Ergebnisse für Security Posture Control konfigurieren und anzeigen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Sie können die Ergebnisse anzeigen, die durch die Auswertung von Richtlinien in Security Posture Control im Security Posture Control Workspace generiert wurden.

    Übersicht

    Alle übereinstimmenden Assets werden als „Ergebnisse“ gemeldet. Sie können Ergebnisse konfigurieren, die aus der Ausführung von Richtlinien generiert werden sollen, sodass diese Ergebnisse verschiedenen Teams zur Korrektur zugewiesen oder für die Berichterstellung verwendet werden können. Security Posture Control veröffentlicht diese Ergebnisse als „Testergebnisse“ im Configuration Compliance-Modul. Alle administrativen Steuerungen in der Anwendung „Configuration Compliance“, die sich auf Zuweisung und Gruppierung beziehen, d. h. Generierung von Korrekturaufgaben, Korrekturzielen und Ausnahmen, werden für Ergebnisse unterstützt, die von Security Posture Control generiert werden.

    Die Arten der Ergebnisse:

    Toolabdeckung
    Dieser Typ stellt eine Sicherheitstool-Abdeckungslücke dar. Dieser Ergebnistyp gilt für Richtlinien mit den Connector-Beziehungen „Gemeldet von“ und „Nicht gemeldet“.
    Internet-Gefahrenpotenzial
    Dieser Typ stellt die Internetgefährdung eines Cloud-Assets dar. Dieser Ergebnistyp gilt für Richtlinien, bei denen die Beziehung „Hat Port mit dem Internet verbunden“ auf virtuellen Cloud-Computern verwendet wird.
    Kombination mit hohem Risiko
    Dieser Typ stellt ein Problem dar, dem mehr als ein Risikofaktor zugeordnet ist, z. B. Assets mit kritischen Schwachstellen und ein fehlender Endpunktschutz-Agent.
    IRM-Ausnahme (Integrated Risk Management).
    Dieser Typ stellt ein Asset mit einer genehmigten Ausnahme vom Produkt Governance, Risk, and Compliance (GRC) dar. Wenn angegeben, werden diese Ausnahmen nicht in die Anzahl der Ergebnisse einbezogen.

    Sicherheitsstatusbezeichnungen werden generiert und an die Testergebnisse angehängt. Eine Bezeichnung eines geeigneten Typs, z. B. „Toolabdeckung“, wird Testergebnissen basierend auf dem Typ der Police automatisch zugewiesen.

    Durch die Verwendung von Sicherheitsstatusbezeichnungen, die den Ergebnissen zugeordnet sind, können Sie Zuweisungsregeln in Configuration Compliance schreiben, um diese Probleme zur Korrektur an die entsprechenden Teams weiterzuleiten. Sie können beispielsweise die Ergebnisse der Toolabdeckung an ein IT-Team und die Ergebnisse der Internetexposition an ein Anwendungsteam senden.

    Wenn jedoch einer der Korrekturbesitzer das Problem in einer Kombination behebt, wird die andere Suche automatisch geschlossen, da diese Ergebnisse aus einer Richtlinie generiert werden, die nach der Kombination sucht. Wenn das IT-Betriebsteam beispielsweise die Suche nach „Toolabdeckung“ durch Installation des Endpunktschutz-Agent schließt, wird die aus dieser Richtlinie generierte Suche nach „Gefahrenpotenzial des Internets“ automatisch geschlossen, obwohl das Asset mit dem Internet verbunden ist, da diese Suche aus generiert wird eine Richtlinie, die nach einer Kombination von Problemen sucht. Wenn Sie Probleme mit dem Internet-Gefahrenpotenzial für Assets nachverfolgen möchten, wird empfohlen, eine andere Richtlinie zu erstellen, die nur das Internet-Gefahrenpotenzial für die Assets ohne andere Risikofaktoren untersucht.

    Ort zum Anzeigen von Ergebnissen

    Sie haben diese Optionen, um die Ergebnisse anzuzeigen, die durch die Bewertung von Richtlinien generiert wurden.

    • Navigieren zu Security Posture Control Workspace > Lists > Ergebnisse > Alle.
    • Wählen Sie in einem Policendatensatz Ergebnisse anzeigenaus. Die Liste zeigt Gruppen von Ergebnissen an, die sie in allgemeine Kategorien wie „Kombination mit hohem Risiko“, „Gefahrenpotenzial im Internet“ usw. einordnen. Diese Gruppen sind jedoch keine formalen Gruppierungen, die zur Korrektur verwendet werden können. Sie müssen Korrektur- und Zuweisungsregeln in Configuration Compliance für Ergebnisse einrichten.
    • Wählen Sie in der Anwendung „Configuration Compliance“ Testergebnisse aus, und filtern Sie die Datensätze nach Quelle ist ServiceNow SPC.

    Das Dashboard

    Im Security Posture Control-Arbeitsbereich werden auf der Startseite (Zielseite) die folgenden Visualisierungen angezeigt:

    Übersicht
    • Assets: Anzahl der lokal und in der Cloud überwachten Assets.
    • Ergebnisse nach Relevanz: Anzahl der kritischen Ergebnisse aus Ihren Assets insgesamt.
    • Von Top-5-Quellen überwachte Assets: Top 5 der Service Graph Connectors, die über Assets berichten.
    • Cloud-Konten: Anzahl der von AWS und Azure überwachten Cloud-Konten.
    • Offene und geschlossene Ergebnisse: Vergleich von Datensätzen, die noch verarbeitet werden oder auf eine Lösung warten, und Datensätzen, die gelöst wurden.
    Wichtige Einblicke
    • Installierter Endpunktschutz-Agent: Gesamtzahl der Assets mit oder ohne Endpunktschutz.
    • Abdeckung verwalteter Geräte: Anzahl der verwalteten Assets im Vergleich zu nicht verwalteten Assets.
    • Abdeckung durch Schwachstellenscan: Gesamtzahl der gescannten Assets im Vergleich zu der Anzahl, die nicht von einem Drittanbieter-Schwachstellenscanner auf bekannte Schwachstellen gescannt werden.
    • Assets mit kritischen Schwachstellen: Anzahl der Assets aus der Gesamtzahl der Assets mit kritischen Schwachstellen.
    • Angreifbare Elemente nach Relevanz: Gesamtzahl der angreifbaren Elemente, aufgeschlüsselt nach ihrem Schweregrad. Eine bekannte Schwachstelle, die einem Asset in Ihrer CMDB entspricht, führt zu einem angreifbaren Element.
    • Top-3-Richtlinien nach Ergebnissen: Richtlinien, die die meisten Ergebnisse (Übereinstimmungen) für Ihre Assets zurückgeben.

    Abdeckung wichtiger Anwendungsfälle

    Wählen Sie einen Anwendungsfall aus, und wählen Sie Hilfe bei der Aktivierung oder Hilfe bei der Verbesserung, um anzuzeigen, welche Service Graph Connectors und Richtlinien für die wichtigsten Anwendungsfälle aktiviert werden sollen.