조회 규칙 구성

요코하마 보안 관리

Release

yokohama

ft:locale

ko-KR

ft:publication_title

요코하마 보안 관리

ft:clusterId

security

bundleId

security

workflow

Technology

조회 규칙 구성

릴리스 버전: Yokohama

업데이트 날짜 2025년 07월 31일

소요 시간: 5분

조회 규칙을 구성하여 보안 노출 데이터를 의 올바른 구성 항목(CI) CMDB에 매핑할 수 있습니다. 노출 결과를 올바른 자산과 연결하는 것이 적절한 위험 평가, 할당 및 정정 워크플로우에 필수적이기 때문에 이 매핑은 중요한 기능입니다.

조회 규칙 생성

수신 노출 결과 데이터를 다음의 구성 관리 데이터베이스(CMDB) 올바른 구성 항목(CI)과 자동으로 정확하게 연결하는 조회 규칙을 생성합니다. 이는 나머지 취약성 관리 프로세스가 올바르게 작동하도록 하는 데 필수적입니다.

시작하기 전에

필요한 역할: sn_vul.vulnerability_admin

이 태스크 정보

조회 규칙을 생성하려면 고급 ServiceNow 및 전문 지식이 필요합니다. 기존 조회 규칙 중 하나를 수정하는 대신 복사하여 복사본을 수정하는 것이 좋습니다. 새 규칙이 원하는 대로 수행되는 것으로 확인되면 원래 규칙을 비활성화합니다.

주:

규칙은 한 번 제거되면 복구할 수 없습니다. 새 규칙을 만들 때는 기존 규칙을 제거하는 대신 비활성화합니다.

프로시저

다음으로 이동 작업 공간 > 보안 노출 관리 작업 공간.
탐색 창에서 관리를 선택합니다.
조회 규칙 타일에서 검토를 선택합니다.
규칙 페이지의 탐색 창에서 조회 를 선택합니다.
새로 만들기를 선택합니다.

양식의 필드에 내용을 입력합니다.

표 1. 조회 규칙 양식
필드	설명
상세 정보
이름	규칙의 이름입니다.
조회 메서드	일치에 사용되는 메서드입니다. 선택 항목은 다음과 같습니다. 스크립트: 사전 구축(IP 주소, DNS 이름 등) 또는 사용자 지정 스크립트입니다. 필드 일치: CMDB의 테이블 또는 필드에서 검색합니다.
유형	스크립트 조회 메서드에 사용되는 유형입니다.
순서	규칙의 우선 순위입니다. 순서가 가장 낮은 규칙이 먼저 평가됩니다.
활성	규칙의 활성 또는 사용 안 함 여부를 나타내는 확인란입니다.
소스	이 규칙에 대한 입력으로 사용되는 소스입니다.
소스 필드	이 규칙에 대한 입력으로 사용되는 소스 필드입니다. 아무 필드나 선택하면 문자열 값으로 처리됩니다.
설명	새 조회 규칙에 대한 설명입니다.
조회 대상	따르려는 조회 접근 방식입니다. 다음 중에서 선택합니다. 구성 항목 제품 모델
조건이 충족되는 경우
조건	조회 규칙이 적용되는 조건입니다. 이 조건은 외부 공급업체 스캐너의 속성에 따라 다릅니다. 주: 자산 속성은 페이로드의 일부입니다. 외부 공급업체 스캐너에서 수신합니다. 페이로드 예시는 검색된 항목 테이블을 참조하십시오.
그런 다음 이 값 설정
조회 메서드	일치에 사용되는 메서드입니다. 선택 항목은 다음과 같습니다. 스크립트: 사전 구축(IP 주소, DNS 이름 등) 또는 사용자 지정 스크립트입니다. 필드 일치: CMDB의 테이블 또는 필드에서 검색합니다.
CI 테이블에서 검색	CMDB 내에서 검색할 테이블입니다. 필드 일치 조회 메서드와 함께 사용됩니다.
제품 테이블에서 검색	제품 모델 조회 대상을 선택하는 경우 기본값은 애플리케이션 모델입니다.
CI 필드 검색	CI를 찾는 데 사용할 수 있는 정보가 포함된 필드입니다. 필드 일치 조회 메서드와 함께 사용됩니다. 이 필드는 CI 레코드 또는 네트워크 어댑터와 같은 관련 레코드에 있을 수 있습니다.
제품 모델 필드에서 검색	제품 모델 조회 대상을 선택하는 경우 기본값은 이름입니다.
유형	스크립트 조회 메서드에 사용되는 유형입니다.
스크립트	유형에 따라 편집 가능한 샘플 스크립트가 표시됩니다. 기본 기능의 템플릿에 포함된 설명에 따라 사용자 지정 스크립트를 구현합니다. 주: process 함수에는 , rulesourceValue및sourcePayload

저장을 선택합니다.

조회 규칙에 대한 자세한 구현 정보는 다음 문서를 참조하십시오.

그림 1. V12.0용 조건 작성기를 사용하는 CI 조회 규칙의 예

그림 2. V12.0 이전 스크립트 를 사용하는 CI 조회 규칙의 예

CI 클래스 무시

부하 분산 장치 [cmdb_ci_lb]와 같은 일부 CI(구성 항목) 클래스를 무시하려면 CI 조회 규칙을 실행할 때 ignoreCIClass [sn_sec_cmn.ignoreCIClass] 시스템 속성을 설정합니다.

시작하기 전에

필요한 역할: admin

주:

ignoreCIClass 시스템 속성은 v9.0부터 취약성 대응 사용할 수 있습니다. 그러나 이전 버전에서 업그레이드한 후에는 속성 기능을 사용할 수 없습니다.

버전 9.0 이전의 애플리케이션에서 보안 운영 업그레이드한 경우 KB0788209 에서 이 기능을 활성화하는 방법에 대한 지침을 참조하십시오.

프로시저

왼쪽 탐색 모음에 sys_properties.list 를 입력합니다.
입력을 클릭합니다.
검색 메뉴의 이름에서 sn_sec_cmn.ignoreCIClass를 입력합니다.
값 텍스트 상자에 제외할 CI 클래스를 쉼표로 구분된 목록으로 입력합니다.
업데이트를 클릭합니다.
이 목록은 다음 임포트 동안 CI 조회 규칙에서 사용됩니다. 임포트 중에 생성된 취약한 항목이 sn_sec_cmn.ignoreCIClass 시스템 속성의 값 필드에 나열된 유형의 CI에 연결되지 않습니다.

선택한 검색 항목에 조회 규칙 다시 적용

검색된 항목 목록 뷰에서 선택한 검색된 항목에 조회 규칙을 다시 적용합니다. 규칙을 다시 적용한 후 CI(구성 항목)가 변경되면 검색된 항목이 새 CI 및 영향을 받는 탐지로 업데이트됩니다. 취약한 항목도 업데이트됩니다.

시작하기 전에

필요한 역할: admin

이 태스크 정보

자세한 내용은 문서를 참조하십시오.

CI 일치 CMDB의 개념과 검색된 항목 조회, 규칙 기반 식별에 대한 자세한 내용은 HI 지식베이스의 취약성 대응 [KB0998706] 문서의 CI 일치 를 참조하십시오.

프로시저

다음으로 이동 모두 > 보안 운영 > CMDB > 검색된 항목.
검색된 필수 항목을 선택하고 선택한 행에 대한 작업을 선택합니다.
목록에서 CI 조회 규칙 다시 적용을 선택합니다.

주:
시스템 속성을 sn_sec_cmn.skipItemsWithCIDecommissioned활성화하여 하위 상태가 'CI 해제됨'인 검색된 항목에 대한 조회 규칙의 재적용을 건너뛸 수 있습니다.

이 검색된 항목에 규칙이 다시 적용됩니다.
메시지에서 상태 보기 를 선택합니다.

상태가 백그라운드 작업 양식에 표시됩니다.

주:
메모 필드에서 0이 아닌 값을 가진 예외 속성으로 인해 검색된 항목을 처리할 수 없음은 조회 규칙을 다시 적용하는 동안 오류 또는 예외가 있음을 나타냅니다. 자세한 내용은 시스템 로그를 확인하십시오.
다시 적용은 last_scan_date, last_comp_scan_date, non_infra_last_scan_date non_infra_last_comp_scan_date 열을 기준으로 지난 90일 이내에 스캔한 항목에만 적용됩니다.
CI 수명주기 상태 열(예: 설치 상태, 운영 상태)을 구성하기 위한 ci_lifecycle_status_source(범위 = sn_sec_cmn) 시스템 속성이 추가되었습니다. CI를 폐기하기 위해 추가 열을 구성할 수 있습니다.
열이 백그라운드 작업 목록 뷰에 추가됩니다.
- 경과 시간(ms): 백그라운드 작업을 처리하는 데 필요한 시간입니다.
- 처리된 항목: 지금까지 처리된 항목 수입니다.
- 처리할 총 항목: 처리할 남아 있는 총 항목 수입니다.
- 완료까지 남은 시간(ms): 백그라운드 작업이 처리될 때까지 남은 시간입니다. 이러한 열을 통해 작업 진행 상황에 대한 가시성을 볼 수 있습니다. 이러한 열은 요구 사항에 따라 추가할 수 있도록 각 양식 뷰에서 사용할 수 있습니다.