Gérer la surveillance continue des contrôles entre Configuration Compliance et Policy and Compliance Management

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • La surveillance continue des contrôles est une intégration de fonctionnalité entre le produit et Policy and Compliance Management les Security Operations Configuration ComplianceGRCproduits. Cette fonctionnalité intègre les résultats de l’analyse d’applications tierces, telles que Qualys, afin de déterminer l’état de conformité de chaque contrôle associé.

    La surveillance continue est une approche proactive de la gestion de la sécurité. Les clients surveillent et valident la conformité et gèrent les risques par rapport aux documents de référence.

    Workflow de surveillance continue

    1. L’administrateur système active les modules d’extension Configuration Compliance and Policy and Compliance Management .
    2. Le gestionnaire de conformité mappe les objectifs de contrôle ou les contrôles aux tests de configuration, qui génèrent des contrôles, des entités et des indicateurs associés à ces tests de configuration.
    3. L’intégration ingère les résultats de l’analyse des tests de configuration tiers à des intervalles définis.
    4. Si les résultats de l’analyse du test de configuration des tests de configuration indiquent une défaillance, le contrôle n’est pas conforme et un problème est automatiquement généré.
    5. Si le résultat de l’analyse suivante du test de configuration indique que la défaillance a été corrigée, alors le contrôle est conforme et le problème est automatiquement fermé.

    Mapper l’objectif ou les contrôles du contrôle aux tests de configuration

    Le gestionnaire de conformité mappe les objectifs de contrôle ou les contrôles aux tests de configuration, qui génèrent les contrôles, les entités et les indicateurs associés à la conformité de la configuration.

    Avant de commencer

    Rôle requis : gestionnaire de conformité

    Le Configuration Compliance module d’extension doit être activé pour accéder à cette fonctionnalité et la propriété sn_compliance.auto_create_profile_and_control doit être définie sur true.

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Politiques et procédures > Stratégies.
    2. Ouvrez l’enregistrement de politique, cliquez sur la liste connexe Objectifs de contrôle, puis cliquez sur Modifier.
      Remarque :
      La politique de mot de passe est utilisée dans cet exemple.
    3. Sélectionnez chaque objectif de contrôle à associer à la politique.
    4. Ouvrez un objectif de contrôle et cliquez sur la liste connexe Contenu des documents de référence pour afficher la citation du document de référence associée à cet objectif de contrôle.
      Remarque :
      L’objectif de contrôle Configurer l’âge maximal du mot de passe est utilisé dans cet exemple.
    5. Cliquez sur la liste connexe Tests de configuration et sélectionnez l’une des options d’ajout suivantes :
      • Cliquez sur Ajouter
      • Cliquez sur Ajouter à partir des politiques
      • Cliquez sur Ajouter à partir de sources de référence
      Remarque :
      Le champ Source de chaque test de configuration identifie le fournisseur tiers des informations.
    6. Après la sélection, cliquez sur Ajouter.
      Tous les éléments de configuration (contrôles, entités et indicateurs) sont mappés et affichés dans la liste connexe Tests de configuration. La génération des résultats peut prendre quelques minutes.

    Interpréter les résultats de l’analyse Configuration Compliance

    Si les résultats de l’analyse du test de configuration du contrôle indiquent des défaillances, le contrôle est marqué comme non conforme. Si les résultats de l’analyse indiquent que le contrôle a réussi, tous les tests de configuration, alors le contrôle est marqué comme conforme.

    Avant de commencer

    Rôle requis : gestionnaire de conformité

    Le Configuration Compliance module d’extension doit être activé pour accéder à cette fonctionnalité et la sn_compliance.auto_create_profile_and_control propriété doit être définie sur vrai

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Politiques et procédures > Objectifs de contrôle.
      Remarque :
      Cet exemple utilise l’instruction de politique Configurer l’âge maximal du mot de passe .
    2. Ouvrez l’enregistrement de l’objectif du contrôle et cliquez sur la liste connexe Contrôles.
      11 contrôles ont été générés à partir de l’analyse du test de Configuration Compliance. Chaque contrôle a un profil associé et, comme tous les contrôles affichent un état Non conforme, un nombre égal de problèmes a été généré automatiquement.
    3. Ouvrez un enregistrement de contrôle, puis cliquez sur la liste connexe Indicateur.
    4. Ouvrez l’enregistrement de l’indicateur pour afficher les résultats de l’indicateur.
      Les résultats de l’analyse du test de configuration sont mis à jour à intervalles réguliers. Si les résultats de l’analyse indiquent que la défaillance a été corrigée, le contrôle est marqué comme conforme et le problème est automatiquement fermé.