セキュリティポスチャコントロール のポリシー
ポリシーを用いることで、サービスグラフコネクタからのインポートデータに基づいて資産を監査し、潜在的な違反を見つけることができるようになります。
ポリシー
セキュリティポスチャコントロール ポリシーは、「資産 - 関係性 - プロパティ」のデータモデルに基づいてビルドされています。アプリケーションにはポリシーが含まれているので、独自のポリシーを作成して特定の基準を検索することができます。
ポリシー基準は、資産や関連するエンティティのプロパティ条件の形式で指定できます。ワークスペースの [ポリシーと結果] モジュールのポリシービルダーから、ポリシーを定義して資産タイプ (ハードウェア、ソフトウェア)、接続 (レポートがあるもの、レポートがないもの)、エンティティ (資産ソース、サービスグラフコネクタ製品、CMDB メタデータ) を検索したり、他のタイプの特定の基準を照合したりすることができます。
- [資産検索] モジュールに条件を設定し、資産を特定のサービスグラフコネクタ製品で検索、またはレポートされている特定のデータを有する資産をコネクタで検索。検索はポリシーとして保存することができます。
- アプリケーションに含まれているポリシーをクローン作成して、より広範なポリシーを作成。既存ポリシーの条件をコピーして改良するだけで、再入力する必要はありません。
- 新しいポリシーの足掛かりとして選択した基本ポリシーを使用して、新しいポリシー (子ポリシー) を作成。
資産タイプとポリシー
これらのプライマリまたはトップレベルの資産タイプを、ポリシー定義の足掛かりとして使用します。
- ハードウェア資産
- ハードウェア資産とは、パーソナルコンピューティングデバイス、サーバー、ネットワークデバイス、クラウド仮想マシン、その他のハードウェアなどのあらゆるデバイスを示す抽象概念を指します。ポリシーでは、サービスグラフコネクタ製品およびソフトウェア資産管理 (SAM) や ITOM Discovery などの ServiceNow® 製品からのインポートデータに基づいて、資産の潜在的な違反を監査します。
- ソフトウェア資産
- ソフトウェア資産を使用すると、サービスグラフコネクタからのインポートデータによってレポートされたインストール済みソフトウェア、脆弱性スキャナー製品、スキャナーよりレポートされたソフトウェア (ソフトウェア資産管理 (SAM) などの ServiceNow 製品で既に構成済み) の間に存在する不一致を検索することができます。
| エンティティ | 関係 | ターゲットエンティティ | 説明 |
|---|---|---|---|
| ハードウェア資産 | 報告者 | 資産ソース | この資産を CMDB に報告したソースを表します。 |
| ハードウェア資産 | 報告者のみ | 資産ソース | この資産を CMDB に報告する唯一のソースを表します。 |
| ハードウェア資産 | 次を報告元としない | 資産ソース | この資産を CMDB に報告しなかったソースを表します。 |
| ハードウェア資産 | IRM 例外あり | IRM 例外 | Integrated Risk Management の例外レコードを表します。 |
| ハードウェア資産 | 脆弱性あり | 脆弱性 | この資産で見つかった脆弱性を表します。 |
| ハードウェア資産 | 構成結果あり | 構成 | この資産で見つかった構成とコンプライアンスの問題を表します。 |
| ハードウェア資産 | CMDB メタデータあり | CMDB メタデータ | この資産の CMDB CI プロパティのコレクションを表します。 |
| ハードウェア資産 | コネクタデータあり | サービスグラフコネクタ | この資産に対して選択したサービスグラフコネクタによって報告されるプロパティのコレクションを表します。 |
| ハードウェア資産 | 集計データあり | 集計データ | 特定の資産についてさまざまなソースから報告された集計値を含むプロパティのコレクション。たとえば、OS です。 |
| ハードウェア資産 | CI クラスから | CMDB CI クラス | 特定の CI クラスプロパティの条件を定義するために使用されます。 |
| ハードウェア資産 | クラウドメタデータあり | クラウドメタデータ | クラウドメタデータを表します (クラウド VM に適用)。 |
| ハードウェア資産 | インターネットに開かれているポートがある | OpenPort | インターネットに対してオープンなポートを表します (クラウド VM に適用)。 |
| ソフトウェア | 報告者 | 資産ソース | このソフトウェアを報告したソースを表します。 |
| ソフトウェア | 報告者のみ | 資産ソース | このソフトウェアを報告する唯一のソースを表します。 |
| ソフトウェア | 次を報告元としない | 資産ソース | このソフトウェアを報告しなかったソースを表します。 |
| ソフトウェア | ソフトウェア詳細情報あり | ソフトウェア | たとえば、パブリッシャーやバージョンなどのソフトウェアプロパティのコレクションを表します。 |
ポリシー監査とデータ入力の例:CMDB の CI クラス
ポリシーが、特定のサービスグラフコネクタによって報告されたまたは報告されなかった資産クラスを取得しようとすると、セキュリティポスチャコントロールは、サービスグラフコネクタやコネクタカテゴリによって入力されているまたは入力されていない CMDB 内の資産クラスに関連するすべての関連構成アイテム (CI) クラスをマップします。
たとえば、ポリシーがサービスグラフコネクタ Jamf Pro によって報告されるすべてのハードウェア資産を検索するとします。次のロジックが適用されます。
- セキュリティポスチャコントロールは、Jamf Pro の「ハードウェア資産」クラスにマッピングされている CMDB 内の CI クラスを特定します。注:サービスグラフコネクタが異なれば CMDB で入力される CI クラスも異なり、「ハードウェア資産」から CI クラスへのマッピングはサービスグラフコネクタごとに異なります。
- セキュリティポスチャコントロール により、CMDB 内の CI クラス、コンピューター、サーバー、およびプリンターが、サービスグラフコネクタ Jamf Pro の「ハードウェア資産」資産クラスにマッピングされていることが確認されます。
- 次に、セキュリティポスチャコントロールは、CMDB 内でサービスグラフコネクタ Jamf Pro によってサーバー、コンピューター、プリンターの 3 つの CI クラスのいずれかに入力された資産レコードを照会し、それらの資産を返します。
次のテーブルの [SPC でサポートされている CI クラス (CI classes supported by SPC)] 列は、ポリシー評価の一環として、セキュリティポスチャコントロール製品による照会中に考慮される CI レコードのクラスを示します。このテーブルは包括的なリストではありませんが、さまざまなカテゴリやソースから取り込まれたデータが一般的にどのようにマッピングされ、照会されるかを確認するために使用できます。
独自のポリシーの作成
独自のポリシーを作成する方法について、詳しくは「セキュリティポスチャコントロール アプリケーションで独自のポリシーを作成」を参照してください。
ポリシーの例については、「セキュリティポスチャコントロール における基本ポリシー、子ポリシー、クローンポリシーの例」を参照してください。
ポリシーの作成に必要な手順の詳細については、「セキュリティポスチャコントロール のカスタムポリシーを作成してアクティブ化」を参照してください。
サポートされている SGC
サポートされているサービスグラフコネクタのリストについては、セキュリティポスチャコントロールでサポートされているハードウェアサービスグラフコネクタ および セキュリティポスチャコントロールでサポートされているソフトウェアサービスグラフコネクタ を参照してください。
緩和コントロールポリシー
セキュリティポスチャコントロール (SPC) ワークスペース内から、さまざまなセキュリティツールの構成方法に基づいて、利用可能な緩和コントロールによって資産に対するどの脅威が軽減されるかを把握できます。詳細については、「の緩和コントロールとポリシー セキュリティポスチャコントロール」を参照してください。