基本ポリシーの条件を使用して子ポリシーを作成する方法の例。
始める前に
この子ポリシーは基本ポリシーの条件を継承し、子ポリシーにさらに条件を追加して、より具体的な資産の詳細に集中できるようにします。CrowdStrike サービスグラフコネクタによって報告される Windows 10 がインストールされているすべてのデバイスを監視する新しいポリシーが必要であり、別のポリシーに一致するデバイスを除外します。この例では、Integrated Risk Management (IRM) の例外に対して承認された資産を結果から除外します。
注: CrowdStrike サービスグラフコネクタがインストールされていない場合は、インストールされているものを使用できます。
必要なロール:SPC アドミングループまたは SPC アナリストグループ
手順
-
移動先 .
-
[アクティブ] リストから、最初の例で作成した [基本ポリシー - Windows 10 デバイス] を見つけて選択し、レコードを開きます。
-
その他のオプションメニュー (縦に並んだ 3 つのドット) を選択し、[子ポリシーを作成 (Create child policy)] を選択します。
新しいタブが開き、新しいレコードと [基本ポリシー - Windows 10 デバイス] が [基本ポリシー (Base policy)] フィールドに表示されます。
-
左上のペンアイコンを選択し、[メタデータを編集] モーダルでフィールドに入力します。
| フィールド | 説明 |
|---|
| 名前 |
「Child policy- Windows devices with CrowdStrike」と入力します。 |
| 重要度 |
[中 (Medium)] を選択します。 |
| 簡単な説明 |
「Locate all devices with Windows 10 reported by CrowdStrike」と入力します。 |
-
[メタデータを保存 (Save Metadata)] を選択します。
-
条件ビルダーで、[資産タイプ] として [ハードウェア資産] を選択します。
-
[基本ポリシー (Base policy)] トグルを選択します。
-
例 1 の [基本ポリシー - Windows 10 デバイス ] で作成したポリシーをリストから選択します。
この子ポリシーは、基本ポリシーの条件を自動的に継承します。
-
[除外ポリシー] トグルを選択します。
-
リストから [IRM 例外が承認された資産 (Assets with IRM exception approved)] を選択します。
注: このポリシーがない場合は、このポリシーから除外する別のポリシーをリストから選択できます。
このポリシーに一致する資産は、子ポリシーから除外されます。さらにポリシーを追加できることに注意してください。
-
[報告者] を選択します。
-
リストから [CrowdStrike] を選択します。
-
[変更内容を保存] を選択します。
新しいポリシーは [ポリシーと結果 (Policies and findings)] モジュールの [すべて] リストに表示されますが、アクティブ化されていません。
-
[ポリシーのアクティブ化] を選択すると、基本ポリシーでポリシーの条件に一致する資産が監視され、結果が生成されます。