Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Как создать собственные политики безопасности в облаке
7 апреля 2022 г.
Falcon Horizon, решение CrowdStrike для управления состоянием облачной безопасности, использует политики конфигурации и поведения для мониторинга развертываний общедоступных облаков, упреждающего выявления проблем и решения потенциальных проблем безопасности. Однако клиенты не ограничиваются предопределенными политиками. В этой статье будут рассмотрены различные варианты создания пользовательских политик управления состоянием безопасности облака в Falcon Horizon.
Основная панель управления Falcon Horizon иллюстрирует обзор последних результатов по всем зарегистрированным облачным учетным записям и провайдерам.
Эти выводы основаны на конфигурации политики. На вкладке «Политики» отображаются комплексные параметры, сгруппированные по поставщикам и службам, для мониторинга неправильных конфигураций облака, а также вредоносного поведения. В этом примере для сервиса Amazon S3 существует несколько вариантов политики для обеих категорий. Falcon Horizon также предоставляет возможность создавать собственные политики, наилучшим образом отвечающие потребностям организации.
На вкладке «Политики» в разделе «Состояние безопасности облака» есть возможность создать «Новую пользовательскую политику».
Мастер поможет создать новую политику. Первым шагом является выбор подходящего поставщика облачных услуг.
Далее назначается новое имя, описание и серьезность политики. В приведенном ниже примере эта настраиваемая политика идентификации Azure имеет средний уровень серьезности.
Чтобы создать новую политику с нуля, следующим шагом будет выбор типа актива, который будет соответствовать облачному сервису. В приведенном ниже примере показан тип актива пользователя AD. (Возможность выбора базовой политики будет описана в разделе «Изменение существующих политик».)
После выбора типа актива можно добавить фильтры и условия. Добавление правил на основе любого количества дополнительных критериев, включая определенные учетные записи, группы или арендаторов, делает новую политику более конкретной. Ниже показана политика, которая ищет включенные учетные записи, учетные данные которых не зарегистрированы для MFA, но сами учетные данные включены.
Во многих ситуациях может оказаться полезным начать с существующего правила и внести в него изменения или дополнения. Есть два разных подхода к этому в пользовательском интерфейсе. В списке политик некоторые политики содержат ссылку «Клонировать». При клонировании политики будут перенесены все сведения о политике и ее соответствии, но при этом будет разрешено изменение критериев правила.
Альтернативно, выбрав опцию «Новая пользовательская политика», вы увидите варианты для соответствующего поставщика облачных услуг.
Далее вам будет предложено ввести имя и уровень серьезности пользовательской политики, прежде чем выбирать соответствующую облачную службу. Следующий экран включает в себя две основные опции. Как показано выше, выбор типа актива — это первый шаг к созданию пустой политики. Напротив, выбор начать с существующей базовой политики приведет к репликации этой политики и связанной с ней логики запросов (показано ниже для AWS EC2).
После выбора клонированной или базовой политики существует ряд возможностей для внесения изменений. Существующие поля и операции можно редактировать. Хотя значок корзины позволяет удалить критерии, новые критерии также можно добавить, используя любое количество полей. В приведенном ниже примере порты, считающиеся высоким риском, могут быть добавлены или удалены. Было добавлено правило для имени тега, чтобы гарантировать, что это правило будет срабатывать каждый раз, когда публичный доступ к портам с высоким уровнем риска разрешен в системах с тегом, НЕ равным «test».
Выделенная выше опция «Проверить пользовательское правило» обеспечивает предварительный просмотр того, как это правило будет работать в среде.
После сохранения настраиваемых фильтров политики можно сопоставить эту политику с элементами управления соответствием. Хотя клонированные политики уже будут включать в себя все ассоциации соответствия, их также можно изменить по мере необходимости.
При использовании базовой политики или запуске с нуля на следующем этапе будут представлены параметры меню для обеспечения соответствия. Можно выбрать интегрированные системы обеспечения соответствия CrowdStrike, но также есть возможность «Добавить новое соответствие».