Erstellen, klonen und aktivieren Sie eine Richtlinie für Security Posture Control

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Erstellen Sie Ihre eigenen benutzerdefinierten Richtlinien, um Assets auf Toolabdeckung und andere Kombinationen mit hohem Risiko zu überwachen.

    Vorbereitungen

    Bevor Sie beginnen, lesen Sie den in Anwendungsfälle in Security Posture Control beschriebenen Anwendungsfall für die Erkennung von Assets mit Schwachstellen und Sicherheitstool-Abdeckungslücken, um sicherzustellen, dass Sie Service Graph Connector für das CrowdStrike-Produkt aktiviert und die Vulnerability Response-Anwendung installiert haben.

    Um die zum Erstellen einer Richtlinie erforderlichen Schritte zu verstehen, folgen Sie dem folgenden Beispiel. Angenommen, Sie möchten für diese Richtlinie eine Richtlinie erstellen, die alle Assets findet, die vom CrowdStrike-Produkt nicht erkannt oder gemeldet werden und die die log4shell-Schwachstelle „CVE-2021-44228“ aufweisen.

    Erforderliche Rollen:
    • SPC-Administratorgruppe
    • SPC-Analystengruppe

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Sicherheitsstatus-Überwachung > Liste > Richtlinien > Alle.
    2. Wählen Sie Neue Richtlinieaus.
    3. Wählen Sie oben neben dem Namen das Stiftsymbol aus, um die Metadaten zu ändern.

      Füllen Sie die Felder aus.

      Feld Beschreibung
      Name Ein eindeutiger Name für Ihre Richtlinie.
      Relevanz Wählen Sie einen aus der Liste aus.
      Kurzbeschreibung Eine eindeutige Beschreibung für Ihre Richtlinie.
    4. Wählen Sie Metadaten speichern aus.
    5. Wählen Sie im ersten Feld des Formulars Hardware-Asset aus der Liste aus.

      Beachten Sie die Optionen Basisrichtlinie und Ausschlussrichtlinien rechts auf der Seite.

      • Basisrichtlinie – Sie können die Bedingungen einer vorhandenen Richtlinie erben, um sie als Basis für diese Richtlinie als Ausgangspunkt zu verwenden.
      • Ausschlussrichtlinien: Sie können übereinstimmende Assets aus einer vorhandenen Richtlinie oder Richtlinien ausschließen, sodass ihre Ergebnisse in dieser Richtlinie ignoriert werden. Mit dieser Option können Sie die zurückgegebenen Ergebnisse für diese Richtlinie weiter verfeinern oder genehmigte Ausnahmen für Assets ignorieren.

      Die Felder Verbindung und Entität werden angezeigt.

    6. Wählen Sie Nicht gemeldet von aus der Liste für das Feld Verbindung aus.
      Das Feld Zielentität wird automatisch mit Service Graph Connector ausgefüllt. Eine neue Bedingung mit dem Feld Kriterien wird mit den Feldern Eigenschaft, Operator und Wert angezeigt. Die Eigenschaft wird im Feld Kriterien angezeigt.
    7. Wählen Sie [Kategorie][ist][Endpunktschutz] aus der angezeigten Werteliste aus.
    8. Wählen Sie den Operator und rechts neben dem Feld Wert aus, das mit Endpunktschutz gefülltwird.
    9. Wählen Sie im nächsten Feldsatz [Product-name][is][CrowdStrike] aus.
    10. Wählen Sie den Operator und oben neben dem ersten mit Service Graph Connector ausgefüllten Entitätsfeld aus, um neue Verbindungs- und Entitätsfelder anzuzeigen.
    11. Wählen Sie Gemeldet von aus.
      Das Feld Entität wird automatisch ausgefüllt (Service Graph Connector). Eine neue Bedingung (Kriterien) wird mit Feldern für Eigenschaft, Operator und Wert angezeigt. Die Eigenschaft wird im Feld Kriterien angezeigt.
    12. Wählen Sie [Kategorie][ist][Netzwerk] aus.
    13. Wählen Sie den Operator und neben dem mit Netzwerk ausgefüllten Feld Wert aus.
    14. Wählen Sie [Kategorie][ist][Infrastrukturüberwachung] aus.
    15. Wählen Sie den Operator und in der Sekunde aus, in der das mit Service Graph Connector ausgefüllteEntitätsfeld ausgefüllt wird.
    16. Wählen Sie im neuen Feld Verbindung die Option Mit Schwachstelleaus.
      Das Feld Entität wird automatisch mit Schwachstelle ausgefüllt.
    17. Wählen Sie [CVE-id][is] aus, und geben Sie CVE-2021-44228 ein.
      Die Richtlinienbedingungen müssen mit dem Image übereinstimmen.

      Richtlinienbedingungen

    18. Wählen Sie Richtlinie speichernaus, konfigurieren Sie die Ergebnisse, und aktivieren Sie die Richtlinie.

      Nachdem Sie eine Richtlinie gespeichert und aktiviert haben, wertet sie die importierten Daten aus dem in der nächsten Ausführung geplanten SGC aus. Wenn Sie die Daten im Dashboard für benutzerdefinierte Einblicke im Arbeitsbereich anzeigen möchten, müssen Sie im Dashboard (letztes Symbol im Arbeitsbereich) im Konfigurationsmodul für benutzerdefinierte Einblicke einen neuen Einblick erstellen. Nachdem Sie den benutzerdefinierten Einblick aktiviert haben, werden seine Daten im Dashboard „Benutzerdefinierte Einblicke“ im Arbeitsbereich angezeigt (zweites Symbol).

    19. Wählen Sie im Menü rechts neben Richtlinie speichern die Option Ergebnisse konfigurierenaus.
    20. Füllen Sie die Felder aus.
      OptionBeschreibung
      Ergebnisse generieren

      Wählen Sie Ja, um Ergebnisse zu generieren.

      Wählen Sie „Nein“, wenn Sie keine Ergebnisse generieren möchten.
      Zuweisungsregeln konfigurieren Klicken Sie auf den Link, um Zuweisungsregeln für die Zuweisung von Ergebnissen zur Korrektur in der Anwendung „Configuration Compliance“ einzurichten. In der Tabelle [sn_vulc_assignment_rule_list] gibt es eine Standardzuweisungsregel, die Sie in Configuration Compliance verwenden können.
    21. Wählen Sie Konfiguration speichern aus.
    22. Wahlweise: Wenn Sie diese Richtlinie oder eine vorhandene Richtlinie klonen möchten, wählen Sie im Menü neben Richtlinie aktivieren die Option Richtlinieklonenaus.

      Sie können eine untergeordnete Richtlinie aus erstellen, indem Sie eine beliebige Richtlinie als Basis verwenden, um vorhandene Richtlinien zu erweitern, ohne die Bedingungen erneut eingeben zu müssen. Alle Bedingungen in der Basisrichtlinie werden auch in der untergeordneten Richtlinie geerbt. Ein neuer Richtliniendatensatz wird mit dem Namen der geklonten Richtlinie geöffnet, gefolgt von „Kopie“.

      Wählen Sie Ausschlussrichtlinien aus, und wählen Sie Richtlinien aus, die Sie von den Ergebnissen dieser Richtlinie ausschließen möchten. Alle Ergebnisse in Ihrer neuen Richtlinie, die einer vorhandenen Richtlinie oder Richtlinien entsprechen, werden nicht in Ihre Ergebnisse aufgenommen.

    23. Wählen Sie Basisrichtlinie aus, und wählen Sie eine aktive Richtlinie als übergeordnete Richtlinie aus.

      Sie können diese Option auswählen, wenn Sie die Bedingungen einer vorhandenen Richtlinie als Ausgangspunkt für Ihre neue Richtlinie verwenden möchten.

      Wenn Sie mehr als eine Richtlinie hinzufügen, beachten Sie die folgende Hierarchie. Sie können mehrere Richtlinien in einer Richtlinienhierarchie haben. Für jede Richtlinie können Sie die verschiedenen Klassifizierungen anzeigen, wie Ihre Assets den einzelnen Ebenen entsprechen.

      • Ebene 1 ist die Basis. Diese Richtlinie fragt eine umfangreiche Stichprobengröße in (N) ab, z. B. alle Ihre Assets in Active Directory, die vom Active Directory-Service Graph Connector gemeldet werden.
      • Ebene 2 wertet die Ergebnisse der ersten Richtlinie aus. Diese Richtlinie wertet nur eine Teilmenge von (N) aus. Geben Sie beispielsweise von allen Assets in Active Directory nur die Assets mit Schwachstellenbewertungstools zurück, die nicht auf Schwachstellen gescannt wurden.
      • Ebene 3 wertet die Ergebnisse der Richtlinien 1 und 2 aus usw. Beispiel: Von allen Assets in Active Directory mit Schwachstellenbewertungstools, die nicht auf Schwachstellen gescannt werden, geben Sie nur die fehlenden Endpunktschutz-Agents zurück.
      Hinweis:
      Sie können mehrere Richtlinien in einer Hierarchie haben. Mit der Hierarchie können Sie die verschiedenen Klassifizierungen anzeigen, wie Ihre Assets den einzelnen Ebenen in der Hierarchie entsprechen.
    24. Speichern Sie Ihre Richtlinie.
      Ihre Richtlinie wird in der Liste Alle im Listenmodul im Arbeitsbereich angezeigt.
    25. Um eine Richtlinie zu aktivieren, öffnen Sie den Richtliniendatensatz und wählen Sie Richtlinie aktivierenaus.