다음에 대한 보안 태세 통제 정책 복제(예)

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • 다른 정책의 조건을 복사하는 정책을 생성하는 방법의 예시입니다.

    시작하기 전에

    예제를 2에서 생성한 정책의 조건을 다시 입력할 필요가 없도록 조건을 복사하는 정책을 생성합니다. 이러한 조건을 복제하고 생성한 하위 정책의 복사본에 조건을 더 추가합니다. 이 예제에서는 이 정책에서 지난 7일 동안 표시되지 않은 IRM 예외가 있는 자산을 제외하고 Windows 10 CrowdStrike이 설치된 디바이스를 찾으려고 합니다.

    필요한 역할: SPC 관리자 그룹 또는 SPC 분석가 그룹

    프로시저

    1. 다음으로 이동 모두 > 보안 태세 통제 작업 공간 > 정책 및 결과.
    2. 활성 목록에서 하위 정책( Windows 두 번째 예에 대해 생성한 장치가 있는 CrowdStrike 장치)을 찾아 선택하여 기록을 엽니다.
    3. 추가 옵션 메뉴(세로 점 3개)를 선택하고 정책 복제를 선택합니다.
      새 탭이 열리고 제목에 '사본'이 있는 새 기록에 정책 이름이 표시됩니다: CrowdStrike 사본이 있는 Windows 장치.
    4. 왼쪽 상단에 있는 펜 아이콘을 선택하고 메타데이터 편집 모달에서 필드를 채웁니다.
      필드설명
      이름 입력, 복제된 정책 - Windows 10 CrowdStrike IRM 예외 7일 동안 표시되지 않음.
      중요도 심각을 선택합니다.
      간단한 설명 지난 7일 동안 표시되지 않은 CrowdStrike IRM 예외를 사용하여 Windows 10이 설치된 장치 찾기를 입력합니다.
    5. 메타데이터 저장을 선택합니다.
    6. 첫 번째 연결 및 엔터티 필드 오른쪽에서 새 필드에 대한 AND 연산자를 선택합니다.
      이렇게 하면 현재 Connection-Entity 기준과 다른 Connection–Entity의 새 기준 사이에 논리적 AND가 추가됩니다. 이 경우 지난 7일 동안 CrowdStrike에서 못한 자산에 대한 커넥터 데이터를 지정하려고 합니다.
    7. 연결에서 커넥터 데이터 포함을 선택합니다.
    8. [Entity]에서 [CrowdStrike: CrowdStrike Device Details]를 선택합니다.
      제출된 기준은 선택에 따라 자동으로 채워집니다.
    9. 속성에 대해 마지막으로 표시된 시간을 선택합니다.
    10. 값으로 이번 주를 선택합니다.
    11. 변경 사항 저장을 선택합니다.
    12. 정책 활성화를 선택합니다.
      정책 및 결과 모듈에서 언제든지 이러한 정책을 제거할 수 있습니다.