セキュリティポスチャコントロール での緩和コントロールモニタリングの使用
セキュリティポスチャコントロール (SPC) ワークスペース内から、セキュリティツールのさまざまな構成に応じた緩和コントロールで、どの資産脅威が緩和されているかを把握することができます。
緩和コントロールモニタリング
セキュリティポスチャコントロールおよび緩和コントロールモニタリングでサポートされているアプリケーションについては、「セキュリティポスチャコントロール の探索」を参照してください。
セキュリティポスチャコントロール アプリケーションでは、次の 3 つの主要な問題領域に焦点を当てています。
- 資産インベントリ - 管理対象外または不明な資産を含むすべてのエンタープライズ資産を特定します。
- セキュリティコントロールの対象範囲と健全性 - 使用しているセキュリティコントロールとの対象範囲のギャップを特定します。
- 脆弱性と脅威の軽減の可視化:該当する緩和コントロールによって軽減される資産に対する脅威または脆弱性を特定します。
緩和コントロールのモニタリングでは、脆弱性および脅威緩和の可視化に該当する セキュリティポスチャコントロール の機能について説明します。
必要なロール:
- アドミン - ServiceNow® Store からアプリケーションをインストールし、プラグイン (ITOM ディスカバリー) をアクティブ化します。
- SPC アドミングループおよび SPC アナリストグループ - このグループのユーザーには、製品やワークスペースのすべてのレコードに対する読み取りおよび書き込みのフルアクセス権があります。
- SPC アナリスト読み取り専用グループ - このグループのユーザーには、製品のすべてのレコードに対する読み取りのフルアクセス権があります。
緩和コントロールモニタリングのユーザーとメリット
| ユーザー | 説明 |
|---|---|
| サイバーセキュリティチーム、セキュリティアナリスト、マネージャー |
|
| 脆弱性管理チーム | 資産の脆弱性に対して利用可能な緩和策に関するインサイトを取得し、それらの脆弱性のリスクスコアを動的に調整します。 |
| 脅威防御チーム | 特定の攻撃テクニックに対する緩和またはセキュリティコントロール構成のギャップに関するインサイトを取得します。 |
セキュリティポスチャコントロールと緩和コントロールモニタリングのワークフロー
セキュリティポスチャコントロールでは、web-application-firewalls やエンドポイント保護ツールなどのセキュリティツールとの API 統合を使用して、資産に関する追加の構成データをインポートして分析し、特定の資産に適用可能な緩和コントロールを特定します。これらの API 統合では、SPC でサポートされているサービスグラフコネクタ統合とは異なり、さまざまなデータをインポートできます。これらの API 統合は SPC ワークスペース内で構成します。
緩和コントロールモニタリングを行う場合は、サービスグラフコネクタ統合や ITOM ディスカバリーも必要になります。たとえば、CrowdStrike エンドポイント保護構成で有効化される緩和コントロールに関するインサイトを新たにインポートするには、CrowdStrike サービスグラフコネクタと SPC でサポートされている CrowdStrike API 統合の両方をアクティブ化する必要があります。