Politiques pour le contrôle de la posture de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 8 minutes de lecture

    • Chaque cas d’utilisation dépend d’une ou de plusieurs politiques qui auditent vos actifs pour identifier les violations potentielles.

    Vue d'ensemble

    Les politiques de contrôle de la posture de sécurité reposent sur un modèle de données entité-relations-propriétés. Vous pouvez définir des politiques pour rechercher une entité ou un actif correspondant à un critère spécifique. Le critère peut être spécifié sous la forme de conditions sur les propriétés de cette entité ou sur les propriétés d’une entité connexe.

    Actuellement, les entités ou les types d’actifs primaires ou de niveau supérieur suivants peuvent être utilisés comme point de départ pour définir les politiques. Il existe d’autres entités prises en charge dans le schéma de politique de Contrôle de la posture de sécurité, telles que « Vulnérabilité » ou « Métadonnées », mais ces entités ne peuvent pas être le point de départ. Vous pouvez accéder à ces entités secondaires à l’aide d’une relation à partir des entités primaires ou de leurs entités connexes.

    Entités primaires :

    • Actif matériel
    • Ordinateur virtuel dans le cloud
    Tableau 1. Entités et leurs relations avec les entités secondaires
    Entité Relation Entité cible Description
    Actif matériel À partir de la classe CI Champs CMDB Représente les classes par défaut dans la CMDB ou vos classes CI personnalisées dans la CMDB.
    Actif matériel Signalé par le connecteur Connecteur Représente un Connecteur du graphe de services qui a signalé ou n’a pas signalé cette entité.
    Actif matériel Non signalé par Connecteur Représente un Connecteur du graphe de services qui a signalé ou n’a pas signalé cette entité.
    Actif matériel Avec les données du connecteur Détails relatif au connecteur Représente toutes les propriétés disponibles sur cet actif qui sont spécifiques à Service Graph Connector.
    Actif matériel Avec métadonnées CMDB CMDBMetadata Représente la collection des propriétés de CI CMDB sur cet actif.
    Actif matériel Avec vulnérabilité Enregistrement de vulnérabilité Représente un élément vulnérable présent sur cet actif.
    Ordinateur virtuel dans le cloud
    Ordinateur virtuel dans le cloud À partir de la classe CI Champs CMDB Représente les classes par défaut dans la CMDB ou vos classes CI personnalisées dans la CMDB.
    Ordinateur virtuel dans le cloud Signalé par Connecteur Représente un Connecteur du graphe de services qui a signalé cet actif dans le cloud.
    Ordinateur virtuel dans le cloud Non signalé par Connecteur Représente un Connecteur du graphe de services qui n’a pas signalé cet actif dans le cloud.
    Ordinateur virtuel dans le cloud Avec les données du connecteur Connecteur Représente toutes les propriétés disponibles sur cet actif dans le cloud qui sont spécifiques à un connecteur du graphe de services.
    Ordinateur virtuel dans le cloud Avec métadonnées CMDB Métadonnées CMDB Représente la collection de propriétés de CI CMDB sur cet actif dans le cloud.
    Ordinateur virtuel dans le cloud Avec vulnérabilité Enregistrement de vulnérabilité Représente un élément vulnérable présent sur cet actif dans le cloud.
    Ordinateur virtuel dans le cloud Possède des métadonnées dans le cloud Métadonnées dans le cloud Représente la collection de propriétés dans le cloud sur cet actif dans le cloud.
    Ordinateur virtuel dans le cloud A un port exposé à Internet Ouvrir le port Représente un port ouvert sur Internet sur cet actif dans le cloud.
    Tableau 2. Toutes les entités et propriétés prises en charge sur ces entités
    Entité Propriétés
    Actif matériel Aucun
    Ordinateur virtuel dans le cloud
    • ID de compte cloud
    • Région du cloud
    • Fournisseur dans le cloud
    Ordinateur virtuel dans le cloud : Connecteur du graphe de services
    • Catégorie : catégorie ou type de Connecteur du graphe de services, par exemple, protection du point de terminaison.
    • Nom du produit : nom du produit qui signale des actifs via Connecteur du graphe de services.
    Ordinateur virtuel dans le cloud : données du connecteur Détails spécifiques aux catégories et types de connecteurs, par exemple, détails du logiciel, détails des actifs, détails de l’interface réseau
    Métadonnées CMDB : connexion
    • Contient des informations sur le modèle : nom du modèle, nom d’affichage, fabricant.
    • Avec le logiciel installé : chaîne de désinstallation, version, nom.
    Métadonnées CMDB : propriété Propriétés dans le cloud telles que le nom d’hôte, le numéro de série, le domaine SE.
    Métadonnées dans le cloud
    • Cloud : région
    • Internet - exposition
    • Cloud : fournisseur
    • Dans le cloud : account : id
    Vulnérabilité
    • HAS-exploit
    • Gravité
    • ID CVE
    Ouvrir le port
    • Port (port ouvert, par exemple, 22).
    • Protocole (par exemple, TCP).

    Politiques incluses avec l’application

    Il existe quelques politiques incluses dans l’application Contrôle de la posture de sécurité, liées à des cas d’utilisation importants et finalement affichées comme des aperçus clés dans le tableau de bord de la page de destination (module d’accueil) de l’espace de travail SPC. Pour afficher ces politiques, accédez à Espaces de travail > Contrôle de la posture de sécurité > Liste > Tous.

    Ces politiques ne peuvent pas être modifiées. Toutefois, vous pouvez modifier les métadonnées. Vous pouvez cloner ces politiques pour créer vos propres politiques personnalisées, mais notez que les politiques que vous clonez ne sont pas reflétées comme des aperçus clés dans le tableau de bord de la page de destination de l’accueil avec les autres aperçus clés.

    Une fois que vous avez cloné et activé les politiques que vous avez créées, vous créez votre propre enregistrement d’aperçu personnalisé sur le module Générateur d’aperçu personnalisé de l’espace de travail (le dernier module du panneau du navigateur) et affichez les données sur le tableau de bord Aperçus personnalisés (la deuxième icône en partant du haut dans l’espace de travail).

    L’image suivante vous montre qu’une politique est incluse dans le produit et qu’elle recherche des actifs sans protection de point de terminaison. Les conditions de cette politique recherchent les actifs qui ne sont pas signalés par Connecteur du graphe de services de la catégorie « Protection du point de terminaison » et qui sont signalés par les Connecteurs du graphe de services dans l’une des catégories : Mise en réseau, Surveillance de l’infrastructure ou Fournisseur dans le cloud.

    Exemple de politique avec conditions

    Création de vos propres politiques

    Vous pouvez créer vos propres politiques pour surveiller vos actifs. Ces politiques sont basées sur les données des différents Connecteurs du graphe de services que vous avez installés et activés qui incluent des métadonnées spécifiques au connecteur pour les actifs tels que :
    • Version de l’agent CrowdStrike
    • Exposé à Internet
    • Vulnérabilités critiques

    Vous pouvez soit cloner une politique existante et y ajouter des conditions, soit créer une politique à partir de zéro. Pour vos politiques personnalisées, vous pouvez inclure des conditions pour les métadonnées telles que le système d’exploitation, la version du système d’exploitation et le nom de domaine complet, par exemple pour vous aider à surveiller les actifs avec des logiciels plus anciens. Notez que ces propriétés sont des propriétés CMDB communes renseignées par divers connecteurs du graphe de services pour un actif donné.

    Vous pouvez également ajouter une condition pour les exceptions approuvées avec l’application Governance, Risk, and Compliance (GRC) que vous ne souhaitez pas surveiller et inclure dans vos nombres d’actifs.

    Politiques de base et politiques enfants

    Vous pouvez utiliser plusieurs politiques pour évaluer vos actifs et créer vos propres aperçus personnalisés. Vous pouvez utiliser plusieurs politiques si vous souhaitez réduire le nombre d’actifs correspondants à partir d’un échantillon volumineux, ou vous concentrer sur plusieurs conditions de correspondance. Par exemple, supposons que vous souhaitiez créer un tableau comparatif qui vous indique combien de vos actifs totaux, sur site et dans le cloud, n’ont pas été analysés pour détecter les vulnérabilités.

    Vous pouvez également créer des politiques enfants à partir de n’importe quel enregistrement de politique pour vous aider à affiner davantage vos critères de recherche et à renvoyer des correspondances plus spécifiques. Toutes les conditions de la politique de base sont également héritées dans la politique enfant.

    Si vous ajoutez plusieurs politiques :

    • Le niveau 1 est la base. Cette politique interroge une taille d’échantillon étendue dans (N), par exemple, tous vos actifs dans votre Active Directory signalés par le connecteur du graphe de services Active Directory.
    • Le niveau 2 évalue les résultats de la première politique. Cette politique évalue uniquement un sous-ensemble de (N). Par exemple, à partir de tous les actifs de votre Active Directory, renvoyez uniquement les actifs avec des outils d’évaluation de vulnérabilité qui ne sont pas analysés pour détecter les vulnérabilités.
    • Le niveau 3 évalue les résultats des politiques 1 et 2, et ainsi de suite. Par exemple, à partir de toutes les ressources de votre Active Directory avec des outils d’évaluation de vulnérabilité qui ne sont pas analysés pour détecter les vulnérabilités, renvoyez uniquement les agents de protection de point de terminaison manquants.
    • Remarque : Vous pouvez avoir plusieurs politiques dans une hiérarchie. Grâce à la hiérarchie, vous pouvez afficher les différentes classifications de la façon dont vos actifs correspondent à chaque niveau de la hiérarchie.

    Pour créer une politique enfant, dans un enregistrement de politique, sélectionnez Nouvelle politique et définissez les conditions souhaitées. Vous pouvez utiliser les conditions d’une politique existante comme point de départ et exclure les résultats des politiques existantes et des exceptions approuvées. Consultez Créer, cloner et activer une politique pour le contrôle de la posture de sécurité pour plus d'informations.

    Lorsque vous sélectionnez des politiques pour des aperçus personnalisés, vous ne pouvez pas choisir une politique enfant du même niveau qu’une politique parente, sauf si vous modifiez la hiérarchie.

    Métadonnées et filtrage CMDB

    Il peut être important pour vos équipes de sécurité de surveiller les actifs avec des logiciels plus anciens. Vous pouvez spécifier des critères de politique pour inclure les propriétés communes répertoriées ci-dessous.
    • Systèmes d'exploitation
    • Version de SE
    • Nom d'hôte
    • FQDN
    • Adresse IP
    • Version IP
    • Masque réseau
    • Adresse MAC
    • Fabricant MAC
    • Logiciel
    • RAM
    • Numéro de série
    • Carte réseau
    • Type de numéro de série
    • Emplacement
    • Nombre de processeurs
    • Espace disque
    Remarque :
    Pour collecter ces métadonnées, les propriétés suivantes doivent être disponibles à partir de la connexion de métadonnées CMDB renseignée par vos connecteurs du graphe de services.

    Exceptions avec l’application Governance, Risk, and Compliance (GRC)

    Une exception de gestion intégrée des risques (IRM) est un actif avec une exception approuvée du produit Governance, Risk, and Compliance (GRC). Vous avez la possibilité, dans une politique, d’ajouter une condition pour une exception afin de ne pas surveiller ces actifs et de les inclure dans vos décomptes.

    Par exemple, certains actifs peuvent avoir des exceptions approuvées pour certains objectifs de contrôle avec IRM. Pour réduire vos correspondances renvoyées, les équipes de sécurité des informations peuvent souhaiter exclure ces actifs de la surveillance des contrôles de sécurité avec des exceptions IRM déjà approuvées.