Tenable 취약성 통합 이해
Tenable 취약성 통합을 위해 엔지니어링 팀이 ServiceNow 개발한 애플리케이션은 Vulnerability Response Integration with Tenable 해당 Tenable.sc 제품에서 Tenable.io 임포트한 데이터를 사용하여 자산의 취약성을 우선순위로 지정하고 정정하는 데 도움을 줍니다. 이 애플리케이션은 에서 별도로 구독 ServiceNow® Store하여 사용할 수 있습니다.
| v14.9 이전 용어 | 용어집 v14.9 이상 |
|---|---|
| 테스트 결과 그룹 | 정정 작업 |
| 그룹 규칙 | 정정 작업 규칙 |
| 정책 | 테스트 그룹 |
- Tenable.io 는 클라우드 기반 엔터프라이즈 통합입니다.
- Tenable.sc는 제품과 인스턴스 Now Platform 가 동일한 환경에 있는 경우 Tenable.sc MID Server를 사용하는 옵션을 제공하는 온프레미스 통합입니다.
- 제품과 Now Platform 인스턴스가 Tenable.sc 동일한 환경에 있지 않은 경우에는 MID Server를 사용해야 합니다.
Vulnerability Response Integration with Tenable 애플리케이션은 별도의 구독으로 ServiceNow Store 에서 사용할 수 있습니다.
의 통합에 대한 목록과 설명은 Tenable Vulnerability Integration및 Tenable.sc 애플리케이션과의 Vulnerability Response 통합을 참조하십시오Tenable.io및 Configuration Compliance 애플리케이션과의 Vulnerability Response 통합.
다음에 사용할 수 있는 버전 Washington DC
| 릴리스 버전 | 릴리스 정보 |
|---|---|
Vulnerability Response Integration with Tenable v3.5, v3.6 |
호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경 내용을 참조하십시오. |
통합의 용어 및 주요 기능
- 취약한 항목 및 취약성
- 인스턴스에 취약한 항목이 생성 Now Platform 되는 경우:
- 외부 공급업체 스캐너에서 임포트한 취약성이 기존 자산(의 CMDB구성 항목)과 일치합니다. Tenable 제품은 이러한 일치를 취약성이라고 합니다.
- 외부 공급업체 스캐너에서 가져온 취약성이 의 CMDB기존 자산과 일치하지 않습니다. 이 경우 일치하지 않는 CI도 취약한 항목과 함께 생성됩니다.
일치하지 않는 CI의 경우 기존 CI를 호스트와 일치시킬 수 없을 때 IRE(식별 및 조정 엔진)를 사용하여 두 개의 새 클래스에 CI를 만들 수도 있습니다. 그렇지 않으면 일치하지 않는 CI가 일치하지 않는 CI 클래스에 만들어집니다. 자세한 내용은 식별 및 조정 엔진 사용을 위한 Vulnerability Response CI 생성 문서를 참조하십시오.
- 타사 취약성 항목 및 플러그인
- 외부 공급업체 취약성 항목은 외부 공급업체 스캐너에서 임포트되어 인스턴스의 외부 공급업체 취약성 항목 테이블에 나열됩니다 Now Platform . Tenable의 타사 취약성 항목이 수집 Vulnerability Response 되어 에 CMDB나열된 기존 자산과 일치합니다. Tenable은 외부 공급업체 취약성 항목을 플러그인이라고 합니다.
- CI(구성 항목)
- 구성 항목은 에 CMDB나열된 기존 자산입니다.
- 검색된 항목
- Tenable 자산 가져오기에서 수집된 자산은 의 기존 구성 항목과 일치합니다 CMDB. 임포트한 자산이 업데이트됩니다.
일치하는 항목이 없으면 의 일치하지 않는 CI 클래스 CMDB에 CI가 생성됩니다. CMDB CI Class Models 플러그인이 활성화된 경우 IRE(식별 및 조정 엔진)에서 새 클래스를 사용하여 새 CI를 만듭니다. 자세한 내용은 식별 및 조정 엔진 사용을 위한 Vulnerability Response CI 생성 문서를 참조하십시오. 일치하지 않는 원본 CI가 재분류되면 검색된 항목 기록이 상태를 반영하도록 업데이트됩니다. 검색된 항목을 통해 자산이 어떻게 식별되고 CI에 매핑되는지 확인할 수 있습니다 CMDB.
- CI 조회 규칙
- 외부 공급업체 통합에서 데이터를 임포트하면 Vulnerability Response는 자동으로 호스트(자산) 데이터를 사용하여 Configuration Management Database(CMDB)에서 일치하는 항목을 검색합니다. CI 조회 규칙은 정정을 지원하기 위해 VI가 생성될 때 CI를 식별하고 VI 기록에 추가하는 데 사용됩니다.
- 다시 스캔 및 정정 스캔
- 인스턴스의 취약한 항목, 정정 작업 및 외부 공급업체 취약성 항목 기록 Now Platform 에서 직접 특정 구성 항목, 취약성 그룹 또는 외부 공급업체 항목에 대해 대상이 지정된 재검사 명령을 시작할 수 있습니다. Tenable은 이 재스캔을 정정 스캔이라고 합니다.
- 이전 VI 자동 닫기
- 의 부실 취약 항목 자동 종결 모듈을 Now Platform사용하여 외부 공급업체 통합에서 최근에 발견하지 못한 오래된 부실 VI(취약한 항목)를 정리할 수 있습니다. 이러한 VI를 종결됨으로 이동하면 활성화된 취약한 항목 및 정정 작업의 수를 줄이고 .CMDB 모든 통합을 Vulnerability Response Integration with Tenable 사용하여 오래된 VI를 자동으로 닫을 수 있습니다.
- 인스턴스
- 이 용어는 응용 프로그램의 고유한 발생 Now Platform® 을 나타냅니다.
- 통합
- 통합은 자산 통합 또는 플러그인 통합과 같은 Tenable.io 통합에 대한 제품별 참조입니다 Tenable.sc . 이는 인스턴스의 Tenable 취약성 통합에서 특정 Tenable 제품에 속하는 별도의 통합입니다.
- 통합 인스턴스
- 이 용어는 해당 Tenable.io 제품 및 Tenable.sc 제품에 나열된 별도의 Tenable 통합을 나타냅니다.
- 배치
- 통합이 다중 소스를 지원하는 경우 하나의 고유한 통합 존재를 통합의 배포라고 합니다. 이 용어는 환경 전반의 통합 및 제품을 지칭하는 데 사용됩니다. 예를 들어, 사용자 환경에서 및 Tenable.sc 제품의 다양한 통합을 Tenable.io 여러 개 배포할 수 있습니다.
및 Tenable.sc 통합에는 Tenable.io 다음과 같은 주요 기능도 포함됩니다.
- 구성 평가 결과, 즉 정책, 구성 테스트(통제) 및 신뢰할 수 있는 소스가 있는 인용과 함께 테스트 결과를 제품과 함께 Tenable.io 애플리케이션으로 Configuration Compliance 임포트할 수 있습니다. 이 통합이 애플리케이션과 Configuration Compliance 작동하는 방식에 대한 자세한 내용은 를 Configuration Compliance 탐색 참조하십시오Tenable.io및 Configuration Compliance 애플리케이션과의 Vulnerability Response 통합.
- 의 v2.1 Tenable Vulnerability Integration부터 동일한 IP 주소를 공유하는 환경의 자산에 대해 서로 다른 네트워크 파티션 식별자를 포함하는 고유한 구성 항목(CI)을 생성합니다. 환경 전체에서 고유한 자산을 식별하고 기존에 검색된 항목, 취약한 항목 및 탐지 기록의 CI를 업데이트하여 취약성에 대한 자세한 내용을 제공합니다.
- 모든 Tenable.io 통합 Tenable.sc 에 대해 작업을 실행할 시기를 예약할 수 있습니다. 요청 시 예약된 작업을 수동으로 실행할 수도 있습니다.
- 를 사용하여 Tenable.io자산 임포트의 경우 자산 태그를 활성화하여 환경에서 나열된 CMDBTenable.io 자산을 구성하고 추적할 수 있습니다.
- Tenable.io 및 Tenable.sc 통합을 사용하면 CI 조회 규칙을 구성하여 외부 공급업체 소스의 자산 데이터를 사용하여 에서 구성 항목(CI)을 식별하는 방법을 정의할 수 Now Platform CMDB있습니다.
- Tenable.io 및 Tenable.sc 통합을 사용하면 취약성 임포트에 임포트 필터를 설정하여 Tenable에서 원하는 취약성만 임포트할 수 있습니다. 의 경우 Tenable.io취약성 임포트를 사용하여 Tenable에서 수정된 취약성을 임포트할 수 있는 옵션이 있습니다.
- 의 경우 Tenable.sc인스턴스의 취약한 항목, 정정 작업 및 외부 공급업체 항목 기록에서 직접 요청 시 재스캔을 시작하는 옵션이 있습니다 Now Platform . VI가 종결/고정 으로 전환되었지만 인스턴스에서 아직 업데이트되지 않은 경우 특정 구성 항목의 취약성이 정정되었는지 확인할 수 있습니다. 통합에 대한 Tenable.sc 재스캔 시작 문서를 참조하십시오.
다음 섹션에는 Tenable 통합에 대한 자세한 정보가 나열되어 있습니다.
필요한 Now Platform 역할
통합 작업에는 인스턴스에서 다음 역할이 Now Platform 필요합니다.
- admin
- 시스템 관리자는 설정 도우미를 사용하여 애플리케이션을 설치합니다 Vulnerability Response Integration with Tenable . 할당되지 않은 경우 관리자는 취약성 관리자(sn_vul.vulnerability_admin) 및 설정 도우미의 기타 역할을 할당합니다.
- sn_vul.vulnerability_admin
- 할당되면 취약성 관리자는 설정 도우미에서 Tenable 통합 구성을 완료합니다. 이 역할은 (VR) 애플리케이션 및 해당 기록에 대한 Vulnerability Response 전체 액세스 권한을 갖습니다. 취약성 관리자는 설치된 외부 공급업체 통합을 위해 모든 VR 애플리케이션 및 규칙을 구성합니다.
- sn_vul_tenable.configure_integration
- 이 역할에는 sn_vul_tenable.read_integration의 세분화된 역할이 포함되어 있으며 이 역할을 가진 사용자는 애플리케이션을 구성할 Vulnerability Response Integration with Tenable 수 있습니다.
- sn_vul_tenable.read_integration
- 이 역할을 가진 사용자는 애플리케이션의 Vulnerability Response Integration with Tenable 기록을 보거나 읽을 수 있지만 편집할 수는 없습니다.
- 취약성 응답 그룹
- Vulnerability Response 그룹은 기본적으로 설정 도우미에서 사용할 수 있습니다. Vulnerability Response 그룹에 할당된 사용자는 sn_vul.read_all 및 sn_vul.remediation_owner 역할을 자동으로 상속합니다.
취약한 항목
취약한 항목은 그룹 규칙에 따라 정정 작업으로 그룹화되고 할당 규칙에 따라 정정을 위해 할당됩니다. 자세한 내용은 Vulnerability Response 정정 작업 및 작업 규칙 개요 및 Vulnerability Response 할당 규칙 개요 문서를 참조하십시오.
CI(구성 항목) 조회 규칙
- MAC_ADDRESS
- FQDN
- NetBIOS
- 호스트 이름
- DNS
- IP
- MAC_ADDRESS
- FQDN
- NetBIOS
- IP
일치하지 않는 클라우드 리소스의 분류를 기본 CI 클래스로 구성하는 방법에 대한 자세한 내용은 다음을 참조하십시오 일치하지 않는 클라우드 자산에 대한 CI 클래스 업데이트.
IP 주소를 무시하는 새 속성
- ignoreIPAddress
- CI 조회 및 CI 생성 시 무시할 IP 주소의 목록입니다.
- ignoreMacAddress
- CI 조회나 CI 생성 시 무시할 MAC 주소의 목록.
검색된 항목
자산 태그
자산 태그(호스트 태그라고도 함)는 조직의 자산을 구성하고 추적하는 데 사용됩니다. 자산에 태그를 할당할 수 있습니다. 그런 다음 스캔을 시작할 때 스캔할 자산과 연결된 태그를 선택할 수 있습니다. 자산 태그 모듈을 사용하면 일정에 따라 자산 태그 데이터를 인스턴스로 Tenable.io 다운로드할 수 있습니다. 자산 태그가 포함된 자산 데이터를 Tenable.io 자산 변환 통합 변환 맵에서 Tenable.io 가져와 변환합니다.
- 태그 저장소는 대소문자를 구분하지 않습니다. 예를 들어 San Diego 위치에서 자산을 설명하는 태그를 생성하고 San Diego 태그를 생성하는 경우 SAN DIEGO 태그를 생성하여 자산 태그 테이블에 저장할 수도 없습니다. San Diego 와 SAN DIEGO 는 시스템에서 동일한 자산 태그로 간주됩니다. 어떤 태그를 먼저 가져오는 것이 앞으로 저장되고 인식되는 태그입니다.
- 정정 작업 규칙에서 자산 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 자산 태그는 조건 작성기에서만 사용할 수 있습니다.
- 자산 태그는 전역 시스템 속성 sn_vul.import_asset_tags에 의해 제어됩니다. 이 속성은 기본적으로 true 로 설정됩니다. 태그를 비활성화하면 모든 Now Platform® 인스턴스에서 비활성화됩니다.
데이터 검색 필터
데이터 검색 설정은 Tenable 애플리케이션에서 인스턴스 Now Platform® 로 임포트할 데이터의 유형과 범위를 구체적으로 결정하는 데 도움이 됩니다. 가장 일반적으로 사용되는 설정 목록은 을 참조하십시오 Tenable 취약성 통합을 위한 데이터 검색 설정.취약성 우선 순위 등급(VPR)
VPR(취약성 우선 순위 등급)은 에서 새로운 기본 위험 계산기 Vulnerability Response와 함께 가져와서 사용하는 Tenable 제품의 속성입니다. 유지 가능한 위험 규칙은 의 취약성 계산기에 있는 기본 위험 계산기의 일부로 애플리케이션과 Vulnerability Response Integration with Tenable 함께 설치됩니다 Vulnerability Response.
이 위험 규칙은 기본적으로 비활성화되어 있습니다.
방어 가능한 위험 계산기 규칙을 사용하면 임포트된 VPR 값이 취약한 항목의 위험 점수를 계산하는 데 사용됩니다. 이 위험 계산기의 기본 가중치 분포는 VPR = 70%, 자산=15%, 비즈니스 중요도=15%입니다. 이 Tenable 위험 계산기 규칙을 활성화하면 데이터 수집 성능에 영향을 줄 수 있습니다. 계산기 및 Tenable 위험 계산기 규칙에 대한 Vulnerability Response 자세한 내용은 을 참조하십시오 Vulnerability Response 계산기 및 취약성 계산기 규칙.
설치 및 구성
에서 다운로드 Vulnerability Response Integration with TenableServiceNow® Store한 후 의 설정 도우미 Vulnerability Response가 설치 및 구성을 지원합니다. 자세한 내용은 설정 지원을 사용하여 구성 Vulnerability Response 문서를 참조하십시오.