SentinelOne Policy Overrides: wat, hoe & waarom
Bij het beheren van het SentinelOne Singularity Platform kun je situaties tegenkomen, waarin je bepaalde zaken wilt regelen die je niet met de standaard policy-opties kunt instellen. Denk bijvoorbeeld aan een situatie waarin SentinelOne een business-applicatie in de weg zit. Of een situatie waarin je bepaalde functionaliteit tijdelijk wilt uitschakelen, vanwege hoog resource-verbruik. Voor dit soort gevallen, bestaan er Policy Overrides in het SentinelOne Singularity Platform. In dit blog vertel ik je hoe je die aanmaakt en waar je bij het instellen allemaal op moet letten.
Het aanmaken van een policy
Een policy override maak je aan onder Settings → Policy Override (bovenin je scherm). Je krijgt dan een scherm waar je je policy kunt bouwen en specificeren.
Het eerste wat je hier kunt doen, is je policy een (herkenbare!) naam geven onder “Configuration Name”. Heb je je policy een naam gegeven, dan kun je verder met het instellen.
OS en Productversie
Allereerst het OS. Je kunt policies instellen voor individuele operating systems. Kom je bijvoorbeeld een issue tegen dat alleen op MacOS speelt, pas de optie “Platform” daar dan op aan. Hetzelfde geldt voor de productversie. Onder “Version” kun je een specifieke versie van de SentinelOne Agent selecteren, als blijkt dat je daar binnen je omgeving een issue mee hebt.
Acces Level
Maar het allerbelangrijkste, is het “Access Level”. Deze moet je bij het aanmaken van een nieuwe policy heel nauwkeurig instellen. Dit Access Level bepaalt namelijk op welk niveau in de hiërarchie van je omgeving, je de policy straks gaat toepassen. Dit moet zo specifiek mogelijk, omdat je daarmee de kans op ongewenste kwetsbaarheden verkleint. De schaalniveaus die je hier kunt kiezen zijn, van groot naar klein:
Global → Account → Site → Group
De hiëarchie van het uitvoeren van de policies is eigenlijk precies andersom.
Group → Site → Account → Global
Anders gezegd: je wilt het Access Level zo klein mogelijk instellen voor wat je wilt doen, zodat je policy ook echt alleen op dat niveau wordt toegepast. Houd er rekening mee dat je zelf, afhankelijk van je licentie/MSP alleen toegang hebt tot Group, Site of Account. Global wordt alleen door SentinelOne zelf gebruikt. Bijvoorbeeld:
Wil je een Policy Override uitrollen op specifieke systemen (bijvoorbeeld voor een test)? Maak dan een “Group” aan met die systemen. Vul deze Group vervolgens in bij het aanmaken van de Policy Override, zodat de policy niet over andere systemen wordt uitgerold. Let er daarbij op dat je ook deze Groups zo specifiek mogelijk maakt.
Heb je een overkoepelend probleem waar je een Policy Override voor wilt gebruiken? Stel het Access Level dan hoger in, bijvoorbeeld op “Site” of “Account”, zodat de policy breder in je omgeving wordt uitgerold.
JSON Rules
Vervolgens kun je de daadwerkelijke policy override gaan specificeren. Wat hier komt te staan, is natuurlijk helemaal afhankelijk van wat je met je policy override wilt bereiken. Je stelt regels op in JSON. Het is erg belangrijk dat je goed troubleshoot om te bepalen wat er allemaal in je policy override moet staan. Want net als met het goed instellen van het Access Level, wil je niet dat een foutje in de policy override zorgt voor meer kwetsbaarheden. Wees dus heel voorzichtig met het opstellen van je policy override. Twijfel je? Neem dan vooral contact op met je securityprovider (of met mij. Dat kan ook als je geen klant van MyDigitals bent. Hier op LinkedIn of via onze website).
Je policiy overrides beheren
Soms wil je weten welke configuraties & policy overrides op een endpoint actief zijn. Dit kun je bekijken door naar Sentinels te gaan, en vervolgens op de filter-balk te klikken. Dan kun je helemaal aan de rechterkant op “View More Filters” klikken, en vervolgens de filter “Has Local Config” aanvinken.
Als je deze filter toepast, zie je alle systemen die een afwijkende configuratie hebben. Dat kan dan een lokale configuratie zijn, maar ook een policy override. Om te zien welke conifiguraties en policy overrides op zo’n systeem actief zijn, moet je ‘m uit de lijst open klikken. Wil je de hele configuratie, inclusief policy overrides, van zo’n systeem zien? Dan kan dat door het systeem te selecteren en te klikken op Actions → Configuration → Agent Configuration.
Policy overrides zijn dus heel handig om te gebruiken als je met de standaard policy-instellingen niet voor elkaar kunt krijgen wat je wilt, of om te voorkomen wat je juist niet wilt. Het vereist wat kennis van JSON rules en je moet goed opletten dat je alles goed instelt bij het aanmaken. Maar dan heb je een krachtige tool waarmee je de security van je omgeving verder kunt verfijnen. En we zijn nog niet klaar met de policy overrides.
In de volgende SentinelOne Spotlight nemen we je namelijk mee in best practices en een aantal concrete voorbeelden van policies overrides. Wil je 'm als eerste lezen? Schrijf je dan in voor mijn SentinelOne Spotlight nieuwsbrief op LinkedIn.
Meer weten?
Max van der Veer helpt je graag verder. Je kunt hem bereiken op: max@mydigitals.nl