Rapid7 Vulnerability Integration 이해
ServiceNow® Rapid7 Vulnerability Integration 데이터 웨어하우스 또는 제품에서 Rapid7Rapid7 InsightVM 가져온 데이터를 사용하여 잠재적으로 악의적인 위협의 영향과 우선 순위를 결정하는 데 도움이 됩니다.
Rapid7 Nexpose센서는 데이터를 수집하여 정보를 지속적으로 분석하고 상관 관계를 파악하는 데이터 웨어하우스(온프레미스) 또는 Rapid7 InsightVM (클라우드 기반) 제품으로 Rapid7 자동으로 보냅니다. 취약성을 CI 및 서비스에 매핑하기 ServiceNow® Vulnerability Response 위해 쉽게 통합됩니다. Rapid7 Vulnerability Integration 인스턴스의 취약성 데이터를 보강합니다.
각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 체계. 이 값은 변경하지 마십시오.
사용 가능한 버전
| 릴리스 버전 Washington DC | 릴리스 정보 |
|---|---|
Rapid7 Vulnerability Integration v13.6, 13.7 |
호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경 내용을 참조하십시오. |
역할
- sn_vul_r7.admin: 기록을 읽고, 쓰고, 삭제할 수 있습니다.
- sn_vul_r7.user: 기록을 읽고 쓸 수 있습니다.
- sn_vul_r7.read: 레코드를 읽을 수 있습니다.
가상 사용자 및 그룹이 애플리케이션에서 보고 수행할 수 있는 작업을 관리하는 데 도움이 되는 가상 사용자 및 세분화된 역할을 사용할 수 있습니다 Vulnerability Response . 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 Vulnerability Response 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 Vulnerability Response.
Rapid7 Vulnerability Integration 통합
을(를 Rapid7 Vulnerability Integration) 보려면 (으)로 이동합니다. 레이블이 표시됩니다.
기본 시스템에는 다음과 같은 통합이 포함되어 있습니다.
| 통합 | 설명 |
|---|---|
| Rapid7 Vulnerability Integration | 인스턴스에서 Rapid7 Nexpose 취약성 데이터를 검색하고 인스턴스에서 처리합니다. |
| Rapid7 자산 목록 통합 | 데이터 웨어하우스에서 Rapid7 Nexpose 일주일에 한 번 스캔 데이터를 검색하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 검사 날짜를 사용하여 최근에 검사하지 않은 자산을 식별하는 데 도움이 됩니다. 의 검색된 항목 목록에서 Vulnerability Response마지막 검사 시간을 봅니다. |
| Rapid7 범주 통합 | 에서 범주 정보를 Rapid7 Nexpose검색합니다. 범주는 취약성에 대해 높은 수준의 분류를 제공합니다. |
| Rapid7 악용 통합 | 에서 악용 정보를 Rapid7 Nexpose검색합니다. |
| Rapid7 맬웨어 키트 통합 | 에서 맬웨어 키트 정보를 Rapid7 Nexpose검색합니다. |
| Rapid7 참조 통합 | CVE 또는 벤더별 취약성 참조와 같은 외부 권한 문서에 대한 참조를 검색합니다. |
| Rapid7 솔루션 통합 | 에서 솔루션 데이터를 Rapid7 Nexpose검색하여 특정 취약성에 권장되는 솔루션을 제공합니다. |
| Rapid7 대체 솔루션 통합 | 다른 솔루션으로 대체되는 솔루션에 대한 정보를 조회합니다. |
| Rapid7 필수 솔루션 통합 | 다른 솔루션의 필수 구성요소인 솔루션에 대한 정보를 조회합니다. 이 통합이 실행되면 데이터 웨어하우스에서 솔루션 및 필수 솔루션 매핑을 Rapid7 가져옵니다. 주: 이 통합은 플러그인이 Vulnerability Solution Management 활성화된 경우에만 작동합니다. |
| Rapid7 취약성 솔루션 맵 통합 | 매핑을 검색하여 솔루션을 취약성과 연결합니다. |
| Rapid7 취약한 항목 통합 | 인스턴스에서 Rapid7 Nexpose 취약한 항목 데이터를 검색하고 인스턴스에서 처리합니다. 이 통합의 출력은 취약한 항목입니다. |
| Rapid7 취약한 항목 해결 통합 | 에서 종결 Rapid7 Nexpose 됨으로 표시된 취약한 항목에 대한 정보를 검색하고 에서 해당 취약한 항목을 Vulnerability Response종결합니다. |
| Rapid7 사이트 통합 | 에서 사이트 데이터를 Rapid7 Nexpose검색합니다. 사이트는 검사 대상인 자산의 모음입니다. |
| Rapid7 자산 목록 통합 | 데이터 웨어하우스에서 Rapid7 일주일에 한 번 호스트 태그를 검색하고 데이터를 스캔하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 검사 날짜를 사용하여 최근에 검사하지 않은 자산을 식별하는 데 도움이 됩니다. 의 검색된 항목 목록에서 마지막 검사 시간 보기 Vulnerability Response |
| Rapid7 포괄적인 취약 항목 통합 | 마지막으로 성공한 통합 실행 이후 검사된 모든 구성 항목에 대한 모든 Rapid7 탐지를 임포트합니다. 가장 최근의 임포트한 데이터를 기반으로 검사 중에 최근에 발견되지 않은 취약한 항목은 부실 취약한 항목 자동 종결 모듈을 사용하도록 설정하면 자동으로 "종결됨"으로 전환됩니다. |
| 통합 | 설명 |
|---|---|
| Rapid7 취약한 항목 통합 — API | InsightVM에서 Rapid7 취약한 항목 데이터를 검색하고 인스턴스에서 처리합니다. |
| Rapid7 Vulnerability Integration - 증권 시세 표시기 | InsightVM에서 Rapid7 참조, 범주, 익스플로잇, 맬웨어 키트 및 취약성 데이터를 검색하고 인스턴스에서 처리합니다. |
| Rapid7 자산 목록 통합 - API | 일주일에 Rapid7 InsightVM 한 번 호스트 태그를 검색하고 데이터를 스캔하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 검사 날짜를 사용하여 최근에 검사하지 않은 자산을 식별하는 데 도움이 됩니다. 의 검색된 항목 목록에서 Vulnerability Response마지막 검사 시간을 봅니다. |
| Rapid7 포괄적인 취약 항목 통합 - API | 마지막으로 성공한 통합 실행 이후 검사된 모든 구성 항목에 대한 모든 Rapid7 탐지를 임포트합니다. 가장 최근의 임포트한 데이터를 기반으로 검사 중에 최근에 발견되지 않은 취약한 항목은 부실 취약한 항목 자동 종결 모듈을 사용하도록 설정하면 자동으로 "종결됨"으로 전환됩니다. |
| Rapid7 사이트 통합 | 제품에서 Rapid7 InsightVM 사이트 데이터를 검색합니다. 이 통합은 매주 00:00:00에 실행되도록 설정됩니다. |
임포트하는 동안 아직 존재하지 않는 CVE 기록은 NVD 기록으로 생성되고 기본적으로 외부 공급업체 항목 Rapid7 에서 참조됩니다. 에 대한 Rapid7 템플릿 통합을 삭제할 수 없습니다. 대신 비활성화하십시오.
Rapid7용 서비스 그래프 커넥터
버전 2.0부터 Rapid7용 서비스 그래프 커넥터는 ServiceNow® Store. 자세한 내용은 Service Graph Connector for Rapid7 문서를 참조하십시오.
CI 조회 규칙
CI 조회 규칙은 취약한 항목 기록의 구성 항목 필드를 채우는 방법을 결정합니다.
CI 조회 규칙의 작동 방식에 대한 자세한 내용은 을 참조하십시오 외부 공급업체 취약성 통합에서 Vulnerability Response 구성 항목을 식별하기 위한 CI 조회 규칙.
검색된 항목
검색된 항목 모듈에 대한 자세한 내용은 in을 Vulnerability Response 참조하십시오검색된 항목.
호스트 태그
호스트 태그는 자산 목록 통합의 일부로 Rapid7 임포트됩니다. API 통합입니다 Rapid7 InsightVM. 주로 의 Rapid7 InsightVM할당 및 정정 작업 규칙에서 Vulnerability Response 필터링하는 데 사용됩니다. 검색된 항목 양식에 표시됩니다.
- 태그 저장은 대/소문자를 구분하지 않습니다. San Diego 태그가 생성되면 SAN DIEGO 태그를 호스트 태그 테이블에 저장할 수 없습니다. "San Diego"와 "SAN DIEGO"는 동일한 호스트 태그로 간주됩니다. 어떤 태그를 먼저 가져왔든 간에 승리합니다.
- 정정 작업 규칙에서 호스트 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 호스트 태그는 조건 작성기에서만 사용할 수 있습니다.
- 호스트 태그는 전역 시스템 속성 sn_vul.import_host_tags에 의해 제어됩니다. 이 속성은 기본적으로 true로 설정됩니다. 태그를 끄면 모든 인스턴스에서 태그가 꺼집니다.
사이트
사이트는 검사 대상 자산의 모음입니다. 사이트는 대상 자산, 검색 템플릿, 하나 이상의 검색 엔진 및 기타 검색 관련 설정(예: 일정이나 경고)으로 구성됩니다. 사이트는 응용 프로그램에 의해 Rapid7 관리됩니다.
Rapid7 Vulnerability Integration 구성 중에 사이트 필터링을 사용하면 가져오는 동안 사이트별로 자산을 분류하고 요청할 수 있습니다. 임포트 필터링에 대한 자세한 내용은 을 참조하십시오 사이트별 Rapid7 필터링 .
데이터 웨어하우스 및 Rapid7 InsightVM 사이트 통합은 Rapid7 사이트를 주간 예약 작업으로 가져옵니다.
임포트한 사이트를 목록에서 보려면 다음으로 이동합니다. 레이블이 표시됩니다.
스캔으로 종결되지 않은 해결된 취약한 항목 다시 열기
인스턴스에서 Now Platform 취약한 항목이 "해결됨"으로 설정되었지만 후속 통합 실행에서 "종결/고정됨"으로 전환되지 않은 항목은 재스캔 중에 탐지되면 다시 열립니다.
탐지의 경우 Rapid7 , 이제 인스턴스의 Rapid7 구성 페이지에서 기간별로 확인된 VI를 다시 여는 옵션을 사용할 수 있습니다. 활성화하면 '해결됨'으로 설정되었지만 후속 스캔에서 '종결/고정'으로 전환되지 않은 VI는 입력한 일 수 후에 다시 '오픈'으로 전환됩니다.
IRE(식별 및 조정 엔진)를 사용하여 CI 생성
기존 CI를 외부 공급업체 스캐너에서 가져온 호스트와 일치시킬 수 없는 경우 식별 및 조정 엔진을 사용하여 새 CI를 만들 수 있습니다. CMDB CI Class Models 플러그인을 활성화하여 새 클래스를 사용하여 CI를 작성합니다. 그렇지 않으면 일치하지 않는 CI 클래스에 일치하지 않는 CI가 작성됩니다. 자세한 내용은 식별 및 조정 엔진 사용을 위한 Vulnerability Response CI 생성 문서를 참조하십시오. 일치하지 않는 클라우드 리소스의 분류를 기본 CI 클래스로 구성하는 방법에 대한 자세한 내용은 다음을 참조하십시오 일치하지 않는 클라우드 자산에 대한 CI 클래스 업데이트.
취약한 항목 다시 스캔
플랫폼에서 재스캔을 시작하여 예약된 Rapid7 스캔 주기 사이에 취약한 항목이 정정되었는지 확인합니다. 취약성 통합에 Rapid7 대한 재스캔 시작 문서를 참조하십시오.
스토어에서 앱 요청
ServiceNow Store 웹 사이트를 방문하면 사용 가능한 모든 앱을 확인하고 스토어에 요청을 제출하는 방법에 대한 정보를 참조할 수 있습니다. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.
Rapid7 솔루션 관리
플러그인 Rapid7 을 Vulnerability Solution Management 활성화한 경우 데이터 웨어하우스와 Rapid7 InsightVM 취약성 솔루션 [sn_vul_solution] 테이블에 둘 다 Rapid7 에 대한 솔루션이 채워집니다. 그러나 플러그인 Rapid7 Vulnerability Integration 을 Vulnerability Solution Management 활성화하지 않은 경우 는 그대로 작동하고 사용자 지정 [sn_vul_r7_solution] 테이블의 솔루션을 임포트합니다. 자세한 내용은 Rapid7 솔루션 관리 문서를 참조하십시오.