別のポリシーから条件をコピーするポリシーを作成する方法の例。
始める前に
例 2 で作成したポリシーから条件をコピーしてポリシーを作成し、再入力しなくて済むようにします。これらの条件のクローンを作成し、作成した子ポリシーのコピーにさらに条件を追加します。この例では、このポリシーで CrowdStrike を搭載した Windows 10 デバイスを検索し、過去 7 日間に確認されていない IRM 例外のある資産を除外します。
必要なロール:SPC アドミングループまたは SPC アナリストグループ
手順
-
次のように移動する。 .
-
[アクティブ] リストから、2 番目の例で作成した子ポリシー - CrowdStrike を搭載した Windows デバイスを見つけ、それを選択してレコードを開きます。
-
その他のオプションメニュー (縦に並んだ 3 つのドット) を選択し、[ポリシーのクローン作成 (Clone policy)] を選択します。
新しいタブが開き、タイトルに「copy」が含まれる新しいレコードにポリシー名 (CrowdStrike を搭載した Windows デバイス-copy) が表示されます。
-
左上のペンアイコンを選択し、[メタデータを編集] モーダルでフィールドに入力します。
| フィールド | 説明 |
|---|
| 名前 |
「Cloned policy - Windows 10 CrowdStrike IRM exceptions not seen 7 days.」と入力します。 |
| 重要度 |
[重大] を選択します。 |
| 簡単な説明 |
「Locate devices with Windows 10 with CrowdStrike IRM exceptions not seen last 7 days.」と入力します。 |
-
[メタデータを保存 (Save Metadata)] を選択します。
-
最初の [接続] フィールドと [エンティティ] フィールドの右側で、新しいフィールドの [AND] 演算子を選択します。
これにより、論理 AND が「接続 - エンティティ」の基準と、別の「接続 - エンティティ」の新たな基準の間に追加されます。この場合、「過去 7 日間に CrowdStrike によって認識されなかった資産のコネクタデータ」を指定します。
-
[接続] で [コネクタデータあり (With connector data)] を選択します。
-
[エンティティ] で [CrowdStrike:CrowdStrike デバイスの詳細 (CrowdStrike: CrowdStrike Device Details)] を選択します。
この基準フィールドは、選択内容に基づいて自動的に入力されます。
-
[プロパティ] で [最終確認時間] を選択します。
-
[値] で [今週] を選択します。
-
[変更内容を保存] を選択します。
-
[ポリシーのアクティブ化] を選択します。
これらのポリシーは、[ポリシーと結果 (Policies and Findings)] モジュールからいつでも削除できます。