Como criar suas próprias políticas na aplicação Controle de posturas de segurança

Gestão de segurança do Xanadu

Release

xanadu

ft:locale

pt-BR

ft:publication_title

Gestão de segurança do Xanadu

ft:clusterId

security

bundleId

security

workflow

Technology

Como criar suas próprias políticas na aplicação Controle de posturas de segurança

Versão de lançamento: Xanadu

Atualizado 28 de ago. de 2024

5 min. de leitura

Você pode criar suas próprias políticas personalizadas para monitorar dados específicos dos ativos em seu ambiente. Você baseia essas políticas nos dados que importará dos vários Conectores do Service Graph instalados e ativados.

Como começar

Você pode clonar as políticas existentes e adicionar mais condições a elas ou criar uma política do zero. Para suas políticas personalizadas, você pode incluir critérios para propriedades comuns do CMDB preenchidas por vários Conectores do Service Graph.

Como alternativa, você pode usar uma política de base como ponto de partida e incluir condições para exceções aprovadas com políticas para a aplicação de Governança, risco e conformidade (GRC), por exemplo. Essas exceções são para ativos que você não deseja monitorar e incluir em suas contagens de ativos.

Para suas políticas personalizadas, você pode incluir condições para metadados, como SO, versão do SO e FQDN, por exemplo, para ajudá-lo a monitorar ativos com software mais antigo. Observe que essas propriedades são propriedades comuns do CMDB preenchidas por vários Conectores do Service Graph para um determinado ativo.

Consulte Políticas incluídas com a aplicação Controle de posturas de segurança para obter mais informações sobre os tipos de ativo de nível superior e seus relacionamentos no construtor de condições de política para suas políticas.

Para obter exemplos de políticas, consulte Exemplos de políticas base, secundárias e clonadas para Controle de posturas de segurança.

Consulte Criar e ativar políticas personalizadas para Controle de posturas de segurança para obter mais informações sobre as etapas necessárias para criar uma política.

Como usar os decoradores AND, OR no construtor de condições

Você navega dos tipos de ativos de nível superior para hardware e software para suas entidades secundárias usando o construtor de condições no módulo Políticas e descobertas no espaço. Dependendo das suas escolhas, os campos são exibidos para você e você modifica ou adiciona critérios.

Os decoradores AND, OR no construtor de condições permitem que você configure a lógica dos dados retornados que deseja retornar para a política.


Decorador	Descrição	Número referenciado na imagem
Selecione E ao lado dos campos Conexão e Entidade mais altos para o novo conjunto de condições.	Adiciona um E lógico entre os critérios atuais da Entidade de conexão e novos critérios de outra Entidade de conexão.	1
Selecione E à direita de um campo Critérios ou Propriedade para o novo conjunto de condições de Critérios e Propriedade.	Adiciona um AND lógico entre os critérios atuais de entidade de conexão e um novo critério na mesma entidade de conexão.	2
Selecione OU/E à direita de um campo de propriedade para o novo conjunto de condições de propriedade.	Adiciona um OR/AND lógico entre a propriedade atual e uma nova propriedade dos mesmos critérios de entidade de conexão.	3
Selecione + Novo conjunto de condições para um novo conjunto de condições.	Adiciona um OU lógico entre o Conjunto de condições de todos os critérios atuais e um novo Conjunto de condições.	4

Decoradores no construtor de políticas de controle de postura de segurança

Uso de políticas de base, clonagem e políticas secundárias

Você pode usar várias políticas para avaliar seus ativos e criar suas próprias informações personalizadas. Você tem as seguintes opções para ajudá-lo a criar políticas personalizadas ou editar políticas existentes rapidamente:

Clonar política - Crie uma cópia de uma política. O nome da política e suas condições são exibidos com uma "cópia" no título. As condições são exibidas e você pode editá-las. Consulte Editar uma política ativada no Controle de posturas de segurança.
Criar política secundária - O nome da política a partir da qual você iniciou é exibido como a "Política de base" no novo registro. As condições da sua política de base são herdadas na nova política e um novo conjunto de condições vazio é exibido. Consulte Clonar uma política ou criar uma política secundária em Controle de posturas de segurança.
Políticas de exclusão – adicione políticas às suas políticas personalizadas para que as descobertas de ativos das políticas selecionadas sejam excluídas dos resultados. Consulte Criar e ativar políticas personalizadas para Controle de posturas de segurança.

Filtragem de metadados e CMDB

Pode ser importante para suas equipes de segurança monitorar ativos com software mais antigo. Você pode especificar critérios de política começando com a Conexão "Com metadados do CMDB" após o tipo de Ativo de hardware para incluir as propriedades comuns listadas abaixo. Esta não é uma lista com tudo incluído. Para coletar esses metadados, as propriedades devem estar disponíveis na conexão de metadados do CMDB preenchida pelos conectores do Service Graph.

RAM
Nome do host
Número de série
Domínio do SO
Versão do SO
Espaço em disco
Visto pela última vez
SO
Visto pela primeira vez
Contagem de CPUs
Fabricante do MAC
NIC
Endereço IP
Local
FQDN
Máscara de rede
Versão do IP
Tipo de Número de Série
Service pack do SO

A partir da v3.0 de Controle de posturas de segurança:

A conexão "Com metadados do CMDB" permite que você adicione a propriedade do nome do host e use o operador regex de correspondências para ajudá-lo a digitar expressões regulares em suas condições para o tipo de ativo de hardware. Por exemplo, se você inserir 'lp', poderá procurar todos os laptops com 'lp' como o segundo e o terceiro caracteres no nome do host.

"Visto pela primeira vez": ativos que foram descobertos pela primeira vez por qualquer origem dentro do intervalo de tempo selecionado com a propriedade de carimbo de data/hora "Visto pela primeira vez".

"Vistos pela última vez": ativos que foram "vistos pela última vez nos últimos n dias" por qualquer origem. Insira o número de dias até 30 como um Valor. Por exemplo, insira 3 como um Valor para monitorar ativos por "último logon" do Active Directory nos últimos três dias.

Tipo de ativo de software: procure fornecedores de software ou use SGCs instalados para importar os dados e metadados de software desejados se você começar com a conexão "Com detalhes do software".

Para tipos de ativos de hardware, você pode usar a conexão "Tem informações de modelo" com a conexão "Com metadados do CMDB" para dispositivos baseados em modelos e informações de modelo específicos.

Os tipos de ativos de hardware também permitem que você pesquise todos os ativos relatados por uma origem, Qualys, por exemplo, mas que não são relatados pela Descoberta do ITOM da ServiceNow.

Consulte Políticas para Controle de posturas de segurança para obter mais informações sobre o esquema de política Controle de posturas de segurança.

Exceções com a aplicação de Governança, risco e conformidade (GRC)

Uma exceção da Gestão integrada de riscos (IRM) é um ativo com uma exceção aprovada do produto de Governança, risco e conformidade (GRC). Você tem a opção em uma política de adicionar uma condição para uma exceção para não monitorar esses ativos e incluí-los em suas contagens.

Por exemplo, alguns ativos podem ter exceções aprovadas para determinados objetivos de controle com IRM. Para reduzir as correspondências retornadas, as equipes de segurança da informação podem excluir esses ativos do monitoramento de controles de segurança com exceções de IRM que já foram aprovadas.