セキュリティ体制コントロールのポリシーの作成、クローン作成、およびアクティブ化

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • 独自のカスタムポリシーを作成して、ツールの範囲やその他のリスクの高い組み合わせについて資産を監視します。

    始める前に

    開始する前に、「脆弱性がある資産の検出」のユースケースとセキュリティツールの範囲のギャップ セキュリティ体制コントロールのユースケース を参照して、Service Graph Connector for the CrowdStrike 製品と Vulnerability Response アプリケーションがインストールされていることを確認してください。

    ポリシーの作成に必要な手順を理解するには、次の例に従ってください。このポリシーで、CrowdStrike 製品によって表示または報告されておらず、log4shell 脆弱性「CVE-2021-44228」があるすべての資産を検索するポリシーを作成するとします。

    必要なロール:
    • SPC 管理者グループ
    • SPC アナリストグループ

    手順

    1. 移動先 ワークスペース > Security Posture Control > リスト > 方針 > すべて.
    2. [ 新しいポリシー] を選択します。
    3. 上部の名前の横にある鉛筆アイコンを選択して、メタデータを変更します。

      フィールドに入力します。

      フィールド 説明
      名前 ポリシーの一意の名前。
      臨界 リストから 1 つ選択します。
      簡単な説明 ポリシーの一意の説明。
    4. [ メタデータの保存] を選択します。
    5. フォームの最初のフィールドで、リストから [ハードウェア資産 ] を選択します。

      ページの右側にある [基本ポリシー] と [除外ポリシー] オプションに注意してください。

      • 基本ポリシー - 既存のポリシーの条件を継承して、開始点としてこのポリシーのベースとして使用できます。
      • 除外ポリシー - 一致する資産を既存のポリシーから除外して、その結果がこのポリシーで無視されるようにすることができます。このオプションは、このポリシーに対して返される結果をさらに絞り込んだり、資産に対して承認された例外を無視したりするのに役立つ場合があります。

      [接続] フィールドと [エンティティ] フィールドが表示されます。

    6. [接続] フィールドのリストから [ 報告者 なし] を選択します。
      [ターゲットエンティティ] フィールドには、 Service Graph Connector が自動的に入力されます。[基準] フィールドを含む新しい条件が、[プロパティ]、[演算子]、および [値] フィールドとともに表示されます。 プロパティ が [基準] フィールドに表示されます。
    7. 表示された値の一覧から [カテゴリ] [次の値に等しい] [エンドポイント保護] を選択します。
    8. [値] フィールドの右側にある [AND ] 演算子を選択し、[エンドポイント 保護] が入力されています。
    9. 次のフィールドセットで、[ Product-name][is][CrowdStrike] を選択します。
    10. Service Graph Connector が入力された最初のエンティティフィールドの上部にある and 演算子を選択して、新しい [接続] フィールドと [エンティティ] フィールドを表示します。
    11. [報告者] を選択します。
      [エンティティ] フィールドには自動入力されます (Service Graph Connector)。新しい条件 (基準) が [プロパティ]、[演算子]、および [値] のフィールドとともに表示されます。 プロパティ が [基準] フィールドに表示されます。
    12. [ カテゴリ][次の値に等しい][ネットワーク]を選択します。
    13. [ネットワーク] が入力された [値] フィールドの横にある and 演算子を選択します。
    14. [カテゴリ][ 次の値に等しい][インフラストラクチャ監視]を選択します。
    15. Service Graph Connector が設定された [エンティティ] フィールドの 2 番目で and 演算子を選択します。
    16. 新しい [接続] フィールドで、[ 脆弱性あり] を選択します。
      [エンティティ] フィールドには 、脆弱性が自動的に入力されます。
    17. [ CVE-id][is] を選択し、 CVE-2021-44228 と入力します。
      ポリシー条件はイメージと一致している必要があります。

      ポリシー条件

    18. [ ポリシーの保存] を選択し、結果を構成して、ポリシーをアクティブ化します。

      ポリシーを保存してアクティブ化すると、次回の実行時にスケジュールされた SGC からインポートされたデータが評価されます。ワークスペースのカスタム分析情報ダッシュボードにデータを表示する場合は、ダッシュボードのカスタム分析情報構成モジュール (ワークスペースの最後のアイコン) で新しい分析情報を作成する必要があります。カスタムインサイトをアクティブ化すると、そのデータがワークスペースのカスタムインサイトダッシュボード (2 番目のアイコン) に表示されます。

    19. [ポリシーの保存] の右側にあるメニューから、 [ 結果の構成] を選択します。
    20. フィールドに入力します。
      オプション説明
      検出結果を生成

      [はい] を選択して検出結果を生成します。

      検出結果を生成しない場合は、[いいえ] を選択します。
      アサインルールを構成 リンクを選択してアサインルールを設定し、Configuration Compliance アプリケーションで修復のために検出結果を割り当てます。[sn_vulc_assignment_rule_list] テーブルには、Configuration Compliance で使用できるデフォルトのアサインルールがあります。
    21. [構成の保存] を選択します。
    22. オプション: このポリシーまたは既存のポリシーを複製する場合は、[ポリシーのアクティブ化] の横にあるメニューから [ポリシーの複製] を選択します。

      任意のポリシーをベースとして使用して子ポリシーを作成し、条件を再度入力することなく既存のポリシーを拡張できます。基本ポリシーのすべての条件は、子ポリシーでも継承されます。新しいポリシーレコードが開き、クローンされたポリシーの名前の後に「copy」が続きます。

      [ 除外ポリシー ] を選択し、このポリシーの検出結果から除外するポリシーを選択します。既存のポリシーに一致する新しいポリシーの検出結果は、検出結果に含まれません。

    23. [ 基本ポリシー ] を選択し、アクティブなポリシーを親ポリシーとして選択します。

      このオプションは、既存のポリシーの条件を新しいポリシーの開始点として使用する場合に選択できます。

      複数のポリシーを追加する場合は、次の階層に注意してください。ポリシー階層には複数のポリシーを含めることができます。各ポリシーで、資産が各レベルをどのように一致させるかについてのさまざまな分類を表示できます。

      • レベル 1 がベースです。このポリシーは、たとえば、Active Directory Service Graph Connector によって報告された Active Directory 内のすべての資産など、(N) 単位の広範なサンプルサイズを照会します。
      • レベル 2 は、最初のポリシーの結果を評価します。このポリシーは、(N) のサブセットのみを評価します。たとえば、Active Directory 内のすべての資産から、脆弱性がスキャンされていない脆弱性アセスメントツールを使用して資産のみを返します。
      • レベル 3 は、ポリシー 1 と 2 などの結果を評価します。たとえば、脆弱性がスキャンされていない脆弱性評価ツールを使用して Active Directory 内のすべての資産から、不足しているエンドポイント保護エージェントのみを返します。
      注:
      階層内に複数のポリシーを設定できます。階層では、資産が階層内の各レベルとどのように一致するかについて、さまざまな分類を表示できます。
    24. ポリシーを保存します。
      ポリシーは、ワークスペースのリストモジュールの [すべて] リストに表示されます。
    25. ポリシーを有効にするには、ポリシーレコードを開き、[ ポリシーの有効化] を選択します。