Criar, clonar e ativar uma política para o Security Posture Control

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Crie suas próprias políticas personalizadas para monitorar ativos para cobertura de ferramenta e outras combinações de alto risco.

    Antes de Iniciar

    Antes de começar, consulte o caso de uso para Detectar ativos com vulnerabilidades e lacunas na cobertura da ferramenta de segurança descrito em Casos de uso no Security Posture Control para garantir que você ativou o Conector do Service Graph para o produto CrowdStrike e instalou a aplicação Vulnerability Response.

    Para entender as etapas necessárias para criar uma política, siga o exemplo fornecido abaixo. Para esta política, digamos que você queira criar uma política que encontre todos os ativos que não sejam vistos ou relatados pelo produto CrowdStrike e tenham uma vulnerabilidade log4shell, "CVE-2021-44228".

    Funções necessárias:
    • Grupo de administradores de SPC
    • Grupo de analistas do SPC

    Procedimento

    1. Navegar até Espaços > Controle de posturas de segurança > Lista > Políticas > Todos.
    2. Selecione Nova política.
    3. Selecione o ícone de lápis ao lado do nome na parte superior para modificar os metadados.

      Preencha os campos.

      Campo Descrição
      Nome Um nome exclusivo para sua política.
      Criticidade Selecione um na lista.
      Descrição resumida Uma descrição exclusiva da sua apólice.
    4. Selecione Salvar metadados.
    5. No primeiro campo do formulário, selecione Ativo de hardware na lista.

      Observe as opções de Política de base e Política de exclusão à direita da página.

      • Política de base: você pode herdar as condições de uma política existente para usar como base para esta política como ponto de partida.
      • Políticas de exclusão: você pode excluir ativos correspondentes de uma ou mais políticas existentes para que seus resultados sejam ignorados nesta política. Esta opção pode ajudar a refinar ainda mais os resultados retornados para esta política ou permitir que você ignore quaisquer exceções aprovadas para ativos.

      Os campos Conexão e Entidade são exibidos.

    6. Selecione Não relatado por na lista do campo Conexão.
      O campo Entidade de destino é preenchido automaticamente com o Conector do Service Graph. Uma nova condição com o campo Critérios é exibida com os campos Propriedade, Operador e Valor. A propriedade é exibida no campo Critérios.
    7. Selecione [Categoria][é][Proteção de endpoint] na lista de valores exibida.
    8. Selecione o operador e à direita do campo Valor preenchido com Endpoint Protection.
    9. No próximo conjunto de campos, selecione [Product-name][is][CrowdStrike].
    10. Selecione o operador e na parte superior do primeiro campo Entidade preenchido com o Conector do Service Graph para exibir os novos campos Conexão e Entidade.
    11. Selecione Relatado por.
      O campo Entidade é preenchido automaticamente (Conector do Service Graph). Uma nova condição (Critérios) é exibida com campos para Propriedade, Operador e Valor. A propriedade é exibida no campo Critérios.
    12. Selecione [Categoria][é][Rede].
    13. Selecione o operador e ao lado do campo Valor preenchido com Rede.
    14. Selecione [Categoria][é][Monitoramento de infraestrutura].
    15. Selecione o operador e pelo segundo do campo Entidade preenchido com o Conector do Service Graph.
    16. No novo campo Conexão, selecione Com vulnerabilidade.
      O campo Entidade é preenchido automaticamente com Vulnerabilidade.
    17. Selecione [CVE-id][is] e insira CVE-2021-44228.
      As condições da política devem corresponder à imagem.

      Condições da política

    18. Selecione Salvar política, configure as descobertas e ative a política.

      Depois de salvar e ativar uma política, ela avalia os dados importados do SGC programados na próxima execução. Se você quiser exibir os dados no painel de informações personalizadas no espaço de trabalho, deverá criar uma nova informação no módulo de configuração de informações personalizadas no painel (último ícone no espaço de trabalho). Depois de ativar a informação personalizada, seus dados são exibidos no painel Informações personalizadas no espaço de trabalho (segundo ícone).

    19. No menu à direita de Salvar política, selecione Configurar descobertas.
    20. Preencha os campos.
      OpçãoDescrição
      Gerar descobertas

      Escolha Sim para gerar descobertas.

      Escolha não se você não quiser gerar descobertas.
      Configurar regras de atribuição Selecione o link para configurar regras de atribuição para atribuir descobertas para correção na aplicação Configuration Compliance. Há uma regra de atribuição padrão na tabela [sn_vulc_assignment_rule_list] que você pode usar no Configuration Compliance.
    21. Selecione Salvar configuração.
    22. Opcional: Se você quiser clonar esta política ou qualquer política existente, selecione Clonar política no menu ao lado de Ativar política.

      Você pode criar uma política secundária usando qualquer política como base para ajudá-lo a estender as políticas existentes sem precisar inserir as condições novamente. Todas as condições na política base também são herdadas na política secundária. Um novo registro de política é aberto com o nome da política clonada seguido por "cópia".

      Selecione Políticas de exclusão e selecione as políticas que você deseja excluir das descobertas desta política. Quaisquer descobertas em sua nova política que correspondam a qualquer política ou políticas existentes não serão incluídas em suas descobertas.

    23. Selecione a Política base e selecione qualquer política ativa como a política primária.

      Você pode escolher esta opção se quiser usar as condições de uma política existente como ponto de partida para sua nova política.

      Se você adicionar mais de uma política, observe a seguinte hierarquia. Você pode ter várias políticas em uma hierarquia de políticas. Com cada política, você pode exibir as diferentes classificações de como seus ativos correspondem a cada nível.

      • O nível 1 é a base. Esta política consulta um tamanho de amostra extensivo em (N), por exemplo, todos os ativos no Active Directory relatados pelo conector do Active Directory Service Graph.
      • O nível 2 avalia os resultados da primeira política. Esta política avalia somente um subconjunto de (N). Por exemplo, de todos os ativos no Active Directory, retorne somente os ativos com ferramentas de avaliação de vulnerabilidade que não sejam verificados quanto a vulnerabilidades.
      • O nível 3 avalia os resultados das políticas 1 e 2 e assim por diante. Por exemplo, de todos os ativos no seu Active Directory com ferramentas de avaliação de vulnerabilidade que não são verificadas quanto a vulnerabilidades, retorne somente os agentes de proteção de endpoint ausentes.
      Nota:
      Você pode ter várias políticas em uma hierarquia. Com a hierarquia, você pode exibir as diferentes classificações de como seus ativos correspondem a cada nível na hierarquia.
    24. Salve sua política.
      Sua política é exibida na lista Todos no módulo Lista no espaço.
    25. Para ativar uma política, abra o registro da política e selecione Ativar política.