다른 정책에서 조건을 복사하는 정책을 만드는 방법의 예입니다.
시작하기 전에
예제 2에서 만든 정책에서 조건을 복사하는 정책을 생성하므로 조건을 다시 입력할 필요가 없습니다. 이러한 조건을 복제하고 생성한 하위 정책의 사본에 더 많은 조건을 추가합니다. 이 예에서는 이 정책이 Windows 10 장치를 CrowdStrike찾고 지난 7일 동안 표시되지 않은 IRM 예외가 있는 자산을 제외하려고 합니다.
필요한 역할: SPC 관리자 그룹 또는 SPC 분석가 그룹
프로시저
-
다음으로 이동 .
-
활성 목록에서 두 번째 예로 생성한 CrowdStrike 하위 정책- Windows 장치를 찾아 선택하여 기록을 엽니다.
-
추가 옵션 메뉴(세로 점 3개)를 선택하고 정책 복제를 선택합니다.
새 탭이 열리고 제목에 'copy'가 포함된 새 기록에 정책 이름(CrowdStrike-copy가 있는 Windows 장치)이 표시됩니다.
-
왼쪽 상단에서 펜 아이콘을 선택하고 메타데이터 편집 모달에서 필드를 채웁니다.
| 필드 | 설명 |
|---|
| 이름 |
입력, 복제된 정책 - Windows 10 CrowdStrike IRM 예외가 표시되지 않음 7일. |
| 중요도 |
심각을 선택합니다. |
| 간단한 설명 |
Locate devices with Windows 10 with CrowdStrike IRM exceptions not seen last 7 days.(지난 7일 동안 CrowdStrike IRM 예외가 표시되지 않은 Windows 10이 설치된 장치 찾기)를 입력합니다. |
-
메타데이터 저장을 선택합니다.
-
첫 번째 연결 및 엔터티 필드 오른쪽에서 새 필드의 AND 연산자를 선택합니다.
이렇게 하면 현재 연결-엔터티 기준과 다른 연결-엔터티의 새 기준 사이에 논리적 AND가 추가됩니다. 이 경우 지난 7일 동안 CrowdStrike에 표시되지 않은 자산에 대한 커넥터 데이터를 지정하려고 합니다.
-
[연결 ]에서 [커넥터 데이터 사용]을 선택합니다.
-
[Entity]에서 [CrowdStrike: CrowdStrike Device Details]를 선택합니다.
선택한 항목에 따라 작성된 기준이 자동으로 채워집니다.
-
속성에서 마지막으로 본 시간을 선택합니다.
-
Value(값)에서 This week(이번 주)를 선택합니다.
-
변경 사항 저장을 선택합니다.
-
정책 활성화를 선택합니다.
정책 및 결과 모듈에서 언제든지 이러한 정책을 제거할 수 있습니다.