セキュリティ体制コントロールのポリシー

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む9読むのに数分

    • 各ユースケースは、潜在的な違反を見つけるために資産を監査するポリシーによって異なります。

    概要

    セキュリティ体制コントロールポリシーは、エンティティ-関係-プロパティデータモデルに基づいて構築されます。ポリシーを定義して、特定の基準に一致するエンティティまたは資産を検索できます。基準は、そのエンティティのプロパティまたは関連するエンティティのプロパティの条件の形式で指定できます。

    現在、次のプライマリ、またはトップレベルのエンティティまたは資産タイプを、ポリシーを定義する際の開始点として使用できます。セキュリティ体制コントロールポリシースキーマには、「脆弱性」、「メタデータ」などの他のサポートされているエンティティがありますが、これらのエンティティを開始点にすることはできません。プライマリエンティティまたはその関連エンティティから関係を使用して、これらのセカンダリエンティティに移動できます。

    主エンティティ:

    • ハードウェア資産
    • クラウド仮想マシン
    表 : 1. エンティティおよびセカンダリエンティティとの関係
    エンティティ 関係 ターゲットエンティティ 説明
    ハードウェア資産 CI クラスから CMDB フィールド CMDB のデフォルトクラスまたは CMDB のカスタム CI クラスを表します。
    ハードウェア資産 コネクタによる報告 コネクタ このエンティティを報告した、または報告しなかった Service Graph コネクタを表します。
    ハードウェア資産 報告者ではありません コネクタ このエンティティを報告した、または報告しなかった Service Graph コネクタを表します。
    ハードウェア資産 コネクタデータあり コネクタの詳細 この資産で利用可能な、Service Graph Connector に固有のプロパティを表します。
    ハードウェア資産 CMDB メタデータあり CMDBMetadata この資産の CMDB CI プロパティのコレクションを表します。
    ハードウェア資産 脆弱性あり 脆弱性レコード この資産に存在する脆弱性一致アイテムを表します。
    クラウド仮想マシン
    クラウド仮想マシン CI クラスから CMDB フィールド CMDB のデフォルトクラスまたは CMDB のカスタム CI クラスを表します。
    クラウド仮想マシン 報告者 コネクタ このクラウド資産を報告した Service Graph Connector を表します。
    クラウド仮想マシン 報告者ではありません コネクタ このクラウド資産を報告しなかった Service Graph Connector を表します。
    クラウド仮想マシン コネクタデータあり コネクタ Service Graph コネクタに固有の、このクラウド資産で利用可能なプロパティを表します。
    クラウド仮想マシン CMDB メタデータあり CMDB メタデータ このクラウド資産の CMDB CI プロパティのコレクションを表します。
    クラウド仮想マシン 脆弱性あり 脆弱性レコード このクラウド資産に存在する脆弱性一致アイテムを表します。
    クラウド仮想マシン クラウドメタデータあり クラウドメタデータ このクラウド資産のクラウドプロパティのコレクションを表します。
    クラウド仮想マシン ポートがインターネットに公開されている ポートを開く このクラウド資産上の、インターネットに対して開かれているポートを表します。
    表 : 2. それらのエンティティでサポートされているすべてのエンティティとプロパティ
    エンティティ プロパティ
    ハードウェア資産 なし
    クラウド仮想マシン
    • cloud-account-id
    • クラウドリージョン
    • クラウドプロバイダー
    クラウド仮想マシン:Service Graph Connector
    • カテゴリ:Service Graph Connector のカテゴリまたはタイプ (エンドポイント保護など)。
    • 製品名:Service Graph Connector を介して資産をレポートする製品の名前)。
    クラウド仮想マシン - コネクターデータ コネクタのカテゴリとタイプに固有の詳細情報 (ソフトウェアの詳細、資産の詳細、ネットワークインターフェイスの詳細など)
    CMDB メタデータ:接続
    • モデル情報 (モデル名、表示名、製造元) があります。
    • インストール済みソフトウェアを使用 - アンインストール文字列、バージョン、名前。
    CMDB メタデータ - プロパティ ホスト名、シリアル番号、OS ドメインなどのクラウドプロパティ。
    クラウドメタデータ
    • クラウド - リージョン
    • インターネット - 露出
    • クラウド - プロバイダー
    • クラウド - アカウント -id
    脆弱性
    • has-exploit
    • 重大度
    • CVE-id
    ポートを開く
    • ポート (開いているポート、たとえば 22)。
    • プロトコル (TCP など)。

    アプリケーションに含まれるポリシー

    Security Posture Control アプリケーションには、重要なユースケースに関連付けられ、最終的に SPC ワークスペースのランディングページ (ホームモジュール) のダッシュボードに重要なインサイトとして表示されるポリシーがいくつかあります。これらのポリシーを表示するには、次に移動します。 ワークスペース > Security Posture Control > リスト > すべて.

    これらのポリシーは編集できません。ただし、メタデータは変更できます。これらのポリシーを複製して独自のカスタムポリシーを作成できますが、複製したポリシーは、他の主要な分析情報とともにホームランディングページのダッシュボードに主要な分析情報として反映されないことに注意してください。

    作成したポリシーを複製してアクティブ化した後、ワークスペースのカスタムインサイトビルダーモジュール (ナビゲーターパネルの最後のモジュール) に独自のカスタムインサイトレコードを作成し、カスタムインサイトダッシュボード (ワークスペースの上部から 2 番目のアイコン) でデータを表示します。

    次の図は、エンドポイント保護が不足している資産を検索するポリシーが製品に含まれていることを示しています。このポリシーの条件では、Service Graph Connector によって報告されていないカテゴリ ([エンドポイント保護]) および、ネットワーク、インフラストラクチャ監視、またはクラウドプロバイダーのいずれかのカテゴリの Service Graph Connector によって報告される資産が検索されます。

    条件付きポリシーの例

    独自のポリシーの作成

    独自のポリシーを作成して資産を監視できます。これらのポリシーは、インストールしてアクティブ化したさまざまな Service Graph Connector からのデータに基づいており、次のような資産のコネクタ固有のメタデータが含まれています。
    • CrowdStrike エージェントバージョン
    • インターネットへの公開
    • 重大な脆弱性

    既存のポリシーをクローンして条件を追加するか、ポリシーを最初から作成することができます。カスタムポリシーには、OS、OS バージョン、FQDN などのメタデータの条件を含めて、たとえば古いソフトウェアで資産を監視するのに役立ちます。これらのプロパティは、任意の資産のさまざまな Service Graph Connector によって設定される共通の CMDB プロパティであることに注意してください。

    監視して資産数に含めたくない Governance, Risk, and Compliance (GRC) アプリケーションを使用して、承認済み例外の条件を追加することもできます。

    基本ポリシーと子ポリシー

    複数のポリシーを使用して資産を評価し、独自のカスタムインサイトを作成できます。大きなサンプルサイズから一致するアセットの数を減らす場合、または複数の一致条件に焦点を当てる場合は、複数のポリシーを使用できます。たとえば、オンプレミスとクラウドの両方で脆弱性がスキャンされていない総資産の数を示す比較グラフを作成するとします。

    また、任意のポリシーレコードから子ポリシーを作成して、検索条件をさらに絞り込み、より具体的な一致を返すこともできます。基本ポリシーのすべての条件は、子ポリシーでも継承されます。

    複数のポリシーを追加する場合:

    • レベル 1 がベースです。このポリシーは、たとえば、Active Directory Service Graph Connector によって報告された Active Directory 内のすべての資産など、(N) 単位の広範なサンプルサイズを照会します。
    • レベル 2 は、最初のポリシーの結果を評価します。このポリシーは、(N) のサブセットのみを評価します。たとえば、Active Directory 内のすべての資産から、脆弱性がスキャンされていない脆弱性アセスメントツールを使用して資産のみを返します。
    • レベル 3 は、ポリシー 1 と 2 などの結果を評価します。たとえば、脆弱性がスキャンされていない脆弱性評価ツールを使用して Active Directory 内のすべての資産から、不足しているエンドポイント保護エージェントのみを返します。
    • 注: 階層内に複数のポリシーを設定できます。階層では、資産が階層内の各レベルとどのように一致するかについて、さまざまな分類を表示できます。

    子ポリシーを作成するには、ポリシーレコードで [ 新しいポリシー ] を選択し、必要な条件を設定します。既存のポリシーの条件を開始として使用し、既存のポリシーおよび承認済みの例外から結果を除外するオプションがあります。詳細については、「セキュリティ体制コントロールのポリシーの作成、クローン作成、およびアクティブ化」を参照してください。

    カスタムインサイトのポリシーを選択する場合、階層を変更しない限り、親ポリシーと同じレベルの子ポリシーを選択することはできません。

    メタデータと CMDB フィルタリング

    セキュリティチームが古いソフトウェアを使用して資産を監視することが重要になる場合があります。以下に示す共通プロパティを含めるポリシー基準を指定できます。
    • OS
    • OS バージョン
    • ホスト名
    • FQDN
    • IP アドレス
    • IP バージョン
    • ネットマスク
    • MAC アドレス
    • MAC メーカー
    • ソフトウェア
    • RAM
    • シリアル番号
    • NIC
    • シリアル番号タイプ
    • ロケーション
    • CPU カウント
    • ディスクスペース
    注:
    このメタデータを収集するには、Service Graph Connector によって入力される CMDB メタデータ接続から次のプロパティを使用できる必要があります。

    Governance, Risk, and Compliance (GRC) アプリケーションの例外

    Integrated Risk Management (IRM) 例外は、Governance, Risk, and Compliance (GRC) 製品から承認された例外を含む資産です。ポリシーには、例外の条件を追加して、これらの資産を監視してカウントに含めないようにするオプションがあります。

    たとえば、一部の資産には、IRM を使用した特定のコントロール目標に対して承認された例外がある場合があります。返される一致を減らすために、情報セキュリティ チームは、既に承認されている IRM 例外を含むセキュリティ コントロールの監視からこれらの資産を除外することができます。