Como configurar e exibir suas descobertas para o Security Posture Control

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Você pode exibir as descobertas geradas pela avaliação de políticas no Security Posture Control no espaço do Security Posture Control.

    Visão geral

    Todos os ativos correspondentes são relatados como "Descobertas". Você pode configurar as descobertas a serem geradas a partir da execução de políticas para que essas descobertas possam ser atribuídas a várias equipes para correção ou usadas para geração de relatórios. O Security Posture Control publica essas descobertas como "Resultados de testes" no módulo Configuration Compliance. Todos os controles administrativos na aplicação Configuration Compliance que estão relacionados à atribuição, agrupamento, ou seja, geração de tarefa de correção, destinos de correção e exceções são compatíveis com as descobertas geradas pelo Security Posture Control.

    Os tipos de descobertas:

    Cobertura da ferramenta
    Este tipo representa uma lacuna de cobertura da ferramenta de segurança. Este tipo de descoberta é aplicável a políticas que usam relacionamentos de conector "Relatado por" e "Não relatado".
    Exposição na Internet
    Este tipo representa a exposição na Internet de um ativo de nuvem. Este tipo de descoberta é aplicável a políticas que usam o relacionamento "Tem porta exposta à Internet" em máquinas virtuais em nuvem.
    Combinação de alto risco
    Este tipo representa um problema com mais de um fator de risco associado, por exemplo, ativos com vulnerabilidades críticas e um agente de proteção de endpoint ausente.
    Exceção da Gestão de riscos integrados (IRM)
    Este tipo representa um ativo com uma exceção aprovada do produto de Governança, risco e conformidade (GRC). Se indicado, essas exceções não serão incluídas nas contagens de descobertas.

    Rótulos de postura de segurança são gerados e anexados aos resultados de testes. Um rótulo de um tipo apropriado, "cobertura da ferramenta", por exemplo, é atribuído automaticamente aos resultados de testes com base no tipo de política.

    Ao usar rótulos de postura de segurança associados às descobertas, você pode escrever regras de atribuição no Configuration Compliance para rotear esses problemas para as respectivas equipes para correção. Por exemplo, você pode enviar descobertas de "Cobertura da ferramenta" para uma equipe de operações de TI e "Exposição na Internet" para uma equipe de aplicações.

    No entanto, se um dos responsáveis pela correção corrigir o problema em uma combinação, a outra descoberta será encerrada automaticamente, pois essas descobertas são geradas a partir de uma política que procura a combinação. Por exemplo, se a equipe de operações de TI fechar a descoberta "Cobertura da ferramenta" instalando o agente de proteção de endpoint, a descoberta "Exposição na Internet" gerada a partir desta política será fechada automaticamente, mesmo que o ativo seja voltado para a Internet, já que esta descoberta é gerada de uma política que procura uma combinação de problemas. Se você quiser rastrear o problema de exposição na Internet nos ativos, é recomendável criar outra política que procure somente a exposição na Internet nos ativos sem outros fatores de risco.

    Onde exibir as descobertas

    Você tem essas opções para exibir as descobertas geradas pela avaliação de políticas.

    • Navegar até Espaço do Security Posture Control > Listas > Descobertas > Todos.
    • Em um registro de política, selecione Exibir descobertas. A lista exibe grupos de descobertas que as organizam em categorias gerais, como "Combinação de alto risco", "Exposição na Internet" e assim por diante, mas esses grupos não são agrupamentos formais que podem ser usados para correção. Você precisa configurar regras de correção e atribuição no Configuration Compliance para descobertas.
    • Na aplicação Configuration Compliance, selecione Resultados de testes e filtre os registros por Origem que seja ServiceNow SPC.

    O painel

    No espaço do Security Posture Control, a página inicial (página principal) exibe estas visualizações:

    Visão geral
    • Ativos: número de ativos monitorados no local e na nuvem.
    • Descobertas por criticidade: número de descobertas críticas do total de ativos.
    • Ativos monitorados pelas 5 principais origens: os 5 principais Conectores do Service Graph que geram relatórios sobre ativos.
    • Contas de nuvem: número de contas de nuvem monitoradas pela AWS e pelo Azure.
    • Descobertas abertas versus encerradas: comparação de registros ainda em processo ou aguardando resolução e aqueles que foram resolvidos.
    Informações principais
    • Agente de proteção de endpoint instalado: número total de ativos que têm ou não proteção de endpoint.
    • Cobertura de dispositivo gerenciado: número de ativos gerenciados comparados aos não gerenciados.
    • Cobertura de verificação de vulnerabilidades: número total de ativos verificados em comparação com o número que não é verificado quanto a vulnerabilidades conhecidas por um scanner de vulnerabilidade de terceiros.
    • Ativos com vulnerabilidades críticas: número de ativos do número total de ativos que têm vulnerabilidades críticas.
    • Itens vulneráveis por criticidade: número total de itens vulneráveis divididos por severidade. Uma vulnerabilidade conhecida que corresponde a um ativo no seu CMDB resulta em um item vulnerável.
    • 3 principais políticas por descobertas: políticas que retornam a maioria das descobertas (correspondências) em seus ativos.

    Cobertura de caso de uso principal

    Selecione um caso de uso e selecione Ajudar a ativar ou Ajudar a melhorar para exibir quais conectores do Service Graph e políticas devem ser ativados para os principais casos de uso.