보안 태세 통제에 대한 정책
정책은 서비스 그래프 커넥터에서 임포트한 데이터를 기반으로 자산을 감사하여 잠재적인 위반을 찾는 데 도움을 줍니다.
정책
보안 태세 통제 정책은 자산-관계-속성 데이터 모델을 기반으로 합니다. 애플리케이션에 포함된 정책이 있으며 특정 기준을 찾기 위해 고유한 정책을 만들 수 있습니다.
정책의 기준은 해당 자산의 속성 또는 관련 엔터티의 속성에 대한 조건의 형태로 지정할 수 있습니다. 작업 공간의 정책 및 결과 모듈에 있는 정책 작성기에서 자산 유형(하드웨어, 소프트웨어) 및 연결(보고자, 보고되지 않음) 또는 엔터티(자산 소스, 서비스 그래프 커넥터 제품 또는 CMDB 메타데이터)를 찾는 정책을 정의하거나 다른 유형의 특정 기준을 일치시킬 수 있습니다.
- 자산 검색 모듈에서 조건을 설정하고 특정 서비스 그래프 커넥터 제품별 자산 또는 커넥터에서 보고한 특정 데이터가 있는 자산을 검색합니다. 검색을 정책으로 저장할 수 있습니다.
- 애플리케이션에 포함된 정책을 복제하여 더 광범위한 정책을 만듭니다. 기존 정책의 조건을 복사한 다음 다시 입력할 필요 없이 구체화할 수 있습니다.
- 새 정책의 시작점으로 선택한 기본 정책을 사용하여 새 정책(하위 정책)을 생성합니다.
자산 유형 및 정책
이러한 기본 또는 최상위 자산 유형을 정책 정의의 시작점으로 사용합니다.
- 하드웨어 자산
- 하드웨어 자산은 개인용 컴퓨팅 장치, 서버, 네트워크 장치, 클라우드 가상 머신 및 기타 하드웨어를 포함하는 모든 장치를 나타내는 추상화입니다. 정책은 소프트웨어 자산 관리(SAM) 및 ITOM 디스커버리와 같은 서비스 그래프 커넥터 제품 및 ServiceNow® 제품에서 임포트한 데이터를 기반으로 잠재적 위반에 대해 자산을 감사합니다.
- 소프트웨어 자산
- 소프트웨어 자산을 사용하면 서비스 그래프 커넥터에서 임포트한 데이터에서 보고한 설치된 소프트웨어, 취약성 스캐너 제품, Software Asset Management(SAM) 및 기타 ServiceNow 제품에서 이미 고려된 스캐너에서 보고한 소프트웨어 간에 존재하는 불일치를 찾을 수 있습니다.
| 엔터티 | 관계 | 대상 엔터티 | 설명 |
|---|---|---|---|
| 하드웨어 자산 | 보고자 | 자산 소스 | 이 자산을 CMDB에 보고한 소스를 나타냅니다. |
| 하드웨어 자산 | 보고자 전용 | 자산 소스 | 이 자산을 CMDB에 보고하는 유일한 소스를 나타냅니다. |
| 하드웨어 자산 | 에 의해 보고되지 않음 | 자산 소스 | 이 자산을 CMDB에 보고하지 않은 소스를 나타냅니다. |
| 하드웨어 자산 | IRM 예외 포함 | IRM 예외 | 통합 위험 관리의 예외 기록을 나타냅니다. |
| 하드웨어 자산 | 취약성 사용 | 취약성 | 이 자산에서 발견된 취약성을 나타냅니다. |
| 하드웨어 자산 | 구성 찾기 있음 | 구성 | 이 자산에서 발견된 구성 및 준수 문제를 나타냅니다. |
| 하드웨어 자산 | CMDB 메타데이터 포함 | CMDB 메타데이터 | 이 자산에 대한 CMDB CI 속성의 컬렉션을 나타냅니다. |
| 하드웨어 자산 | 커넥터 데이터 포함 | 서비스 그래프 커넥터 | 이 자산에 대해 선택한 서비스 그래프 커넥터에서 보고한 속성 컬렉션을 나타냅니다. |
| 하드웨어 자산 | 집계된 데이터 포함 | 집계된 데이터 | 지정된 자산에 대해 여러 소스에서 보고한 집계 값이 있는 속성 컬렉션입니다. OS를 예로 들 수 있습니다. |
| 하드웨어 자산 | CI 클래스에서 | CMDB CI 클래스 | 특정 CI 클래스 속성에 대한 조건을 정의하는 데 사용됩니다. |
| 하드웨어 자산 | 클라우드 메타데이터 있음 | 클라우드 메타데이터 | 클라우드 메타데이터를 나타냅니다(클라우드 VM에 적용 가능). |
| 하드웨어 자산 | 인터넷에 노출된 포트가 있음 | Open포트 | 인터넷에 개방된 포트를 나타냅니다(클라우드 VM에 적용 가능). |
| 소프트웨어 | 보고자 | 자산 소스 | 이 소프트웨어를 보고한 소스를 나타냅니다. |
| 소프트웨어 | 보고자 전용 | 자산 소스 | 이 소프트웨어를 보고하는 유일한 소스를 나타냅니다. |
| 소프트웨어 | 에 의해 보고되지 않음 | 자산 소스 | 이 소프트웨어를 보고하지 않은 소스를 나타냅니다. |
| 소프트웨어 | 소프트웨어 세부 정보 포함 | 소프트웨어 | 예를 들어, 게시자 및 버전과 같은 소프트웨어 속성의 컬렉션을 나타냅니다. |
정책 감사 및 데이터 채움의 예: CMDB의 CI 클래스
정책이 특정 서비스 그래프 커넥터에 의해 보고되거나 보고되지 않은 자산 클래스를 검색하려고 시도하는 경우 보안 태세 통제는 CMDB에서 해당 서비스 그래프 커넥터 또는 커넥터 범주에 의해 채워지거나 채워지지 않은 해당 자산 클래스와 관련된 모든 관련 CI(구성 항목) 클래스를 매핑합니다.
예를 들어 정책이 서비스 그래프 커넥터 Jamf Pro에서 보고하는 모든 하드웨어 자산을 찾는다고 가정해 보겠습니다. 다음 논리가 적용됩니다.
- 보안 태세 통제는 Jamf Pro의 "하드웨어 자산" 클래스에 매핑되는 CMDB의 CI 클래스를 식별합니다.주:다양한 서비스 그래프 커넥터는 CMDB의 서로 다른 CI 클래스를 채우며, '하드웨어 자산'에서 CI 클래스로의 매핑은 서비스 그래프 커넥터마다 다릅니다.
- 보안 태세 통제 CMDB의 CI 클래스, 컴퓨터, 서버 및 프린터가 서비스 그래프 커넥터 Jamf Pro의 "하드웨어 자산" 자산 클래스에 매핑되는지 확인합니다.
- 보안 태세 통제 그런 다음 CMDB의 Jamf Pro 서비스 그래프 커넥터로 서버, 컴퓨터 및 프린터의 세 가지 CI 클래스에 채워진 자산 기록을 쿼리하고 해당 자산을 반환합니다.
다음 테이블의 'SPC에서 지원하는 CI 클래스' 열은 정책 평가의 일부로 보안 태세 통제 제품에서 쿼리하는 동안 고려하는 CI 기록 클래스를 나타냅니다. 이 테이블은 포괄적인 목록은 아니지만 이 테이블을 사용하여 다양한 범주 및 소스에서 수집된 데이터가 일반적으로 매핑되고 쿼리되는 방식을 확인할 수 있습니다.
애플리케이션에 포함된 정책
애플리케이션에 포함된 작업 공간에서 자산 프로파일 및 정책을 보안 태세 통제 활성화하여 보안 도구의 구성 또는 범위에 격차를 식별할 수 있습니다.
사용자 지정 정책 만들기
사용자 고유의 정책을 만드는 방법에 대한 자세한 내용은 을 참조하십시오 애플리케이션에서 고유한 정책 보안 태세 통제 생성 .
정책의 예는 다음 문서를 참조하십시오 에 대한 기본, 하위 및 복제된 정책의 예 보안 태세 통제.
정책을 만드는 데 필요한 단계에 대한 자세한 내용은 을 참조하십시오 에 대한 사용자 지정 정책 생성 및 활성화 보안 태세 통제 .
지원되는 SGC
지원되는 일부 서비스 그래프 커넥터의 목록은 해당 에 지원되는 소프트웨어 서비스 그래프 커넥터 보안 태세 통제문서를 에 지원되는 하드웨어 서비스 그래프 커넥터 보안 태세 통제 참조하십시오.
완화 통제 정책
(SPC) 작업 공간 내에서 보안 태세 통제 다양한 보안 도구가 구성된 방식에 따라 사용 가능한 완화 제어를 통해 자산에 대한 위협이 완화되는지에 대한 인사이트를 얻을 수 있습니다. 자세한 내용은 완화 통제 정책 문서를 참조하십시오.