취약성 대응 외부 공급업체 통합에서 취약한 항목 탐지
인스턴스에서 외부 공급업체 검사 Now Platform® 로 수집된 모든 정보를 봅니다. 스캐너에서 반환된 탐지 및 VI(취약한 항목) 기록에 대한 검사 결과를 봅니다.
개요
이 취약성 대응 애플리케이션은 엔터프라이즈 환경에서 취약한 항목 데이터를 검색하는 타사 통합을 지원합니다. 탐지에 대한 자세한 데이터, 즉 외부 공급업체 통합의 스캐너에서 보고된 고유한 단일 취약성 발생이 Now Platform 인스턴스의 탐지 및 취약한 항목 기록 모두에 임포트되어 표시됩니다.
외부 공급업체 통합은 취약한 항목 탐지 데이터를 검색합니다. 탐지는 스캐너에서 보고되는 취약성의 명백한 발생입니다. 탐지 데이터는 취약한 항목과 쌍을 이루고 탐지 상태에 따라 VI 상태가 업데이트됩니다. VI를 찾을 수 없는 경우 새 VI가 생성됩니다. 탐지는 스캐너에서 직접 찾은 데이터에 의해서만 열리거나 닫힙니다.
이전 버전의 취약성 대응에서는 환경의 CI(자산)와 외부 공급업체 스캐너에서 가져온 취약성 간의 관계인 취약한 항목 탐지가 Now Platform 인스턴스에 고유한 취약한 항목을 생성했습니다.
스캐너에서 제공하는 원본 데이터의 세분성은 보존됩니다. 탐지를 사용하면 탐지 데이터가 취약한 항목과 쌍을 이룹니다. 수집 중에 취약한 항목을 찾을 수 없으면 새 VI가 생성됩니다.
의 버전 21.1.2 취약성 대응부터 기본 시스템에 시스템 속성이 sn_vul.show_last_open_detection 제공됩니다. 기본적으로 이 프로퍼티의 값은 false로 설정되며 초기 감지에서 VI로 값을 집계하는 현재 동작은 변경되지 않습니다. 그러나 true로 설정된 경우 VI는 수집 후 마지막으로 열린 탐지로 자동 업데이트됩니다. VI 탐지를 위해 IP 주소, SSL, 포트, 프로토콜, NetBIOS 및 증거와 같은 필드가 업데이트됩니다. 필요한 경우 DetectionBase 스크립트를 수정하여 업데이트해야 하는 탐지 필드를 사용자 지정할 수 있습니다.
마지막으로 열린 탐지 값을 보려면 VI 양식 뷰에서 마지막으로 열린 탐지 탭으로 이동합니다. 작년에 열린 모든 VI를 마지막으로 열린 탐지 값으로 업데이트하려면 요청 시 예약된 작업을 Update Last Open Detection Value To VITs 실행할 수 있습니다. 이 예약된 작업은 기본 시스템에서도 제공됩니다.
지원되는 버전 취약성 대응
애플리케이션 설치 또는 업데이트에 취약성 대응 대한 자세한 내용은 문서를 참조하십시오 취약성 대응 설치.
지원되는 외부 공급업체 통합
- Qualys 호스트 탐지 통합
- Rapid7 데이터 웨어하우스:
- 취약한 항목 통합
- 취약한 항목 해결 통합
- Rapid7 취약한 항목 해결 통합(InsightVM)
- 인사이트 VM 통합
- 취약한 항목 통합 - API
- Tenable Vulnerability Integration
- Microsoft Defender 위협 및 취약성 관리
이러한 타사 통합은 별도의 구독을 통해 사용할 수 있습니다 ServiceNow Store. 이러한 통합에 대한 자세한 내용은 을 참조하십시오 및 권리 획득에 대한 자세한 내용은 을 보안 운영 그리고 ServiceNow Store 참조하십시오취약성 대응 통합.
타사 스캐너가 임포트하도록 구성되었는지 확인하려면 보안 운영용 Rapid7 통합 애플리케이션Qualys Vulnerability Integration 설치설치 및 구성을 참조하십시오.
취약한 항목 탐지에 대한 주요 용어
- 취약성
- 내부 및 외부 소스에서 임포트한 소프트웨어, 운영 체제 및 자산의 약점에 대한 데이터입니다. 이 데이터를 임포트하여 CMDB에 나열된 기존 자산(구성 항목, CI)과 비교합니다.
- 취약한 항목
- 임포트한 취약성이 CMDB의 CI와 일치하면 취약한 항목이 생성되거나 업데이트됩니다.
- 탐지
- 환경 내에서 취약한 항목 탐지라고 하는 스캐너에 의해 보고되는 분명한 한 건의 취약성 발생입니다 Now Platform . 탐지에는 취약성 및 해당 취약한 항목에 대한 보강된 데이터가 포함됩니다. 이 데이터는 탐지 기록(VID#) 및 다음 상세 정보를 포함하는 취약한 항목 목록 뷰에 표시됩니다.
- 첫 발견(데이터)
- 마지막 발견(날짜)
- DNS 이름
- 순 BIOS이름
- IP 주소
- 포트
- 프로토콜
- 증명
- SSL
- 발견 시간
주:탐지 테이블에 비즈니스 규칙을 추가하면 수집 성능에 영향을 줍니다. - 탐지 키
- 탐지를 식별하고 취약한 항목에 연결하는 방법을 제공한 해시된 필드 조합입니다. 탐지 키는 통합에 따라 다릅니다.
표 1. 탐지 키 구성 스캐너 취약성 포트 프로토콜 자산 ID 증명 NIC Qualys 예 예 예 예 아니요 해당 사항 없음 Tenable 예 예 예 예 아니요 해당 사항 없음 Rapid7 예 예 예 예 예(대소문자 구분 없음) 예 주:- 탐지 키가 지정되지 않은 경우 또는 14.0 이전 취약성 대응 버전의 경우 탐지 키는 취약성 항목, 포트, 프로토콜, 자산 ID 및 증명의 조합입니다.
- 의 취약성 대응v19.0부터 기본적으로 활성화되는 새 탐지 키 NIC가 추가됩니다 Rapid7 InsightVM. NIC가 없는 기존 탐지는 의 Rapid7페이로드에서 첫 번째 수신 NIC로 업데이트됩니다. 탐지 키가 다시 계산되고 NIC를 포함한 탐지 시 다시 채워집니다. NIC 값이 다른 유사한 탐지가 확인되면 새 탐지가 생성됩니다. 이 데이터는 취약한 항목 테이블로 롤업되지 않습니다. NIC 값은 sn_vul_detection_key_config 및 sn_vul_detection 테이블의 새 열에 저장됩니다.
- De dup
- 데이터가 하드 코딩된 특정 기준을 충족하는 경우 개별 탐지를 단일 VI로 축소하는 애플리케이션에서 사용하는 취약성 대응 프로세스입니다.
- VI 외부 ID
- VI 테이블의 외부 ID 필드에 저장된 값입니다. 이 값은 VI 내의 키 조합으로 구성된 해시로, 어플리케이션 내에서 고유한 요소를 나타냅니다. CI와 취약한 항목으로 구성됩니다.
해결된 취약 항목 다시 열기
인스턴스에서 해결됨Now Platform 으로 설정되었지만 후속 통합 실행에 의해 종결/수정 됨으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.
하위 상태가 고정 또는 부실 인 종결된 VI는 새로운 탐지가 생성되고 VI를 새로운 취약성과 일치시킬 수 있는 경우 다시 열립니다.
스크립트 포함, DetectionBase메서드_shouldReOpenVI()에 따라 VIT가 이전에 하위 상태가 고정, 부실 또는 CI 해제된 상태로 종결된 경우 VIT가 다시 열리고 탐지가 기존 VIT에 매핑됩니다.
예를 들어 VIT의 종결 날짜가 탐지 last_found 날짜보다 나중이라고 가정해 보겠습니다. 이러한 VIT 기록은 종결된 상태로 유지될 것으로 예상할 수 있습니다. 그러나 이전에 닫힌 VIT가 다시 열린 경우 VIT가 이전 탐지에 의해 닫혔고 이후 검사에서 취약성이 다시 발견되었음을 의미합니다. VIT의 구성 항목에서 동일한 취약성이 있는 종결된 VIT와 일치하는 새 탐지가 발견되면 VIT가 다시 열립니다.
탐지의 경우 Rapid7 , 이제 인스턴스의 Rapid7 구성 페이지에서 해결된 VI를 기간별로 다시 여는 옵션을 사용할 수 있습니다. 활성화된 경우 VI가 해결됨 으로 설정되었지만 후속 스캔에 의해 종결/수정 으로 전환되지 않고 입력한 날짜 수가 지나면 다시 열림 으로 전환됩니다.
탐지의 경우 Qualys 스캐너가 해결됨 으로 설정되었지만 후속 스캔에서 종결/수정 으로 전환되지 않은 VI를 계속 찾으면 마지막으로 발견된 날짜가 해결됨 날짜보다 나중일 때 이러한 VI가 다시 열림 으로 이동합니다.
탐지 데이터 보기
VI 기록의 취약한 항목 탐지에서 임포트한 데이터를 볼 수 있습니다. 자세한 내용은 취약한 항목 탐지 데이터 보기 취약성 대응 및 통합 실행(VINTRUN) 기록에서 취약한 항목 탐지 데이터 확인 취약성 대응 문서를 참조하십시오.