Políticas para controle de postura de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 7 min. de leitura

    • Cada caso de uso depende de uma ou mais políticas que auditam seus ativos para encontrar possíveis violações.

    Visão geral

    As políticas de controle de postura de segurança são criadas em um modelo de dados entity-relationships-properties. Você pode definir políticas para procurar uma entidade ou ativo que corresponda a um critério específico. O critério pode ser especificado na forma de condições nas propriedades dessa entidade ou nas propriedades de uma entidade relacionada.

    Atualmente, as seguintes entidades ou tipos de ativo primários ou de nível superior podem ser usados como ponto de partida na definição das políticas. Existem outras entidades compatíveis no esquema da política de controle de postura de segurança, como "Vulnerabilidade" ou "Metadados", mas essas entidades não podem ser o ponto de partida. Você pode navegar até essas entidades secundárias usando um relacionamento das entidades primárias ou de suas entidades relacionadas.

    Entidades primárias:

    • Ativo de hardware
    • Máquina Virtual em Nuvem
    Tabela 1. Entidades e seus relacionamentos com entidades secundárias
    Entidade Relacionamento Entidade de destino Descrição
    Ativo de hardware Da classe de IC Campos do CMDB Representa classes padrão no CMDB ou suas classes de IC personalizadas no CMDB.
    Ativo de hardware Relatado por conector Conector Representa um Conector do Service Graph que relatou ou não relatou esta entidade.
    Ativo de hardware Não relatado por Conector Representa um Conector do Service Graph que relatou ou não relatou esta entidade.
    Ativo de hardware Com dados do conector Detalhes do conector Representa todas as propriedades disponíveis neste ativo que são específicas do Service Graph Connector.
    Ativo de hardware Com metadados do CMDB Metadados do CMDB Representa a coleção de propriedades de IC do CMDB neste ativo.
    Ativo de hardware Com vulnerabilidade Registro de vulnerabilidade Representa um item vulnerável presente neste ativo.
    Máquina Virtual em Nuvem
    Máquina Virtual em Nuvem Da classe de IC Campos do CMDB Representa classes padrão no CMDB ou suas classes de IC personalizadas no CMDB.
    Máquina Virtual em Nuvem Relatado por Conector Representa um Conector do Service Graph que relatou este ativo de nuvem.
    Máquina Virtual em Nuvem Não relatado por Conector Representa um Conector do Service Graph que não relatou este ativo de nuvem.
    Máquina Virtual em Nuvem Com dados do conector Conector Representa todas as propriedades disponíveis neste ativo de nuvem que são específicas de um conector do Service Graph.
    Máquina Virtual em Nuvem Com metadados do CMDB CMDBMetadata Representa a coleção de propriedades de IC do CMDB neste ativo de nuvem.
    Máquina Virtual em Nuvem Com vulnerabilidade Registro de vulnerabilidade Representa um item vulnerável presente neste ativo de nuvem.
    Máquina Virtual em Nuvem Tem metadados de nuvem Metadados em nuvem Representa a coleção de propriedades de nuvem neste ativo de nuvem.
    Máquina Virtual em Nuvem Tem porta exposta à Internet Abrir porta Representa uma porta neste ativo de nuvem que está aberta à Internet.
    Tabela 2. Todas as entidades e propriedades compatíveis com essas entidades
    Entidade Propriedades
    Ativo de hardware Nenhum(a)
    Máquina Virtual em Nuvem
    • ID da conta de nuvem
    • Nuvem - região
    • provedor de nuvem
    Máquina virtual em nuvem - Conector do Service Graph
    • Categoria: categoria ou tipo do Conector do Service Graph, por exemplo, proteção de endpoint.
    • Nome do produto: o nome do produto que relata os ativos por meio do Conector do Service Graph.
    Máquina virtual em nuvem - Dados do conector Detalhes específicos a categorias e tipos de conectores, por exemplo, Detalhes de software, Detalhes de ativo, Detalhes de interface de rede
    Metadados do CMDB – Conexão
    • Tem informações do modelo: nome do modelo, nome de exibição, fabricante.
    • Com o software instalado - Cadeia de caracteres de desinstalação, versão, nome.
    Metadados do CMDB - Propriedade Propriedades de nuvem, como nome do host, número de série, domínio do SO.
    Metadados em nuvem
    • Cloud-region
    • Internet - exposição
    • provedor de nuvem
    • ID da conta de nuvem
    Vulnerabilidade
    • Has-exploit
    • Gravidade
    • ID de CVE
    Abrir Porta
    • Porta (porta que está aberta, por exemplo, 22).
    • Protocolo (por exemplo, TCP).

    Políticas incluídas com a aplicação

    Existem algumas políticas incluídas com a aplicação Security Posture Control que estão vinculadas a casos de uso importantes e são mostradas como informações importantes no painel na página principal (módulo inicial) no espaço de SPC. Para exibir essas políticas, navegue até Espaços > Controle de posturas de segurança > Lista > Todos.

    Essas políticas não podem ser editadas. No entanto, você pode alterar os metadados. Você pode clonar essas políticas para criar suas próprias políticas personalizadas, mas observe que as políticas clonadas não são refletidas como informações importantes no painel na página inicial do com as outras informações importantes.

    Depois de clonar e ativar as políticas criadas, você cria seu próprio registro de informações personalizadas no módulo do Construtor de informações personalizadas no espaço de trabalho (o último módulo no painel do navegador) e exibe os dados no painel Informações personalizadas (o segundo ícone de na parte superior do espaço).

    A imagem a seguir mostra uma política incluída com o produto que procura ativos sem proteção de endpoint. As condições desta política procuram ativos que não são relatados pelo Conector do Service Graph da categoria "Proteção de endpoint" e são relatados pelos Conectores do Service Graph em qualquer uma das categorias: Rede, Monitoramento de infraestrutura ou Provedor de nuvem.

    Exemplo de política com condições

    Como criar suas próprias políticas

    Você pode criar suas próprias políticas para monitorar seus ativos. Essas políticas são baseadas em dados dos vários Conectores do Service Graph instalados e ativados, que incluem metadados específicos do conector para os ativos, como:
    • Versão do agente do CrowdStrike
    • Exposto à internet
    • Vulnerabilidades críticas

    Você pode clonar uma política existente e adicionar condições a ela ou criar uma política do zero. Para suas políticas personalizadas, você pode incluir condições para metadados, como SO, versão do SO e FQDN, por exemplo, para ajudá-lo a monitorar ativos com software mais antigo. Observe que essas propriedades são comuns do CMDB preenchidas por vários Conectores do Service Graph para qualquer ativo.

    Você também pode adicionar uma condição para exceções aprovadas com a aplicação de Governança, risco e conformidade (GRC) que não deseja monitorar e incluir em suas contagens de ativos.

    Políticas de base e políticas secundárias

    Você pode usar várias políticas para avaliar seus ativos e criar suas próprias informações personalizadas. Você pode usar mais de uma política se quiser reduzir o número de ativos correspondentes de um tamanho de amostra grande ou se concentrar em mais de uma condição correspondente. Como exemplo, digamos que você queira criar um gráfico de comparação que mostre quantos de seus ativos totais, no local e na nuvem, não foram verificados quanto a vulnerabilidades.

    Você também pode criar políticas secundárias a partir de qualquer registro de política para ajudar a refinar ainda mais seus critérios de pesquisa e retornar correspondências mais específicas. Todas as condições na política base também são herdadas na política secundária.

    Se você adicionar mais de uma política:

    • O nível 1 é a base. Esta política consulta um tamanho de amostra extensivo em (N), por exemplo, todos os ativos no Active Directory relatados pelo conector do Active Directory Service Graph.
    • O nível 2 avalia os resultados da primeira política. Esta política avalia somente um subconjunto de (N). Por exemplo, de todos os ativos no Active Directory, retorne somente os ativos com ferramentas de avaliação de vulnerabilidade que não sejam verificados quanto a vulnerabilidades.
    • O nível 3 avalia os resultados das políticas 1 e 2 e assim por diante. Por exemplo, de todos os ativos no seu Active Directory com ferramentas de avaliação de vulnerabilidade que não são verificadas quanto a vulnerabilidades, retorne somente os agentes de proteção de endpoint ausentes.
    • Observação: é possível ter várias políticas em uma hierarquia. Com a hierarquia, você pode exibir as diferentes classificações de como seus ativos correspondem a cada nível na hierarquia.

    Para criar uma política secundária, em um registro de política, selecione Nova política e defina as condições desejadas. Você tem a opção de usar as condições de uma política existente como início e excluir resultados de políticas existentes e exceções aprovadas. Para obter mais informações, consulte Criar, clonar e ativar uma política para o Security Posture Control.

    Ao selecionar políticas para informações personalizadas, você não pode escolher uma política secundária no mesmo nível de uma política primária, a menos que altere a hierarquia.

    Filtragem de metadados e CMDB

    Pode ser importante para suas equipes de segurança monitorar ativos com software mais antigo. Você pode especificar critérios de política para incluir as propriedades comuns listadas abaixo.
    • SO
    • Versão do SO
    • Nome do host
    • FQDN
    • Endereço IP
    • Versão do IP
    • Máscara de rede
    • Endereço MAC
    • Fabricante do MAC
    • Software
    • RAM
    • Número de Série
    • NIC
    • Tipo de Número de Série
    • Localização
    • Contagem de CPUs
    • Espaço em Disco
    Nota:
    Para coletar esses metadados, as propriedades a seguir devem estar disponíveis na conexão de metadados do CMDB preenchida pelos conectores do Service Graph.

    Exceções com a aplicação Governance, Risk, and Compliance (GRC)

    Uma exceção de Gestão de riscos integrada (IRM) é um ativo com uma exceção aprovada do produto de Governança, risco e conformidade (GRC). Você tem a opção em uma política de adicionar uma condição para uma exceção para não monitorar esses ativos e incluí-los em suas contagens.

    Por exemplo, alguns ativos podem ter exceções aprovadas para determinados objetivos de controle com IRM. Para reduzir as correspondências retornadas, as equipes de segurança da informação podem excluir esses ativos do monitoramento de controles de segurança com exceções de IRM que já foram aprovadas.