banner

Nouvelles

Dec 30, 2023

Comment créer des politiques de posture de sécurité cloud personnalisées

7 avril 2022

Falcon Horizon, la solution Cloud Security Posture Management de CrowdStrike, utilise des politiques de configuration et de comportement pour surveiller les déploiements de cloud public, identifier de manière proactive les problèmes et résoudre les problèmes de sécurité potentiels. Toutefois, les clients ne sont pas limités aux politiques prédéfinies. Cet article passera en revue les différentes options permettant de créer des politiques personnalisées de gestion de la posture de sécurité du cloud dans Falcon Horizon.



Le tableau de bord principal de Falcon Horizon illustre un aperçu des résultats récents de tous les comptes et fournisseurs cloud enregistrés.

Ces résultats sont basés sur la configuration de la stratégie. L'onglet « Politiques » affiche des options complètes, classées par fournisseur et service, pour surveiller les mauvaises configurations du cloud ainsi que les comportements malveillants. Dans cet exemple pour le service S3 d'Amazon, il existe un certain nombre d'options de politique pour les deux catégories. Falcon Horizon fournit également la fonctionnalité permettant de créer des politiques personnalisées adaptées pour répondre au mieux aux besoins d'une organisation.

Dans l'onglet « Politiques » sous « Posture de sécurité du cloud », il existe une option permettant de créer une « Nouvelle politique personnalisée ».

Un assistant guidera la création de la nouvelle politique. La première étape consiste à choisir le fournisseur de cloud applicable.

Ensuite, un nouveau nom de stratégie, une nouvelle description et une nouvelle gravité sont attribués. Dans l’exemple ci-dessous, cette stratégie d’identité Azure personnalisée est de gravité moyenne.

Pour créer une nouvelle politique à partir de zéro, l'étape suivante consiste à choisir un type d'actif qui correspondra au service cloud. L'exemple ci-dessous montre un type d'actif d'utilisateur AD. (L'option de sélection d'une politique de base sera couverte sous « Modifier les politiques existantes ».)

Une fois le type d'actif sélectionné, des filtres et des conditions peuvent être ajoutés. L'ajout de règles basées sur un certain nombre de critères supplémentaires, notamment des comptes, des groupes ou des locataires spécifiques, rendent la nouvelle stratégie plus spécifique. Vous trouverez ci-dessous une stratégie qui recherche les comptes activés pour lesquels les informations d'identification qui ne sont pas enregistrées pour MFA, mais les informations d'identification elles-mêmes sont activées.

Dans de nombreuses situations, il peut être utile de partir d’une règle existante et d’y apporter des modifications ou des ajouts. Il existe deux manières différentes d’aborder cela dans l’interface utilisateur. Dans la liste des politiques, certaines politiques incluent un lien « Cloner ». Le clonage d'une stratégie conservera tous les détails de la stratégie et de la conformité, tout en permettant de modifier les critères de la règle.

Alternativement, la sélection de l'option « Nouvelle politique personnalisée » présentera les options du fournisseur de cloud concerné.

Ensuite, vous êtes invité à saisir un nom de stratégie personnalisé et une gravité avant de sélectionner le service cloud approprié. L'écran suivant comprend deux options principales. Comme indiqué ci-dessus, la sélection d'un type d'actif est la première étape pour créer une stratégie vierge. En revanche, choisir de commencer avec une stratégie de base existante répliquera cette stratégie et la logique de requête associée (illustré ci-dessous pour AWS EC2).

Une fois la stratégie clonée ou de base sélectionnée, il existe un certain nombre d'options pour apporter des modifications. Les champs et opérations existants peuvent être modifiés. Bien que l'icône de la corbeille offre la possibilité de supprimer des critères, de nouveaux critères peuvent également être ajoutés en utilisant n'importe quel nombre de champs. Dans l'exemple ci-dessous, les ports considérés comme à haut risque peuvent être ajoutés ou supprimés. Une règle pour le nom de balise a été ajoutée pour garantir que cette règle sera déclenchée chaque fois qu'une entrée publique sur des ports à haut risque est autorisée vers des systèmes avec une balise NON égale à « test ».

L'option « Tester la règle personnalisée » en surbrillance ci-dessus fournit un aperçu de la façon dont cette règle fonctionnera dans l'environnement.

Après avoir enregistré les filtres de stratégie personnalisés, il existe des options pour mapper cette stratégie aux contrôles de conformité. Même si les stratégies clonées incluent déjà toutes les associations de conformité, celles-ci peuvent également être modifiées si nécessaire.

Lorsque vous utilisez une ligne de base de politique ou que vous partez de zéro, l'étape suivante présentera les options de menu pour la conformité. Les cadres de conformité intégrés CrowdStrike peuvent être sélectionnés, mais il existe également la possibilité « Ajouter une nouvelle conformité ».

PARTAGER