Le policy vengono utilizzate per azioni di risposta automatizzate sugli avvisi. Le policy definiscono azioni generiche sulla criticità dell'avviso o azioni specifiche sugli avvisi che vengono attivate da regole specifiche.
Uno o più endpoint in cui viene visualizzato un avviso specifico vengono tutti corretti immediatamente se è definita la policy di azione correttiva.
Al momento dell'implementazione, un ampio set di policy generiche e specifiche per le regole vengono automaticamente attivate dal prodotto in base ad attacchi e exploit noti. L'analista può aggiungere nuove policy o modificare quelle esistenti in base alle esigenze di un ambiente specifico.
Politiche generiche
Le policy generiche si applicano agli avvisi e definiscono le azioni generiche che verranno intraprese nell'ambiente. Se non sono definite policy specifiche per una regola particolare, verrà invocata la policy generica che si applica, se definita. La corrispondenza della policy di una policy generica con un avviso avviene in base alla gravità dell'avviso o all'ambito dell'endpoint o alla reputazione degli endpoint o a una combinazione di questi.
Definizione di una politica generica
L'analista può definire una politica generica selezionando quanto segue:
Gravità dell'avviso, ambito, reputazione e processi inseriti nella whitelist, se presenti
Le azioni da intraprendere in caso di corrispondenza della policy includono: terminare il processo, aggiungere a BlockList, mettere in quarantena il processo, isolare l'endpoint, impostare la reputazione dell'endpoint, ripristinare l'endpoint, eliminare il processo, notificare all'utente
Norme specifiche per le regole
Le policy specifiche delle regole hanno obbligatoriamente una regola selezionata, basata principalmente su questa regola che attiva l'esecuzione dell'azione della policy.
Definizione di una politica specifica per una regola
L'analista può definire una regola specifica selezionando quanto segue:
Il nome della regola, l'ambito, la reputazione e i processi inseriti nella whitelist, se presenti
Le azioni da intraprendere in base alla corrispondenza della policy includono: terminare il processo, aggiungere alla BlockList, mettere in quarantena il processo, isolare l'endpoint, impostare la reputazione dell'endpoint, ripristinare l'endpoint, eliminare il processo, notificare all'utente.