지원되는 통합

외부 공급업체 통합은 Configuration Compliance 구성 평가 결과, 정책, 테스트, 기술, 권한이 부여된 소스 및 테스트 결과를 애플리케이션으로 임포트합니다. 취약성 관리자 또는 취약성 분석가는 이 데이터를 사용하여 자산의 구성 관련 취약성을 식별하고 대응할 수 있습니다.

지원되는 통합에 대한 자세한 내용은 을 참조하십시오 Configuration Compliance 통합.

정책

정책은 권한이 부여된 문서 및 테스트 기록과 관련이 있습니다. 구성 테스트 그룹은 정책을 정의합니다. 정책은 일반적으로 Windows, Oracle 데이터베이스, Cisco IOS와 같은 기술 클래스에 맞게 조정되며 기본 업계 표준에서 파생되는 경우가 많습니다. 조직의 필요에 맞게 정책을 수정할 수 있습니다. 단일 구성 테스트는 여러 정책에 속할 수 있습니다.

테스트

테스트는 컴퓨팅 자산의 스캔을 구성하는 데이터 레코드 라이브러리입니다. 구성 테스트는 기술 자산 클래스를 관리하는 방법을 정의합니다.

Configuration Compliance 테스트는 타사 통합 애플리케이션이 취약성 유형별로 자산을 그룹화하는 데 사용하는 메커니즘입니다. Qualys와 같은 일부 타사 VA 검사 솔루션에는 신뢰할 수 있는 원본의 정책 및 "프레임워크"에 매핑되는 매우 큰 테스트 라이브러리(최대 8,000개)가 있습니다.

테스트에는 일대다, 예상값과 실제 값 등 여러 값이 있을 수 있습니다. 테스트는 규정을 준수하지 않는 소프트웨어 또는 하드웨어 자산의 클래스를 식별하는 데 사용할 수 있는 것입니다. 예를 들어, 릴리스 또는 하드웨어 번호가 있습니다.

기술

타사 취약성 스캐너에서 분석을 위한 소프트웨어 및 하드웨어 구성 항목의 테스트 그룹을 생성하는 데 사용하는 기술 중 하나는 기술별로 구성하는 것입니다. 기술은 정책과 연결된 OS, 네트워크 장치, 데이터베이스 및 앱의 가져온 라이브러리입니다. 테스트에는 서로 다른 기술에 대한 여러 구현이 있습니다. 문제 해결은 기술마다 다릅니다.

테스트 에 적용할 수 있는 기술을 보고 통제를 적용할 수 있는 소프트웨어 또는 하드웨어 자산의 종류를 더 잘 이해할 수 있습니다. 컨트롤에 적용할 수 있는 기술의 예로는 CentOS 7.x, Windows 8.1, Windows 2016 Server 등이 있습니다. 기술 목록은 읽기 전용이며 응용 프로그램에 정의된 기술과 일치합니다 Qualys Cloud Platform .

데이터베이스 관련 구성 평가용으로만 기술을 가져옵니다. db_type 가져오기의 (비어 있지 않은 경우)는 기술을 만드는 데 사용됩니다. 구성 테스트 기록, 테스트 결과 기록, 정책 기록 및 Configuration Compliance > 지원 데이터 > 기술레이블이 표시됩니다.

권한이 부여된 소스

권한이 부여된 출처와 인용(필수라고도 함)은 외부 공급업체 취약성 스캐너에서 가져옵니다.

신뢰할 수 있는 원본 레코드에는 컴퓨터 보안 분야의 전문가가 제공한 알려진 소프트웨어 및 하드웨어 구성 문제에 대한 정보에 대한 참조가 포함되어 있습니다. 보안 정책 및 절차에 대한 요구 사항을 정의합니다. 구성 테스트는 인용을 통해 신뢰할 수 있는 여러 출처를 참조할 수 있습니다. 권위 있는 출처는 심사를 준비하기 위해 주어진 표준에 대한 준수 여부를 보고할 수 있습니다.

테스트 결과

Configuration Compliance 은 테스트 결과를 계산하지 않지만 외부 공급업체 통합의 일부로 임포트합니다. 에서 볼 수 Configuration Compliance있게 되면 정정 작업을 사용하여 정정됩니다. 자세한 내용은 Configuration Compliance 상관 관계 문서를 참조하십시오.