들 수 있지만, 복제하는 정책은 다른 주요 통찰력과 함께 홈 방문 페이지의 대시보드에 주요 통찰력으로 반영되지 않습니다.

    만든 정책을 복제하고 활성화한 후 작업 영역의 사용자 지정 인사이트 빌더 모듈(탐색기 패널의 마지막 모듈)에 고유한 사용자 지정 인사이트 레코드를 만들고 사용자 지정 인사이트 대시보드(작업 영역의 맨 위에서 두 번째 아이콘)에서 데이터를 봅니다.

    다음 이미지는 엔드포인트 보호가 누락된 자산을 찾는 정책이 제품에 포함되어 있음을 보여 줍니다. 이 정책의 조건은 '엔드포인트 보호' 범주의 서비스 그래프 커넥터에 의해 보고되지 않고 네트워킹, 인프라 모니터링 또는 클라우드 제공자 범주의 서비스 그래프 커넥터에 의해 보고되는 자산을 찾습니다.

    조건이 있는 정책의 예

    자체 정책 만들기

    자산을 모니터링하는 자체 정책을 만들 수 있습니다. 이러한 정책은 다음과 같이 자산에 대한 커넥터별 메타데이터를 포함하여 설치하고 활성화한 다양한 서비스 그래프 커넥터의 데이터를 기반으로 합니다.
    • CrowdStrike 에이전트 버전
    • 인터넷에 노출됨
    • 위험한 취약성

    기존 정책을 복제하고 조건을 추가하거나 정책을 처음부터 만들 수 있습니다. 사용자 지정 정책의 경우 OS, OS 버전 및 FQDN과 같은 메타데이터에 대한 조건을 포함할 수 있습니다(예: 이전 소프트웨어로 자산을 모니터링하는 데 도움이 됨). 이러한 속성은 지정된 자산에 대해 다양한 서비스 그래프 커넥터로 채워지는 공통 CMDB 속성입니다.

    모니터링하지 않고 자산 수에 포함하지 않으려는 Governance, Risk, and Compliance(GRC) 애플리케이션을 사용하여 승인된 예외에 대한 조건을 추가할 수도 있습니다.

    기본 정책 및 하위 정책

    여러 정책을 사용하여 자산을 평가하고 사용자 지정 인사이트를 만들 수 있습니다. 큰 샘플 크기에서 일치하는 자산 수를 줄이거나 둘 이상의 일치 조건에 집중하려면 둘 이상의 정책을 사용할 수 있습니다. 예를 들어, 온-프레미스와 클라우드 모두에서 취약성을 검사하지 않은 총 자산 수를 보여 주는 비교 차트를 만들 수 있다고 가정해 보겠습니다.

    또한 모든 정책 기록에서 하위 정책을 생성하여 검색 조건을 더욱 구체화하고 보다 구체적인 일치 항목을 반환할 수 있습니다. 기본 정책의 모든 조건은 하위 정책에도 상속됩니다.

    정책을 두 개 이상 추가하는 경우:

    • 레벨 1이 기본입니다. 이 정책은 (N)의 광범위한 샘플 크기(예: Active Directory 서비스 그래프 커넥터에서 보고한 Active Directory의 모든 자산)를 쿼리합니다.
    • 수준 2는 첫 번째 정책의 결과를 평가합니다. 이 정책은 (N)의 하위 집합만 평가합니다. 예를 들어 Active Directory의 모든 자산에서 취약성이 검색되지 않는 취약성 평가 도구가 있는 자산만 반환합니다.
    • 수준 3은 정책 1과 2 등의 결과를 평가합니다. 예를 들어 취약성을 검사하지 않은 취약성 평가 도구가 있는 Active Directory의 모든 자산에서 누락된 엔드포인트 보호 에이전트만 반환합니다.
    • 참고: 계층 구조에 여러 정책이 있을 수 있습니다. 계층 구조를 사용하면 자산이 계층 구조의 각 수준과 일치하는 방법에 대한 다양한 분류를 볼 수 있습니다.

    하위 정책을 만들려면 정책 레코드에서 새 정책을 선택하고 원하는 조건을 설정합니다. 기존 정책의 조건을 시작으로 사용하고 기존 정책 및 승인된 예외의 결과를 제외할 수 있습니다. 자세한 내용은 보안 태세 통제를 위한 정책 생성, 복제 및 활성화 문서를 참조하십시오.

    사용자 지정 인사이트에 대한 정책을 선택할 때 계층 구조를 변경하지 않는 한 상위 정책과 동일한 수준의 하위 정책을 선택할 수 없습니다.

    메타데이터 및 CMDB 필터링

    보안 팀이 이전 소프트웨어로 자산을 모니터링하는 것이 중요할 수 있습니다. 아래에 나열된 공통 속성을 포함하도록 정책 기준을 지정할 수 있습니다.
    • OS
    • OS 버전
    • 호스트 이름
    • FQDN
    • IP 주소
    • IP 버전
    • 넷마스크
    • MAC 주소
    • MAC 제조업체
    • 소프트웨어
    • RAM
    • 일련 번호
    • NIC
    • 일련 번호 유형
    • 위치
    • CPU 개수
    • 디스크 공간
    주:
    이 메타데이터를 수집하려면 서비스 그래프 커넥터로 채워진 CMDB 메타데이터 연결에서 다음 속성을 사용할 수 있어야 합니다.

    Governance, Risk, and Compliance(GRC) 애플리케이션 예외

    Integrated Risk Management(IRM) 예외는 GRC(Governance, Risk, and Compliance) 제품에서 승인된 예외가 있는 자산입니다. 이러한 자산을 모니터링하지 않고 개수에 포함하지 않도록 예외에 대한 조건을 추가할 수 있는 옵션이 정책에 있습니다.

    예를 들어, 일부 자산에는 IRM을 사용하는 특정 통제 목표에 대해 승인된 예외가 있을 수 있습니다. 반환되는 일치 항목을 줄이기 위해 정보 보안 팀은 이미 승인된 IRM 예외가 있는 보안 제어 모니터링에서 해당 자산을 제외할 수 있습니다.