Estimated reading time: 3 minuty
W poprzednim wpisie opisałem jak tworzyć grupy urządzeń. Teraz pokaże dlaczego warto ich używać przy tworzeniu reguł powiadomień w Defender.
Pracując z narzędziami do skanowania podatności zawsze istnieje ryzyko że, zgłoszenie generowane przez taki system będzie dotyczyć różnych grup urządzeń/lub różnych systemów. Generuje to poważne problemy przy rozwiązywaniu takiego zgłoszenia, które dotyczy różnych grup administratorów.
Rozwiązanie tego problemu polega na utworzenie różnych reguł powiadomień dotyczących konkretnych grup urządzeń. Pracując przy zgłoszeniach z podatnościami tworzę dwie grupy: grupę zawierająca stacje robocze oraz grupę zawierającą serwery.
Dla każdej z grupy przygotowuje oddzielną regułę. Nadaje jej nazwę oraz opis do czego służy.
Następnie decyduje dla jakich grup urządzeń będzie ona miała zastosowanie oraz jakie podatności będzie obejmować. Ustawiam że ma dotyczyć grupy ze stacjami roboczymi oraz być generowana jeśli zostaną wykryte podatności o ważności High na komputerach ze wskazanej grupy.
Regułą ma za zadanie wysłać maila z informacją o wykrytych podatnościach. jednym z nich będzie adres mailowy przypisany do narzędzia od zarzadzaniami zgłoszenia, a drugi powinien być adresem mailowym administratora/rów systemów, których dotyczy ta reguła.
Po konfiguracji reguły zapisujemy ją.
Wynik działania reguły jest wysłanie dwóch maili: o podatnościach wykrytych tylko na stacjach roboczych do administratorów tych systemów, oraz systemu obsługującego zgłoszenia.
Stworzenie wielu reguł zamiast jednej znacznie przyspiesza rozwiązywanie tych zgłoszeń oraz znacząco usprawnia obsługę i zamykanie zgłoszeń.