Richtlinie klonen für Sicherheitsstatus-Überwachung (Beispiel)

  • Freigeben Version: Xanadu
  • Aktualisiert 28. August 2024
  • 1 Minute Lesedauer

    • Beispiel für das Erstellen einer Richtlinie, die die Bedingungen aus einer anderen Richtlinie kopiert.

    Vorbereitungen

    Erstellen Sie eine Richtlinie, die die Bedingungen aus der in Beispiel 2 erstellten Richtlinie kopiert, damit Sie sie nicht erneut eingeben müssen. Sie werden diese Bedingungen klonen und der Kopie der von Ihnen erstellten untergeordneten Richtlinie weitere Bedingungen hinzufügen. In diesem Beispiel soll diese Richtlinie nach Geräten mit Windows 10 mit CrowdStrikesuchen und Assets mit IRM-Ausnahmen ausschließen, die in den letzten 7 Tagen nicht erkannt wurden.

    Erforderliche Rolle: SPC-Administratorgruppe oder SPC-Analystengruppe

    Prozedur

    1. Navigieren zu Alle > Arbeitsbereich für Sicherheitsstatus-Überwachung > Richtlinien und Ergebnissean.
    2. Suchen Sie in der Liste Aktiv nach den untergeordneten Richtlinien – Windows -Geräte mit CrowdStrike, die Sie für das zweite Beispiel erstellt haben, und wählen Sie sie aus, um den Datensatz zu öffnen.
    3. Wählen Sie das Menü „Weitere Optionen“ (drei vertikale Punkte) und anschließend Richtlinie klonenaus.
      Eine neue Registerkarte wird geöffnet, und der Richtlinienname wird in einem neuen Datensatz mit „Kopie“ im Titel angezeigt: Windows-Geräte mit CrowdStrike-Kopie.
    4. Wählen Sie das Stiftsymbol oben links aus, und füllen Sie im modalen Fenster Metadaten bearbeiten die Felder aus.
      FeldBeschreibung
      Name Geben Sie Geklonte Richtlinie – Windows 10 CrowdStrike IRM-Ausnahmen 7 Tage nicht gesehen ein.
      Relevanz Wählen Sie Kritischaus.
      Kurzbeschreibung Geben Sie „Geräte mit Windows 10 mit CrowdStrike IRM-Ausnahmen, die in den letzten 7 Tagen nicht aufgetreten sind“ ein..
    5. Wählen Sie Metadaten speichern.
    6. Wählen Sie rechts neben den ersten Feldern Verbindung und Entität den AND- Operator für neue Felder.
      Dadurch wird ein logisches UND zwischen den aktuellen Kriterien der Verbindungsentität und neuen Kriterien aus einer anderen Verbindungsentität hinzugefügt. In diesem Fall möchten Sie Connector-Daten für Assets angeben, die in den letzten 7 Tagen nicht von CrowdStrike erkannt wurden.
    7. Wählen Sie für Verbindung die Option Mit Connector-Datenaus.
    8. Wählen Sie für Entität die Option CrowdStrike: CrowdStrike Device Details (CrowdStrike-Gerätedetails) aus.
      Die eingereichten Kriterien werden basierend auf Ihrer Auswahl automatisch ausgefüllt.
    9. Wählen Sie als Eigenschaft Zuletzt gesehenum aus.
    10. Wählen Sie als Wert Diese Wocheaus.
    11. Wählen Sie Änderungen speichern.
    12. Wählen Sie Richtlinie aktivieren.
      Sie können diese Richtlinien jederzeit aus dem Modul Richtlinien und Ergebnisse entfernen.