Criando suas próprias políticas no Controle de posturas de segurançaaplicação

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

5 min. de leitura

Você pode criar suas próprias políticas personalizadas para monitorar dados específicos dos ativos em seu ambiente. Você baseia essas políticas nos dados que importará dos vários conectores do Service Graph instalados e ativados.

Como começar

Você pode clonar políticas existentes e adicionar mais condições a elas ou criar uma política do zero. Para suas políticas personalizadas, você pode incluir critérios para propriedades comuns do CMDB preenchidas por vários conectores do Service Graph.

Como alternativa, você pode usar uma política de base como ponto de partida e incluir condições para exceções aprovadas com políticas para a aplicação de governança, risco e conformidade (GRC), por exemplo. Essas exceções são para ativos que você não deseja monitorar e incluir em suas contagens de ativos.

Para suas políticas personalizadas, você pode incluir condições para metadados, como SO, versão do SO e FQDN, por exemplo, para ajudar a monitorar ativos com software mais antigo. Observe que essas propriedades são propriedades comuns do CMDB preenchidas por vários conectores do Gráfico de serviços para qualquer ativo específico.

Consulte Políticas incluídas com Controle de posturas de segurançaaplicaçãoPara obter mais informações sobre os tipos de ativo de nível superior e seus relacionamentos no construtor de condições de política para suas políticas.

Para obter políticas de exemplo, consulte Exemplos de políticas básicas, secundárias e clonadas para Controle de posturas de segurança.

Consulte Crie e ative políticas personalizadas para Controle de posturas de segurançapara obter mais informações sobre as etapas necessárias para criar uma política.

Usando os decoradores E, OU no construtor de condições

Você navega dos tipos de ativos de nível superior para hardware e software para suas entidades secundárias usando o construtor de condições no módulo Políticas e descobertas no espaço. Dependendo de suas escolhas, os campos serão exibidos para você e você modificará ou adicionará critérios.

Os decoradores E, OU no construtor de condições permitem que você configure a lógica para os dados retornados que você deseja que sejam retornados para a política.


Decorador	Descrição	Número referenciado na imagem
Selecione E. Ao lado dos campos Conexão e Entidade mais superiores para o novo conjunto de condições.	Adiciona um E lógico entre os critérios de entidade de conexão atuais e os novos critérios de outra entidade de conexão.	1
Selecione E. À direita de um campo de critérios ou propriedade para o novo conjunto de critérios e condições de propriedade.	Adiciona um E lógico entre os critérios de entidade de conexão atuais e um novo critério na mesma entidade de conexão.	2
Selecione OU/E. À direita de um campo de propriedade para o novo conjunto de condições de propriedade.	Adiciona um lógico OR/AND entre a propriedade atual e uma nova propriedade do mesmo Connection-entity-Criteria.	3
Selecione Novo conjunto de condições para um novo conjunto de condições.	Adiciona um OR lógico entre o conjunto de condições de todos os critérios atuais e um novo conjunto de condições.	4

Decoradores no construtor de políticas de controle de postura de segurança

Usando políticas base, clonagem e políticas secundárias

Você pode usar várias políticas para avaliar seus ativos e criar suas próprias informações personalizadas. Você tem as seguintes opções para ajudar a criar políticas personalizadas ou editar políticas existentes rapidamente:

Clonar política - Crie uma cópia de uma política. O nome da política e suas condições são exibidos com uma "cópia" no título. As condições são exibidas e você pode editá-las. Consulte Edite uma política ativada em Controle de posturas de segurança.
Criar política secundária - O nome da política a partir da qual você iniciou é exibido como a "Política de base" no novo registro. As condições da sua política base são herdadas na nova política e um novo conjunto de condições vazio é exibido. Consulte Clone uma política ou crie uma política secundária em Controle de posturas de segurança.
Políticas de exclusão: Adicione políticas às políticas personalizadas para que as descobertas de ativos das políticas selecionadas sejam excluídas dos resultados. Consulte Crie e ative políticas personalizadas para Controle de posturas de segurança.

Filtragem de metadados e CMDB

Pode ser importante que suas equipes de segurança monitorem ativos com software mais antigo. Você pode especificar critérios de política começando com a Conexão "com metadados do CMDB" após o tipo de ativo de hardware para incluir as propriedades comuns listadas abaixo. Esta não é uma lista completa. Para coletar esses metadados, as propriedades devem estar disponíveis na conexão de metadados do CMDB preenchida pelos conectores do Service Graph.

RAM
Nome do host
Número de série
Domínio do SO
Versão do SO
Espaço em disco
Visto pela última vez
SO
Visto pela primeira vez
Contagem de CPUs
Fabricante de MAC
NIC
Endereço IP
Local
FQDN
Máscara de rede
Versão do IP
Tipo de número de série
Service pack do SO

A partir da v3.0 de Controle de posturas de segurança:

A Conexão "Com metadados do CMDB" permite que você adicione a propriedade Nome do host e use o Operador regex de correspondências para ajudar você a digitar expressões regulares em suas condições para o tipo de ativo de hardware. Por exemplo, se você inserir "lp", poderá procurar todos os laptops com "lp" como segundo e terceiro caracteres no nome do host.

"Vistos pela primeira vez": Ativos que foram descobertos pela primeira vez por qualquer origem dentro do intervalo de tempo selecionado com a propriedade de carimbo de data/hora "Visto pela primeira vez".

"Visto pela última vez": Ativos que foram "vistos pela última vez nos últimos n dias" por qualquer fonte. Insira o número de dias até 30 como um valor. Por exemplo, insira 3 como um valor para monitorar ativos por "último logon" do Active Directory nos últimos três dias.

Tipo de ativo de software: Procure fornecedores de software ou use SGCs instalados que importam os dados de software e metadados desejados se você começar com a Conexão "com detalhes de software".

Para tipos de ativo de hardware, você pode usar a Conexão "Tem informações do modelo" com a Conexão "Com metadados do CMDB" para dispositivos com base em modelos específicos e informações do modelo.

Os tipos de ativo de hardware também permitem pesquisar todos os ativos relatados por uma fonte, Qualys, por exemplo, mas que não são relatados pela Descoberta de ITOM da ServiceNow.

Consulte Políticas para Controle de posturas de segurançapara obter mais informações sobre Controle de posturas de segurançaesquema de política.

Exceções com a aplicação Governança, risco e conformidade (GRC)

Uma exceção de Gestão integrada de riscos (IRM) é um ativo com uma exceção aprovada do produto Governança, risco e conformidade (GRC). Você tem a opção em uma política de adicionar uma condição para uma exceção para não monitorar esses ativos e incluí-los em suas contagens.

Por exemplo, alguns ativos podem ter exceções aprovadas para determinados objetivos de controle com IRM. Para reduzir suas correspondências retornadas, as equipes de segurança da informação podem querer excluir esses ativos do monitoramento de controles de segurança com exceções de IRM que já foram aprovadas.