ポリシー エンジンを使用すると、Defender 外部攻撃面管理 (Defender EASM) ユーザーは、事前に定義されたパラメーターに基づいて特定のアクションを自動化できます。 非常に柔軟なクエリ パラメーターに基づいて資産にラベルを付けたり、状態を変更したりして、攻撃対象領域のキュレーションを自動化することができます。 定義されると、ポリシーが自動的に実行され、インベントリが特定のニーズに応じて定期的に分類されます。 ポリシー エンジンを使用すると、次のアクションを使用して、最小限の手動作業で一括でビジネス コンテキストをインベントリに適用できます。
- ラベルを追加または削除する
- 外部 ID を設定する
- 資産の状態を設定する
- インベントリから削除する
ポリシーへのアクセスと理解
ポリシー情報にすばやくアクセスするには、Defender EASM リソースの専用ポリシー ページに移動します。 このページは、左側のナビゲーション ウィンドウの [管理 ] セクションにあります。
![左側のナビゲーション オプションが強調表示されている [ポリシー] ページのスクリーンショット。](media/policies-1.png#lightbox)
このページには、Defender EASM リソース内のすべてのアクティブなポリシーの一覧が表示されます。 このリスト ビューでは、次のような各ポリシーに関する重要な情報にすぐにアクセスできます。
- ポリシー: ポリシー の指定された名前。
- 説明: ポリシーの指定された説明。構成と目的のビジネス価値に関するより多くのコンテキストを提供します。
- クエリ: 各ポリシーに電力を供給する基になるクエリ。 ポリシー アクションは、これらの構成されたフィルター パラメーターに一致する資産に特に適用されます。
- アクション: 資産が指定されたフィルター パラメーターと一致したときに実行されるアクションの説明。 アクションには、ラベルの追加または削除、状態の設定、外部 ID の設定、インベントリからの削除などがあります。
- 作成者: ポリシーを作成したDefender EASM ユーザーの電子メール エイリアス。
- 作成日: ポリシーが最初に作成された日付。
- 影響を受ける資産: ポリシーに従って更新されたすべての資産の数。 数値カウントをクリックすると、インベントリ リスト ビューに移動します。フィルター処理され、ポリシーを有効にする基になるクエリと一致する資産のみが表示されます。
![[ポリシー] ページの列に表示されるメタデータのスクリーンショット。](media/policies-2.png#lightbox)
ポリシーを作成する
Defender EASM リソース内の左側のナビゲーション ウィンドウの [管理] セクションから [ポリシー] を選択して、[ポリシー] ページに移動します。
[ + ポリシーの追加] を選択します。 このアクションにより、ポリシーを構成するための右側のウィンドウが開きます。
![[ポリシーの追加] ボタンが強調表示され、ポリシー構成パネルが開いている [ポリシー] ページのスクリーンショット。](media/policies-3.png)
一覧表示されたフィールドに入力して、ポリシーを作成します。 最初に、ポリシーのビジネス コンテキストを説明する名前と説明を指定します。 ポリシーの作成後は、ポリシーの名前を編集できません。 他のすべてのフィールドは後で調整できますが、名前を変更する場合は、新しいポリシーを作成する必要があります。
次に、ポリシーをトリガーするクエリを選択します。クエリ パラメーターに一致するすべての資産は、指定されたアクションで自動的に更新されます。 たとえば、期限切れのすべてのエンティティ (ドメイン、SSL 証明書など) に "更新が必要" というラベルを付ける必要があります。 30 日以内または既に期限切れになっているメタデータを検索する保存済みクエリを作成できます。 その後、該当するすべての資産に "更新が必要" ラベルが適用されることを指定できます。 以前に保存したフィルターを使用してポリシーの電源をオンにすることも、新しいクエリを作成することもできます。 保存されたすべてのクエリがドロップダウン内に表示されるか、[新しい保存されたクエリの作成] を選択して新しいフィルター パラメーターを構成します。 ポリシーを設定する前に、クエリに一致する資産を表示する場合は、まず [インベントリ] ページから保存したクエリを作成することをお勧めします。
すべてのフィールドが構成されたら、[追加] を選択してポリシーを作成します。
![[ポリシーの追加] ボタンが強調表示され、ポリシー構成パネルが開いている [ポリシー] ページのスクリーンショット。](media/policies-3.png#lightbox)
インベントリに変更を適用するには、新しく作成されたポリシーに最大 1 週間かかります。 変更が実装されると、[変更履歴] タブに反映されます。また、インベントリの [ポリシー名] フィルターを使用すると、影響を受ける資産を確認でき、[ポリシー] ページには影響を受ける資産の正確な数が一覧表示されます。 既存のポリシーは、前回の実行から 5 から 7 日以内に新しく適用される資産を更新します。
ポリシーの編集または削除
ユーザーは、ポリシーを個別に編集することも、1 つ以上のポリシーを同時に削除することもできます。
ポリシーの編集
ポリシーを編集するには、リスト ビューからポリシー名をクリックします。 これにより、ポリシー構成を編集できる右側のウィンドウが開きます。 ユーザーはポリシーの名前を編集できませんが、他のすべてのフィールドは調整可能です。 目的の変更を行ったら、[更新] を選択してポリシーを保存します。
ポリシーの削除
ポリシーは個別に、または一括で削除できます。 メインの [ポリシー] ページで、ポリシー名の横にあるチェック ボックスをオンにして、削除する polic(ies) を選択します。 [ポリシーの削除] を選択し、削除を確認します。 ポリシーを削除しても、以前に実装されたアクションは元に戻されませんが、今後の自動アクションの実行は停止されます。 ポリシーの影響を受ける資産に対して 1 回限りの変更を行う必要がある場合は、[インベントリ] ページからポリシーの基になる同じ保存済みクエリを利用して変更を元に戻すことができます。