다른 정책의 조건을 복사하는 정책을 생성하는 방법의 예시입니다.
시작하기 전에
예제를 2에서 생성한 정책의 조건을 다시 입력할 필요가 없도록 조건을 복사하는 정책을 생성합니다. 이러한 조건을 복제하고 생성한 하위 정책의 복사본에 조건을 더 추가합니다. 이 예제에서는 이 정책에서 지난 7일 동안 표시되지 않은 IRM 예외가 있는 자산을 제외하고 Windows 10 CrowdStrike이 설치된 디바이스를 찾으려고 합니다.
필요한 역할: SPC 관리자 그룹 또는 SPC 분석가 그룹
프로시저
-
다음으로 이동 .
-
활성 목록에서 하위 정책( Windows 두 번째 예에 대해 생성한 장치가 있는 CrowdStrike 장치)을 찾아 선택하여 기록을 엽니다.
-
추가 옵션 메뉴(세로 점 3개)를 선택하고 정책 복제를 선택합니다.
새 탭이 열리고 제목에 '사본'이 있는 새 기록에 정책 이름이 표시됩니다: CrowdStrike 사본이 있는 Windows 장치.
-
왼쪽 상단에 있는 펜 아이콘을 선택하고 메타데이터 편집 모달에서 필드를 채웁니다.
| 필드 | 설명 |
|---|
| 이름 |
입력, 복제된 정책 - Windows 10 CrowdStrike IRM 예외 7일 동안 표시되지 않음. |
| 중요도 |
심각을 선택합니다. |
| 간단한 설명 |
지난 7일 동안 표시되지 않은 CrowdStrike IRM 예외를 사용하여 Windows 10이 설치된 장치 찾기를 입력합니다. |
-
메타데이터 저장을 선택합니다.
-
첫 번째 연결 및 엔터티 필드 오른쪽에서 새 필드에 대한 AND 연산자를 선택합니다.
이렇게 하면 현재 Connection-Entity 기준과 다른 Connection–Entity의 새 기준 사이에 논리적 AND가 추가됩니다. 이 경우 지난 7일 동안 CrowdStrike에서 못한 자산에 대한 커넥터 데이터를 지정하려고 합니다.
-
연결에서 커넥터 데이터 포함을 선택합니다.
-
[Entity]에서 [CrowdStrike: CrowdStrike Device Details]를 선택합니다.
제출된 기준은 선택에 따라 자동으로 채워집니다.
-
속성에 대해 마지막으로 표시된 시간을 선택합니다.
-
값으로 이번 주를 선택합니다.
-
변경 사항 저장을 선택합니다.
-
정책 활성화를 선택합니다.
정책 및 결과 모듈에서 언제든지 이러한 정책을 제거할 수 있습니다.