Richtlinien für Security Posture Control

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Jeder Anwendungsfall hängt von einer Richtlinie oder Richtlinien ab, die Ihre Assets prüfen, um potenzielle Verstöße zu finden.

    Übersicht

    Security Posture Control-Richtlinien basieren auf einem Entität-Beziehungen-Eigenschaften-Datenmodell. Sie können Richtlinien definieren, um nach einer Entität oder einem Asset zu suchen, die einem bestimmten Kriterium entspricht. Das Kriterium kann entweder in Form von Bedingungen für die Eigenschaften dieser Entität oder für die Eigenschaften einer zugehörigen Entität angegeben werden.

    Derzeit können die folgenden primären oder obersten Entitäten oder Asset-Typen als Ausgangspunkt für die Definition der Richtlinien verwendet werden. Es gibt andere unterstützte Entitäten im Richtlinienschema der Security Posture Control, z. B. „Schwachstelle“ oder „Metadaten“, aber diese Entitäten können nicht der Ausgangspunkt sein. Sie können zu diesen sekundären Entitäten navigieren, indem Sie eine Beziehung aus den primären Entitäten oder den zugehörigen Entitäten verwenden.

    Primäre Entitäten:

    • Hardware-Asset
    • Virtueller Cloud-Computer
    Tabelle : 1. Entitäten und ihre Beziehungen zu sekundären Entitäten
    Entität Beziehung Zielentität Beschreibung
    Hardware-Asset Aus CI-Klasse CMDB-Felder Stellt Standardklassen in der CMDB oder Ihre benutzerdefinierten CI-Klassen in der CMDB dar.
    Hardware-Asset Vom Connector gemeldet Connector Stellt einen Service Graph Connector dar, der diese Entität entweder gemeldet oder nicht gemeldet hat.
    Hardware-Asset Nicht gemeldet von Connector Stellt einen Service Graph Connector dar, der diese Entität entweder gemeldet oder nicht gemeldet hat.
    Hardware-Asset Mit Connector-Daten Connector-Details Stellt alle für dieses Asset verfügbaren Eigenschaften dar, die für den Service Graph Connector spezifisch sind.
    Hardware-Asset Mit CMDB-Metadaten CMDBMetadaten Stellt die Sammlung von CMDB-CI-Eigenschaften für dieses Asset dar.
    Hardware-Asset Mit Schwachstelle Schwachstellendatensatz Stellt ein angreifbares Element dar, das in diesem Asset vorhanden ist.
    Virtueller Cloud-Computer
    Virtueller Cloud-Computer Aus CI-Klasse CMDB-Felder Stellt Standardklassen in der CMDB oder Ihre benutzerdefinierten CI-Klassen in der CMDB dar.
    Virtueller Cloud-Computer Gemeldet von Connector Stellt einen Service Graph Connector dar, der dieses Cloud-Asset gemeldet hat.
    Virtueller Cloud-Computer Nicht gemeldet von Connector Stellt einen Service Graph Connector dar, der dieses Cloud-Asset nicht gemeldet hat.
    Virtueller Cloud-Computer Mit Connector-Daten Connector Stellt alle für dieses Cloud-Asset verfügbaren Eigenschaften dar, die für einen Service Graph Connector spezifisch sind.
    Virtueller Cloud-Computer Mit CMDB-Metadaten CMDBMetadaten Stellt die Sammlung von CMDB-CI-Eigenschaften für dieses Cloud-Asset dar.
    Virtueller Cloud-Computer Mit Schwachstelle Schwachstellendatensatz Stellt ein angreifbares Element dar, das in diesem Cloud-Asset vorhanden ist.
    Virtueller Cloud-Computer Hat Cloud-Metadaten Cloud-Metadaten Stellt die Sammlung von Cloud-Eigenschaften für dieses Cloud-Asset dar.
    Virtueller Cloud-Computer Der Port ist für das Internet verfügbar Offener Port Stellt einen Port in diesem Cloud-Asset dar, der für das Internet geöffnet ist.
    Tabelle : 2. Alle Entitäten und Eigenschaften, die für diese Entitäten unterstützt werden
    Entität Eigenschaften
    Hardware-Asset Keine
    Virtueller Cloud-Computer
    • Cloud-Konto-ID
    • Cloud-Region
    • Cloud-Provider
    Virtueller Cloud-Computer – Service Graph Connector
    • Kategorie: Kategorie oder Typ von Service Graph Connector, z. B. Endpunktschutz.
    • Produktname: Name des Produkts, das Assets über Service Graph Connector meldet.
    Virtueller Cloud-Computer – Connector-Daten Details, die für Kategorien und Typen von Connectors spezifisch sind, z. B. Softwaredetails, Asset-Details, Netzwerkschnittstellendetails
    CMDB-Metadaten – Verbindung
    • Enthält Modellinformationen: Modellname, Anzeigename, Hersteller.
    • Mit installierter Software – Deinstallationszeichenfolge, Version, Name.
    CMDB-Metadaten – Eigenschaft Cloud-Eigenschaften wie Hostname, Seriennummer, BS-Domäne.
    Cloud-Metadaten
    • Cloud-Region
    • Internet – Gefährdung
    • Cloud-Provider
    • Cloud-Konto-ID
    Schwachstelle
    • Hat-Exploit
    • Schweregrad
    • CVE-ID
    Öffnen Sie Port
    • Port (offener Port, z. B. 22)
    • Protokoll (z. B. TCP).

    In der Anwendung enthaltene Richtlinien

    Es gibt einige Richtlinien, die in der Security Posture Control-Anwendung enthalten sind, die an wichtige Anwendungsfälle gebunden sind und letztendlich als wichtige Einblicke im Dashboard auf der Zielseite (Startmodul) im SPC-Arbeitsbereich angezeigt werden. Um diese Richtlinien anzuzeigen, navigieren Sie zu Arbeitsbereiche > Sicherheitsstatus-Überwachung > Liste > Alle.

    Diese Richtlinien können nicht bearbeitet werden. Sie können die Metadaten jedoch ändern. Sie können diese Richtlinien klonen, um eigene benutzerdefinierte Richtlinien zu erstellen. Beachten Sie jedoch, dass die von Ihnen geklonten Richtlinien nicht als wichtige Einblicke im Dashboard auf der Zielseite der Homepage mit den anderen wichtigen Einblicken angezeigt werden.

    Nachdem Sie die von Ihnen erstellten Richtlinien geklont und aktiviert haben, erstellen Sie Ihren eigenen benutzerdefinierten Einblickdatensatz im Modul „Generator für benutzerdefinierte Einblicke“ im Arbeitsbereich (letztes Modul im Navigationsbereich) und zeigen die Daten im Dashboard „Benutzerdefinierte Einblicke“ (das zweite Symbol von) an oben im Arbeitsbereich).

    Die folgende Abbildung zeigt eine Richtlinie, die im Produkt enthalten ist und nach Assets ohne Endpunktschutz sucht. Die Bedingungen dieser Richtlinie suchen nach Assets, die nicht von Service Graph Connector der Kategorie „Endpunktschutz“ gemeldet werden und von Service Graph Connectors in einer der folgenden Kategorien gemeldet werden: Netzwerk, Infrastrukturüberwachung oder Cloud-Provider.

    Richtlinienbeispiel mit Bedingungen

    Eigene Richtlinien erstellen

    Sie können eigene Richtlinien erstellen, um Ihre Assets zu überwachen. Diese Richtlinien basieren auf Daten aus den verschiedenen von Ihnen installierten und aktivierten Service Graph Connectors, die Connector-spezifische Metadaten für die Assets enthalten, z. B.:
    • CrowdStrike-Agent-Version
    • Dem Internet ausgesetzt
    • Kritische Schwachstellen

    Sie können entweder eine vorhandene Richtlinie klonen und Bedingungen hinzufügen oder eine Richtlinie von Grund auf neu erstellen. Für Ihre benutzerdefinierten Richtlinien können Sie Bedingungen für Metadaten wie Betriebssystem, Betriebssystemversion und FQDN einbeziehen, um beispielsweise Assets mit älterer Software zu überwachen. Beachten Sie, dass es sich bei diesen Eigenschaften um allgemeine CMDB-Eigenschaften handelt, die von verschiedenen Service Graph Connectors für ein bestimmtes Asset ausgefüllt werden.

    Sie können auch eine Bedingung für genehmigte Ausnahmen mit der Anwendung Governance, Risk, and Compliance (GRC) hinzufügen, die Sie nicht überwachen und in Ihre Asset-Anzahlen einbeziehen möchten.

    Basisrichtlinien und untergeordnete Richtlinien

    Sie können mehrere Richtlinien verwenden, um Ihre Assets zu bewerten und eigene benutzerdefinierte Einblicke zu erstellen. Sie können mehr als eine Richtlinie verwenden, wenn Sie die Anzahl der übereinstimmenden Assets aus einer großen Stichprobe reduzieren oder sich auf mehr als eine Übereinstimmungsbedingung konzentrieren möchten. Angenommen, Sie möchten ein Vergleichsdiagramm erstellen, das zeigt, wie viele Ihrer gesamten Assets, sowohl lokal als auch in der Cloud, nicht auf Schwachstellen gescannt wurden.

    Sie können auch untergeordnete Richtlinien aus einem beliebigen Richtliniendatensatz erstellen, um Ihre Suchkriterien weiter zu verfeinern und spezifischere Übereinstimmungen zurückzugeben. Alle Bedingungen in der Basisrichtlinie werden auch in der untergeordneten Richtlinie geerbt.

    Wenn Sie mehr als eine Richtlinie hinzufügen:

    • Ebene 1 ist die Basis. Diese Richtlinie fragt eine umfangreiche Stichprobengröße in (N) ab, z. B. alle Ihre Assets in Active Directory, die vom Active Directory-Service Graph Connector gemeldet werden.
    • Ebene 2 wertet die Ergebnisse der ersten Richtlinie aus. Diese Richtlinie wertet nur eine Teilmenge von (N) aus. Geben Sie beispielsweise von allen Assets in Active Directory nur die Assets mit Schwachstellenbewertungstools zurück, die nicht auf Schwachstellen gescannt wurden.
    • Ebene 3 wertet die Ergebnisse der Richtlinien 1 und 2 aus usw. Beispiel: Von allen Assets in Active Directory mit Schwachstellenbewertungstools, die nicht auf Schwachstellen gescannt werden, geben Sie nur die fehlenden Endpunktschutz-Agents zurück.
    • Hinweis: Sie können mehrere Richtlinien in einer Hierarchie haben. Mit der Hierarchie können Sie die verschiedenen Klassifizierungen anzeigen, wie Ihre Assets den einzelnen Ebenen in der Hierarchie entsprechen.

    Um eine untergeordnete Richtlinie zu erstellen, wählen Sie in einem Richtliniendatensatz Neue Richtlinie aus, und legen Sie die gewünschten Bedingungen fest. Sie haben die Möglichkeit, die Bedingungen einer vorhandenen Richtlinie als Start zu verwenden und Ergebnisse aus vorhandenen Richtlinien und genehmigten Ausnahmen auszuschließen. Weitere Informationen finden Sie unter Erstellen, klonen und aktivieren Sie eine Richtlinie für Security Posture Control.

    Wenn Sie Richtlinien für benutzerdefinierte Einblicke auswählen, können Sie keine untergeordnete Richtlinie auf derselben Ebene wie eine übergeordnete Richtlinie auswählen, es sei denn, Sie ändern die Hierarchie.

    Metadaten- und CMDB-Filterung

    Für Ihre Sicherheitsteams kann es wichtig sein, Assets mit älterer Software zu überwachen. Sie können Richtlinienkriterien angeben, um die unten aufgeführten allgemeinen Eigenschaften einzubeziehen.
    • BS
    • BS-Version
    • Hostname
    • FQDN
    • IP-Adresse
    • IP-Version
    • Netzmaske
    • MAC-Adresse
    • MAC-Hersteller
    • Software
    • RAM
    • Seriennummer
    • NIC
    • Seriennummertyp
    • Standort
    • CPU-Anzahl
    • Festplattenspeicher
    Hinweis:
    Um diese Metadaten zu erfassen, müssen die folgenden Eigenschaften in der CMDB-Metadatenverbindung verfügbar sein, die von Ihren Service Graph Connectors ausgefüllt wird.

    Ausnahmen bei der Anwendung Governance, Risk, and Compliance (GRC).

    Eine IRM-Ausnahme (Integrated Risk Management) ist ein Asset mit einer genehmigten Ausnahme aus dem Governance, Risk, and Compliance (GRC)-Produkt. Sie haben die Möglichkeit, in einer Richtlinie eine Bedingung für eine Ausnahme hinzuzufügen, damit Sie diese Assets nicht überwachen und in Ihre Zählungen einbeziehen.

    Beispielsweise können für einige Assets Ausnahmen für bestimmte Kontrollziele mit IRM genehmigt werden. Um die Anzahl der zurückgegebenen Übereinstimmungen zu reduzieren, möchten Informationssicherheitsteams diese Assets möglicherweise von der Überwachung auf Sicherheitskontrollen mit bereits genehmigten IRM-Ausnahmen ausschließen.