Ansichten:
Verwenden Sie Richtlinien, um Computer mit einem oder mehreren Server- und Workload Protection-Modulen zu schützen.
Tipp
Tipp
Weitere Informationen zur Konfiguration spezifischer Schutzmodule für eine Richtlinie finden Sie in den folgenden Anleitungen:
Bevor Sie die API verwenden, sollten Sie die wesentlichen Konzepte zu Richtlinien verstehen. Weitere Hintergrundinformationen finden Sie unter Richtlinien erstellen, um Ihre Computer und andere Ressourcen zu schützen.

Richtlinie erstellen Übergeordnetes Thema

Erstellen Sie eine Richtlinie, die das Verhalten der Server- und Workload Protection-Module definiert, die Sie verwenden, und die Richtlinieneinstellungen wie Agent-Manager-Kommunikation, Scanverhalten, Protokollierung, Ereignisaufbewahrung und Einstellungen der Netzwerk-Engine konfiguriert. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie einem oder mehreren Computern zuweisen.
Um eine Richtlinie zu erstellen, erstellen Sie ein Policy-Objekt, legen dessen Eigenschaften fest, um Verhaltensweisen zu definieren, und verwenden dann die PoliciesApi-Klasse, um es zu Server- und Workload Protection hinzuzufügen. Da Richtlinien hierarchisch sind, müssen Sie beim Erstellen einer Richtlinie die ID der übergeordneten Richtlinie angeben. (Verwenden Sie eine ID von 0, um eine Richtlinie auf oberster Ebene zu erstellen.)
Das Policy-Objekt bietet Zugriff auf viele Richtlinieneigenschaften:
  • Die ID der übergeordneten Richtlinie
  • Die Schnittstellen, auf die die Richtlinie Regeln anwendet
  • Ob fortlaufende Empfehlungsscans durchgeführt werden sollen
  • Ob automatische Richtlinienänderungen an Computer gesendet werden sollen (AutoRequiresUpdate)
  • Richtlinieneinstellungen
Tipp
Tipp
Um die verfügbaren Richtlinieneigenschaften zu sehen, erweitern Sie die 200-Antwort auf die Richtlinie beschreiben-Operation im API-Referenz.
Dieses Beispiel erstellt eine Richtlinie unterhalb der Basisrichtlinie. Eine Suche ermittelt die Basisrichtlinie, um deren ID zu erhalten, die als übergeordnete Richtlinie einer neuen Richtlinie verwendet wird. (Die Erstellung der Suchkriterien und des Suchfilters wird nicht gezeigt.)
Quelle anzeigen
# Search for the Base Policy
policies_api = api.PoliciesApi(api.ApiClient(configuration))
policy_search_results = policies_api.search_policies(api_version, search_filter=search_filter)

# Set the parent ID of the new policy to the ID of the Base Policy
new_policy.parent_id = policy_search_results.policies[0].id

# Add the new policy to Server- und Workload Protection
created_policy = policies_api.create_policy(new_policy, api_version)
Das Policy-Objekt, das erstellt wird, enthält keine Modulkonfigurationen oder Einstellungswerte. Wenn die Konfigurationen und Einstellungen weggelassen werden, werden die Werte von der übergeordneten Richtlinie geerbt. Daher erbt die erstellte Richtlinie fast das gesamte Verhalten von der Basisrichtlinie. Beachten Sie auch, dass Richtlinien-IDs unveränderlich sind. Wenn Sie die ID der Richtlinie kennen, können Sie diese einfach verwenden, anstatt zu suchen.
Um die API zur Interaktion mit Richtlinien zu verwenden, nutzen Sie den /api/policies-Endpunkt. (Siehe die Richtlinien-Gruppe von Operationen im API-Referenzhandbuch.)
Weitere Informationen zum Suchen finden Sie unter Suche nach Ressourcen. Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection.

Weisen Sie einem Computer eine Richtlinie zu Übergeordnetes Thema

Weisen Sie einem Computer eine Richtlinie zu, um den Computer gemäß den Richtlinieneinstellungen und der Konfiguration der Sicherheitsmodule zu schützen:
  • Erstellen Sie ein Computer-Objekt.
  • Legen Sie die Richtlinien-ID fest, die für das Objekt verwendet werden soll.
  • Verwenden Sie ein ComputersApi-Objekt, um den Computer auf Server- und Workload Protection zu aktualisieren.
Das folgende Beispiel weist einem Computer eine Richtlinie zu. Eine Suche ermittelt die Richtlinie, um deren ID zu erhalten, die einem Computer zugewiesen wird. (Die Erstellung der Suchkriterien und des Suchfilters wird nicht gezeigt.)
Quelle anzeigen
# Perform the search
policy_search_results = policies_api.search_policies(api_version, search_filter=search_filter)

# Assign the policy to the computer
computer.policy_id = policy_search_results.policies[0].id
Tipp
Tipp
Siehe auch die Richtlinie ändern-Operation im API-Referenzhandbuch.
Tipp
Tipp
Sie können eine Richtlinie auf Computerebene außer Kraft setzen. Siehe Computer konfigurieren, um Richtlinien außer Kraft zu setzen.

Richtlinien- und Standardrichtlinieneinstellungen konfigurieren Übergeordnetes Thema

Richtlinieneinstellungen steuern viele der Verhaltensweisen der Schutzmodule und der Server- und Workload Protection-Plattform. Daher erfordern viele Aufgaben, die Sie mithilfe der API automatisieren, dass Sie Richtlinieneinstellungen konfigurieren.
Eine Liste der Richtlinien- und Standardrichtlinieneinstellungen finden Sie unter Standardrichtlinie, Richtlinie und Computereinstellungen im Einstellungsreferenz.

Standardwerte und Überschreibungen Übergeordnetes Thema

Server- und Workload Protection-Richtlinien sind hierarchisch. Der Standort einer Richtlinie in der Hierarchie bestimmt die Standardwerte ihrer Einstellungen:
  • Top-level policies: Ein Satz von Standardrichtlinieneinstellungen definiert die Standardwerte für alle obersten Richtlinien.
  • Child policies: Standardwerte werden von ihrer übergeordneten Richtlinie geerbt.
Sie können jede Einstellung für eine Richtlinie konfigurieren, um die Standardeinstellung zu überschreiben. Daher wird eine Einstellung der Standardrichtlinie von Richtlinien in der Hierarchie übernommen, bis eine Richtlinie sie überschreibt.
Weitere Informationen zur Richtlinienhierarchie und Vererbung finden Sie unter Richtlinien, Vererbung und Überschreibungen.

Richtlinieneinstellung und Standardrichtlinieneinstellungsklassen Übergeordnetes Thema

Die Server- und Workload Protection-SDKs stellen die folgenden Klassen zur Verfügung, um Richtlinien- und Standardrichtlinieneinstellungen zu speichern. Diese Klassen werden verwendet, um Einstellungswerte zwischen Server- und Workload Protection und SDK- oder API-Clients zu übergeben.
  • DefaultPolicySettings: Speichert die Werte aller Standardrichtlinieneinstellungen.
  • PolicySettings: Speichert Einstellungswerte für eine bestimmte Richtlinie.
Die Einstellungen der DefaultPolicySettings- und PolicySettings-Klassen sind bis auf wenige Ausnahmen identisch. (Siehe Standardrichtlinie, Richtlinie und Computereinstellungen im Einstellungsreferenz.)

Rufen Sie den Wert einer Richtlinieneinstellung oder einer Standardrichtlinieneinstellung ab Übergeordnetes Thema

Die PoliciesApi-Klasse ermöglicht es Ihnen, den Wert einer einzelnen Einstellung für eine Richtlinie oder für die Standardrichtlinie abzurufen. Für eine Richtlinie können Sie entweder den effektiven Wert der Einstellung oder den Überschreibungswert abrufen:
  • Effective setting: Der Wert, der für die Richtlinie verwendet wird. Dieser Wert wird entweder geerbt oder wurde speziell für diese Richtlinie festgelegt (überschrieben).
  • Override: Der Wert, der speziell für diese Richtlinie festgelegt wurde. Kein Wert bedeutet, dass der Einstellungswert geerbt wird.
Rufen Sie eine Standardeinstellung ab, wenn Sie den Standardwert für Richtlinien auf oberster Ebene wissen möchten.
Wenn Sie einen Einstellungswert abrufen, identifizieren Sie die Einstellung anhand des Namens. Der Wert wird als ein SettingValue-Objekt zurückgegeben. Eine Liste der Richtlinien- und Standardrichtlinieneinstellungen finden Sie unter Standardrichtlinie, Richtlinie und Computereinstellungen im Einstellungsreferenz.
Das folgende Beispiel ruft den Firewall-Netzwerk-Engine-Modus einer Richtlinie ab.
Quelle anzeigen
# Get the policy details from Server- und Workload Protection
policies_api = api.PoliciesApi(api.ApiClient(configuration))
return policies_api.describe_policy_setting(policy_id, api.PolicySettings.firewall_setting_network_engine_mode, api_version, overrides=False)
Tipp
Tipp
Um den Wert für die Standardrichtlinie-Einstellung zu erhalten, verwenden Sie die describe_default_setting-Methode.

Alle Richtlinien- oder Standardrichtlinieneinstellungen auflisten Übergeordnetes Thema

Sie können alle Richtlinien- und Standardrichtlinieneinstellungen in einem einzigen Aufruf abrufen. Die Art und Weise, wie Sie Einstellungen von Server- und Workload Protection abrufen, hängt von der Einstellungsklasse ab.
  • Default policy settings: Verwenden Sie ein PoliciesApi-Objekt, um ein DefaultPolicySettings-Objekt vom Manager zu erhalten.
  • Richtlinieneinstellungen: Verwenden Sie ein PoliciesApi-Objekt, um eine Richtlinie von Server- und Workload Protection als Policy-Objekt zu erhalten. Holen Sie dann das PolicySettings-Objekt aus dem Policy-Objekt.
Beispiele finden Sie in den Standardeinstellungen der Richtlinie auflisten und Eine Richtlinie beschreiben Vorgängen im Abschnitt Richtlinien des API-Referenzhandbuchs.

Konfigurieren Sie eine einzelne Richtlinie oder die Standardrichtlinie Übergeordnetes Thema

Die PoliciesApi-Klasse ermöglicht es Ihnen, den Wert einer einzelnen Einstellung für eine Richtlinie oder für die Standardrichtlinie festzulegen.

Prozedur

  1. Erstellen Sie ein SettingValue-Objekt und legen Sie den Wert fest (alle Werte sind Zeichenfolgen). Wenn Einstellungen einen Wert aus einer Liste von Auswahlmöglichkeiten akzeptieren, können Sie entweder die ID der Auswahl oder die genaue Formulierung der Auswahl verwenden, wie sie in der Server- und Workload Protection-Konsole erscheint.
  2. Erstellen Sie ein PoliciesApi-Objekt und verwenden Sie es mit dem SettingValue-Objekt, um entweder die Richtlinieneinstellung oder die Standardeinstellung zu ändern. Beim Ändern einer Richtlinieneinstellung geben Sie auch die Richtlinien-ID an.

Nächste Schritte

Das folgende Beispiel legt den Wert des Firewall-Netzwerk-Engine-Modus einer Richtlinie fest
Quelle anzeigen
# Create a SettingValue object and set the value to either "Inline" or "Tap"
network_engine_mode_value = api.SettingValue()
network_engine_mode_value.value = "Inline"

# Modify the setting on Server- und Workload Protection
policies_api = api.PoliciesApi(api.ApiClient(configuration))
return policies_api.modify_policy_setting(policy_id, api.PolicySettings.firewall_setting_network_engine_mode, network_engine_mode_value, api_version, overrides=False)
Tipp
Tipp
Um den Wert für die Standardrichtlinie festzulegen, verwenden Sie die modify_default_setting-Methode.
Siehe auch die Ändern einer Richtlinieneinstellung-Operation in der API-Referenz.

Konfigurieren Sie mehrere Richtlinien- und Standardrichtlinieneinstellungen Übergeordnetes Thema

Um mehrere Richtlinien- oder Standardrichtlinieneinstellungen zu konfigurieren, erstellen Sie zunächst ein Einstellungsobjekt für jede Einstellung und legen die Werte fest:

Prozedur

  1. Erstellen Sie ein SettingValue-Objekt und legen Sie den Wert fest (alle Werte sind Zeichenfolgen). Wenn Einstellungen einen Wert aus einer Liste von Auswahlmöglichkeiten akzeptieren, können Sie entweder die ID der Auswahl oder die genaue Formulierung der Auswahl verwenden, wie sie in der Server- und Workload Protection-Konsole erscheint.
  2. Erstellen Sie ein Objekt aus der Einstellungsklasse (DefaultPolicySettings oder PolicySettings).
  3. Legen Sie den Wert der Einstellung auf das SettingValue-Objekt fest.

Nächste Schritte

Legen Sie den Wert so vieler Einstellungen wie erforderlich im selben DefaultPolicySettings- oder PolicySettings-Objekt fest.
Für beide Arten von Einstellungen ist die Art und Weise, wie Sie die Einstellung auf Server- und Workload Protection ändern, leicht unterschiedlich:
  • Default policy settings: Verwenden Sie ein PoliciesApi-Objekt, um das DefaultPolicySettings-Objekt auf dem Manager zu ändern.
  • Richtlinieneinstellungen: Fügen Sie das PolicySettings-Objekt zu einem Policy-Objekt hinzu. Verwenden Sie dann die PoliciesApi-Klasse, um die Richtlinie im Manager zu ändern.
Einstellungen im DefaultPolicySettings- oder PolicySettings-Objekt, die keine Werte haben, bleiben bei Server- und Workload Protection unverändert.
Server- und Workload Protection überprüft alle geänderten Einstellungen, bevor die Werte gespeichert werden. Wenn eine oder mehrere Einstellungen im Objekt ungültig sind, werden keine der geänderten Einstellungen gespeichert. Die Fehlermeldung enthält den Grund für jeden Fehler.
Hinweis
Hinweis
Wenn Server- und Workload Protection die Einstellungswerte validiert, überprüft es nicht, ob abhängige Einstellungen übereinstimmen.
Das folgende Beispiel konfiguriert zwei Einstellungen für eine Richtlinie, um entweder den Fail-Open- oder den Fail-Closed-Betriebsmodus zu aktivieren.
Quelle anzeigen
# Create the SettingValue objects
failure_response_engine_system = api.SettingValue()
failure_response_packet_sanity_check = api.SettingValue()

# Set the values
if fail_open:
    failure_response_engine_system.value = failure_response_packet_sanity_check.value = "Fail open"
else:
    failure_response_engine_system.value = failure_response_packet_sanity_check.value = "Fail closed"

# Set the setting values and add to a policy
policy_settings = api.PolicySettings()
policy_settings.firewall_setting_failure_response_engine_system = failure_response_engine_system
policy_settings.firewall_setting_failure_response_packet_sanity_check = failure_response_packet_sanity_check

policy = api.Policy()
policy.policy_settings = policy_settings

# Modify the policy on Server- und Workload Protection.
policies_api = api.PoliciesApi(api.ApiClient(configuration))
return policies_api.modify_policy(policy_id, policy, api_version, overrides=False)
Ein Beispiel für die Konfiguration einer Systemeinstellung finden Sie unter Konfigurieren der Server- und Workload Protection Systemeinstellungen.

Richtlinienüberschreibungen zurücksetzen Übergeordnetes Thema

Setzen Sie Richtlinienüberschreibungen zurück, damit die Richtlinie den Eigenschafts- oder Einstellungswert der übergeordneten Richtlinie erbt (oder bei Richtlinien auf oberster Ebene die Standardrichtlinie-Einstellungen). Die Art und Weise, wie Sie eine Richtlinienüberschreibung zurücksetzen, hängt von der Art der Eigenschaft oder Einstellung ab.
Tipp
Tipp
Im Allgemeinen gilt die Information in diesem Abschnitt auch für Computer. In einigen Situationen, in denen richtlinienspezifische Klassen verwendet werden, verwenden Sie computerspezifische Klassen. Zum Beispiel verwenden Sie anstelle von PoliciesApi und PolicySettings die Klassen ComputersApi und ComputerSettings.

Eine ID-Referenz zurücksetzen Übergeordnetes Thema

Um eine ID-Referenzüberschreibung zurückzusetzen, um den Wert zu erben, ändern Sie die Richtlinie und setzen Sie den Wert der Eigenschaft auf 0. Eine ID-Referenz ist eine Eigenschaft, die die ID eines anderen Elements als Wert verwendet.
Zum Beispiel überschreibt das Beispiel Konfiguration der Echtzeit-Malware-Suche festlegen die realTimeScanConfigurationID für eine Richtlinie. Um die Eigenschaft zurückzusetzen, damit sie den Wert von der übergeordneten Richtlinie erbt, setzen Sie realTimeScanConfigurationID auf 0.

Eine Einstellung zurücksetzen Übergeordnetes Thema

Die PoliciesApi-Klasse bietet Methoden zum Zurücksetzen einer einzelnen Richtlinieneinstellung. Ein Beispiel finden Sie im Abschnitt Richtlinien der API-Referenz unter der Operation "Wert einer Richtlinieneinstellung zurücksetzen".
Um mehrere Richtlinieneinstellungen gleichzeitig zurückzusetzen, verwenden Sie ein PolicySettings-Objekt mit PoliciesApi, um den Wert der Einstellungen auf eine leere Zeichenfolge zu setzen. Zum Beispiel überschreibt das Firewall konfigurieren-Beispiel den Wert der FirewallSettingReconnaissanceEnabled-Einstellung für eine Richtlinie. Um die Einstellung zurückzusetzen, damit sie den Wert von der übergeordneten Richtlinie erbt, setzen Sie den Wert auf "".

Status eines Sicherheitsmoduls zurücksetzen Übergeordnetes Thema

Um den Status eines Sicherheitsmoduls zurückzusetzen, ändern Sie die Richtlinie und setzen Sie den Wert des Modulstatus auf inherited.
Zum Beispiel überschreibt das Beispiel Application Control aktivieren die Status-Eigenschaft des Application Control-Moduls auf on für eine Richtlinie. Um die Einstellung zurückzusetzen und den Wert von der übergeordneten Richtlinie zu erben, setzen Sie den Statuswert auf inherited.

Eine Regel zurücksetzen Übergeordnetes Thema

Eine Regelüberschreibung wird erreicht, wenn die Regel, die zu einer Richtlinie hinzugefügt wird, von der ursprünglichen Regel geändert wird. Sie können entweder alle Überschreibungen einer Regel zurücksetzen oder die Überschreibungen selektiv zurücksetzen.
Tipp
Tipp
Wenn eine Regel einer Richtlinie zugewiesen wird, wird sie nicht als Überschreibung betrachtet, unabhängig davon, ob die übergeordnete Richtlinie die Regel zugewiesen bekommt oder nicht.

Alle Überschreibungen einer Regel zurücksetzen Übergeordnetes Thema

Jede modul-spezifische Richtlinienregel-Detailsklasse (FirewallRulesDetailsApi, PolicyIntegrityMonitoringRulesDetailsApi, PolicyIntrusionPreventionRuleDetailsApi und PolicyLogInspectionRulesDetailsApi) bietet eine Methode zum Zurücksetzen aller Überschreibungen einer Regel, die einer bestimmten Richtlinie zugewiesen ist.
Um ein Codebeispiel zu sehen, gehen Sie zur Operation "Firewall-Regelüberschreibungen zurücksetzen" in den Firewall-Regeldetails der Richtlinie im API-Referenz und sehen Sie sich das Codebeispiel für die Operation an.

Überschreibungen einer Regel selektiv zurücksetzen Übergeordnetes Thema

Verwenden Sie das folgende Verfahren, um nur einige Eigenschaften einer Regel zurückzusetzen.

Prozedur

  1. Erhalten Sie alle Überschreibungen für die Regel der Richtlinie. Verwenden Sie die describe-Methode einer modulspezifischen Regeldetailklasse mit dem overrides-Parameter, der auf true gesetzt ist. Speichern Sie die Ergebnisse. (Siehe Über den Überschreibungsparameter.)
  2. Setzen Sie alle Überschreibungen der Regel zurück.
  3. Stellen Sie die Überschreibungen, die Sie beibehalten möchten, in einer neuen Regel wieder her.
  4. Ändern Sie die Richtlinienregel mit den Überschreibungen.

Nächste Schritte

Das folgende Beispiel setzt eine Teilmenge der Regelüberschreibungen für die Protokollinspektion einer Richtlinie zurück.
Quelle anzeigen
policy_log_inspection_rule_details_api = api.PolicyLogInspectionRuleDetailsApi(api.ApiClient(configuration))

# Get the rule overrides
rule_overrides = policy_log_inspection_rule_details_api.describe_log_inspection_rule_on_policy(policy_id, rule_id, api_version, overrides=True)

# Reset the rule
policy_log_inspection_rule_details_api.reset_log_inspection_rule_on_policy(policy_id, rule_id, api_version, overrides=False)

# Add the desired overrides to a new rule
li_rule_overrides_restored = api.LogInspectionRule()

if rule_overrides.alert_minimum_severity:
    li_rule_overrides_restored.alert_minimum_severity = rule_overrides.alert_minimum_severity

if rule_overrides.recommendations_mode:
    li_rule_overrides_restored.recommendations_mode = rule_overrides.recommendations_mode

# Modify the rule on Server- und Workload Protection
return policy_log_inspection_rule_details_api.modify_log_inspection_rule_on_policy(policy_id, rule_id, li_rule_overrides_restored, api_version, overrides=False)