Créer, cloner et activer une politique pour le contrôle de la posture de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Créez vos propres polices personnalisées pour surveiller les actifs afin de déterminer la couverture des outils et d’autres combinaisons à haut risque.

    Avant de commencer

    Avant de commencer, reportez-vous au cas d’utilisation Détecter les actifs présentant des vulnérabilités et des écarts de couverture de l’outil de Security décrit dans Cas d’utilisation dans le contrôle de la posture de sécurité pour vous assurer que vous avez activé Service Graph Connector pour le produit CrowdStrike et installé l’application Vulnerability Response.

    Pour comprendre les étapes nécessaires à la création d’une politique, suivez l’exemple fourni ci-dessous. Pour cette stratégie, supposons que vous souhaitiez créer une politique qui trouve tous les actifs qui ne sont pas vus ou signalés par le produit CrowdStrike et qui présentent une vulnérabilité log4shell, « CVE-2021-44228 ».

    Rôles requis :
    • Groupe d’administrateurs SPC
    • Groupe d’analystes SPC

    Procédure

    1. Accédez à la Espaces de travail > Contrôle de la posture de sécurité > Liste > Stratégies > Tous.
    2. Sélectionnez Nouvelle stratégie.
    3. Sélectionnez l’icône de crayon en regard du nom en haut pour modifier les métadonnées.

      Renseignez les champs.

      Champ Description
      Nom Nom unique de votre politique.
      Criticité Sélectionnez-en un dans la liste.
      Description courte Description unique de votre police.
    4. Sélectionnez Enregistrer les métadonnées.
    5. Dans le premier champ du formulaire, sélectionnez Actif matériel dans la liste.

      Notez les options Stratégie de base et Politiques d’exclusion à droite de la page.

      • Politique de base : vous pouvez hériter des conditions d’une politique existante pour utiliser cette politique comme base de cette politique comme point de départ.
      • Politiques d’exclusion : vous pouvez exclure des actifs correspondants d’une ou de plusieurs politiques existantes afin que leurs résultats soient ignorés dans cette politique. Cette option peut vous aider à affiner davantage les résultats renvoyés pour cette politique ou vous permettre d’ignorer les exceptions approuvées pour les actifs.

      Les champs Connexion et Entité s’affichent.

    6. Sélectionnez Non signalé par dans la liste du champ Connexion.
      Le champ Entité cible est renseigné automatiquement avec Connecteur du graphe de services. Une nouvelle condition avec le champ Critères s’affiche avec les champs Propriété, Opérateur et Valeur. La propriété est affichée dans le champ Critères.
    7. Sélectionnez [Category][is][Endpoint Protection] dans la liste de valeurs affichée.
    8. Sélectionnez l’opérateur et à droite du champ Valeur renseigné avec Endpoint Protection.
    9. Dans l’ensemble de champs suivant, sélectionnez [Product-name][is][CrowdStrike].
    10. Sélectionnez l’opérateur et en haut à côté du premier champ Entité rempli avec Connecteur du graphe de services pour afficher les nouveaux champs Connexion et Entité.
    11. Sélectionnez le signalement par.
      Le champ Entité est renseigné automatiquement (Connecteur du graphe de services). Une nouvelle condition (critères) s’affiche avec des champs pour la propriété, l’opérateur et la valeur. La propriété est affichée dans le champ Critères.
    12. Sélectionnez [Catégorie][est][Mise en réseau].
    13. Sélectionnez l’opérateur et en regard du champ Valeur renseigné avec Mise en réseau.
    14. Sélectionnez [Catégorie][est][Surveillance de l’infrastructure].
    15. Sélectionnez l’opérateur et à la seconde du champ Entité renseigné avec Connecteur du graphe de services.
    16. Dans le champ Nouvelle connexion, sélectionnez Avec vulnérabilité.
      Le champ Entité est automatiquement renseigné avec Vulnérabilité.
    17. Sélectionnez [CVE-id][is] et saisissez CVE-2021-44228.
      Les conditions de la politique doivent correspondre à l’image.

      Conditions de la politique

    18. Sélectionnez Enregistrer la politique, configurer les résultats et activer la politique.

      Une fois que vous avez enregistré et activé une politique, elle évalue les données importées à partir du SGC planifié lors de la prochaine exécution. Si vous souhaitez afficher les données sur le tableau de bord Aperçus personnalisés de l’espace de travail, vous devez créer un nouvel aperçu dans le module de configuration Aperçus personnalisés du tableau de bord (dernière icône dans l’espace de travail). Une fois l’aperçu personnalisé activé, ses données s’affichent sur le tableau de bord Aperçus personnalisés de l’espace de travail (deuxième icône).

    19. Dans le menu à droite de Enregistrer la stratégie, sélectionnez Configurer les résultats.
    20. Renseignez les champs.
      OptionDescription
      Générer des résultats

      Choisissez Oui pour générer des résultats.

      Choisissez Non si vous ne souhaitez pas générer de résultats.
      Configurer les règles d'affectation Sélectionnez le lien pour configurer des règles d’affectation afin d’affecter des conclusions pour le rattrapage dans l’application Configuration Compliance. Il existe une règle d’affectation par défaut dans la table [sn_vulc_assignment_rule_list] que vous pouvez utiliser dans Configuration Compliance.
    21. Sélectionnez Enregistrer la configuration.
    22. Facultatif : Si vous souhaitez cloner cette stratégie ou une stratégie existante, sélectionnez Cloner la stratégie dans le menu en regard de Activer la stratégie.

      Vous pouvez créer une politique enfant à partir de n’importe quelle politique comme base pour vous aider à étendre les politiques existantes sans avoir à saisir à nouveau les conditions. Toutes les conditions de la politique de base sont également héritées dans la politique enfant. Un nouvel enregistrement de politique s’ouvre avec le nom de la politique clonée suivi de « copie ».

      Sélectionnez Politiques d’exclusion , puis celles que vous souhaitez exclure des résultats de cette politique. Tous les résultats de votre nouvelle politique qui correspondent à une ou plusieurs politiques existantes ne sont pas inclus dans vos résultats.

    23. Sélectionnez Politique de base et sélectionnez une politique active comme politique parente.

      Vous pouvez choisir cette option si vous souhaitez utiliser les conditions d’une police existante comme point de départ pour votre nouvelle police.

      Si vous ajoutez plusieurs politiques, notez la hiérarchie suivante. Vous pouvez avoir plusieurs politiques dans une hiérarchie de politiques. Pour chaque police, vous pouvez afficher les différentes classifications de la façon dont vos actifs correspondent à chaque niveau.

      • Le niveau 1 est la base. Cette politique interroge une taille d’échantillon étendue dans (N), par exemple, tous vos actifs dans votre Active Directory signalés par le connecteur du graphe de services Active Directory.
      • Le niveau 2 évalue les résultats de la première politique. Cette politique évalue uniquement un sous-ensemble de (N). Par exemple, à partir de tous les actifs de votre Active Directory, renvoyez uniquement les actifs avec des outils d’évaluation de vulnérabilité qui ne sont pas analysés pour détecter les vulnérabilités.
      • Le niveau 3 évalue les résultats des politiques 1 et 2, et ainsi de suite. Par exemple, à partir de toutes les ressources de votre Active Directory avec des outils d’évaluation de vulnérabilité qui ne sont pas analysés pour détecter les vulnérabilités, renvoyez uniquement les agents de protection de point de terminaison manquants.
      Remarque :
      Vous pouvez avoir plusieurs politiques dans une hiérarchie. Grâce à la hiérarchie, vous pouvez afficher les différentes classifications de la façon dont vos actifs correspondent à chaque niveau de la hiérarchie.
    24. Enregistrez votre politique.
      Votre politique s’affiche sur la liste Tout du module Liste de l’espace de travail.
    25. Pour activer une politique, ouvrez l’enregistrement de politique et sélectionnez Activer la politique.