통합에 대한 Tenable.io 재스캔 시작

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기8분

    • Tenable 플랫폼에서 재스캔을 시작하여 예약된 스캔 주기 사이에 취약한 항목이 정정되었는지 확인합니다. 인스턴스에서 Now Platform® 제품의 취약한 항목에 대해 요청 시 다시 스캔을 Tenable.io 시작할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_vul.write_all 또는 sn_vul.write_assigned

    시작하기 전에 스캐너가 활성화되어 있는지 확인하십시오. 다음으로 이동 Vulnerability Response > 취약성 스캐닝 > 스캐너레이블이 표시됩니다.

    이 태스크 정보

    주:
    Tenable.io 는 에이전트 기반 컴퓨터에서 다시 스캔 시작을 지원하지 않습니다.

    정정 소유자, IT 전문가, 취약성 분석가 또는 취약성 관리자는 예약된 전체 검사와 관련된 오버헤드와 볼륨을 줄이기 위해 요청 시 대상 재검사를 시작할 수 있습니다. 환경의 자산(구성 항목)에 대한 특정 취약성을 스캔할 수 있습니다. 인스턴스의 VI(취약한 항목), VUL(정정 작업), TPE(타사 항목) 또는 SDI(검색된 항목) 기록에서 다시 스캔을 시작할 수 Now Platform 있습니다. 다시 스캔을 통해 정정 활동, 패치 및 기타 작업이 구성 항목(CI)의 특정 취약성을 성공적으로 수정했는지 확인할 수 있습니다.

    주:
    인스턴스 Now Platform® 에서 재스캔을 요청할 때 자격 증명을 선택하는 Vulnerability Response Integration with Tenable 것은 선택 사항입니다. 검사 자격 증명 통합은 ServiceNow® Tenable.io 인스턴스의 제품에서 Tenable.io 스캐너 자격 증명을 임포트하고 업데이트합니다. 이 통합은 매주 실행되어 Tenable 자격 증명 데이터를 임포트하고 안전하게 저장합니다.

    이 임포트된 데이터에는 Tenable 암호 또는 기타 민감한 Tenable 계정 정보가 포함되지 않습니다.

    다음 정보는 인스턴스에서 Now Platform 필요에 따라 사용자가 볼 수 있도록 임포트하는 자격 증명에 대해 설명합니다.
    • 관리자 사용자 역할로 만든 자격 증명은 Tenable.io 모든 조직의 사용자가 사용할 수 있습니다.
    • 조직 사용자 역할로 만든 자격 증명은 Tenable.io 해당 조직 내의 사용자만 사용할 수 있습니다. 이러한 자격 증명은 인스턴스에 연결하는 데 사용되는 사용자의 계정과 공유되지 않는 한 생성자의 조직 외부에 있는 사용자를 위해 임포트 Now Platform 되지 않습니다.

      Tenable.io 자세한 내용은 설명서 웹 사이트를 참조하십시오.

    • Tenable.io 다시 스캔을 시작하기 전에 템플릿 통합과 Tenable.io 검사 자격 증명 통합을 활성화해야 합니다. 스캔 자격 증명 통합에 대한 자세한 내용을 보려면 다음으로 이동하십시오. 유지 가능 취약성 통합 > 통합 > Tenable.io 스캔 자격 증명 통합레이블이 표시됩니다.
      기본적으로 템플릿과 스캔 자격 증명 통합은 비활성화됩니다. 에 대한 Tenable.io자격 증명을 입력하면 모든 Tenable.io 통합이 자동으로 활성화됩니다. 이러한 통합을 수동으로 활성화하거나 비활성화하려면
      1. 다음으로 이동 모두 > 유지 가능 취약성 통합 > 관리 > 통합레이블이 표시됩니다.
      2. 표시되는 목록에서 원하는 통합 기록을 찾습니다 Tenable.io .
      3. 각 기록을 열고 활성 확인란을 선택하여 통합을 활성화합니다.
      4. 변경 사항을 저장하려면 업데이트를 클릭합니다.
      5. 설정 도우미로 돌아가서 에 Vulnerability Response대한 Tenable Vulnerability Integration 구성을 계속합니다.

    Tenable.sc 제품 구성에 Tenable.io 대한 자세한 내용은 을 참조하십시오설정 도우미를 사용하여 Tenable 취약성 통합 구성.

    전체 환경이 3주에 한 번씩 스캔된다고 가정해 보겠습니다. 가장 최근의 전체 검사는 일주일 전에 완료되었지만 어제 패치를 적용하여 치명적인 취약점을 수정했습니다. 이 취약성의 특성으로 인해 다음 예약된 검사에서 수정되었는지 확인할 때까지 2주를 기다릴 수 없습니다. 패치가 이전 검사 중에 발견된 중요한 취약성을 성공적으로 수정했는지 확인하려면 취약한 항목에서 Now PlatformTenable.io 대상 재검사를 시작할 수 있습니다.

    수정된 취약성 통합의 다음 예약된 임포트 이후에 스캔을 시작한 기록에서 업데이트된 결과를 볼 수 있습니다.

    통합 실행 중에 여러 프로세스가 생성되고 데이터가 페이지 형태로 수신됩니다. 각 프로세스에는 페이지에 첨부된 데이터가 있는 하나 이상의 임포트 큐 항목이 포함될 수 있습니다. 이러한 항목은 1시간의 제한 시간 내에 데이터를 처리해야 합니다. 그러나 페이로드 크기가 크면 처리 시간이 1시간을 초과하거나 중단되어 통합 시간 제한 오류가 발생할 수 있습니다. 시간 초과 오류에도 불구하고 통합은 데이터를 계속 처리합니다. 이러한 잘못된 통신을 방지하기 위해 의 버전 18.2.4 Vulnerability Response부터 타임스탬프(하트비트)가 주기적으로 전송되어 큐가 활성 상태이고 데이터를 처리 중인지 여부를 나타냅니다. 임포트 큐 항목 페이지의 Last Record Processed(마지막 기록 처리) 필드는 임포트 큐가 생성하거나 업데이트하는 기록 수에 따라 업데이트됩니다. 임포트 큐 항목이 1시간 제한을 초과하는 경우 시스템은 마지막 기록 처리 필드를 검사하여 1시간보다 오래된 항목인지 확인합니다. 이 경우, 이는 임포트 큐 항목이 고착되었음을 나타내며 더 이상의 처리 지연을 방지하기 위해 시간 초과됩니다.
    주:
    마지막으로 처리된 기록 필드는 다음 시스템 속성에 정의된 내용에 따라 업데이트됩니다.
    • sn_sec_cmn.record_threshold_heartbeat: 하트비트(타임스탬프)가 임포트 큐 항목으로 전송된 후 처리된 레코드 수를 정의합니다.
    • sn_sec_cmn.maximum_heartbeat_delay: 가져오기 큐 항목의 시간 초과해야 하는 시간을 정의합니다.

    프로시저

    1. 다음으로 이동 모두 > Vulnerability Response > 취약한 항목레이블이 표시됩니다.
    2. 다시 스캔을 트리거할 취약한 항목 기록을 찾아 엽니다.
      주:
      스캐너를 Tenable.io 사용하는 경우 소스로 사용하는 Tenable.io VI에 대해서만 재스캔을 시작할 수 있습니다. VI 목록 뷰의 소스 열 또는 개별 레코드의 소스 필드에 확인 Tenable.io 이 표시됩니다. 조건 작성기를 사용하여 소스별로 VI를 그룹화할 수 있습니다. 또는 소스 열이 VI 목록 보기에 표시되지 않으면 목록의 왼쪽 상단에서 목록 개인화 아이콘(기어 아이콘)을 클릭하고 슬러시버킷을 사용하여 소스를사용 가능 에서 선택됨으로 이동합니다.
    3. 또는 다음으로 이동합니다. 모두 > Vulnerability Response > 정정 작업 또는 Vulnerability Response > 라이브러리 > 외부 공급업체 재검색에 사용할 기록의 경우.

      선택에 따라 다음 기록에서 다시 스캔 버튼을 사용할 수 있습니다.

      • 단일 VI 레코드에서 VI는 종결 이외의 상태여야 합니다. 여러 VI 레코드의 경우 모든 VI는 제품에서 가져 Tenable.io 와야 하며 종결 이외의 상태여야 합니다.
      • 정정 작업 기록의 경우 종결 상태가 아닌 정정 작업만 지원됩니다. 연결된 모든 VI는 종결 이외의 상태여야 하며 소스로 사용 Tenable.io 되어야 합니다.
      • 외부 공급업체 출입(TPE) 기록에서는 종결 상태가 아닌 제품의 VI 기록과 Tenable.io 연결된 VI 기록이 하나 이상 있어야 합니다.
      • 검색된 항목 기록에서 기록에는 종결 상태가 아닌 제품의 연결된 VI 기록 Tenable.io 이 하나 이상 있어야 합니다.
      • 취약한 항목 목록에서 다시 검색할 취약한 개별 항목을 선택할 수 있습니다. 화면 왼쪽 아래에 있는 Actions on selected rows(선택한 행에 대한 작업) 메뉴를 사용하여 다시 스캔을 시작합니다. 자격 증명을 입력하라는 메시지가 표시됩니다.
    4. 기록의 오른쪽 상단에서 Rescan(다시 스캔)을 클릭합니다.
      다시 스캔할 인스턴스와 스캐너에 액세스하는 데 사용할 스캐너 자격 증명을 선택하라는 메시지가 표시됩니다. 표시된 자격 증명은 검사 자격 증명 통합에서 Tenable.io 임포트한 자격 증명입니다.
    5. 대화 상자에서 인스턴스 및/또는 인스턴스와 사용할 자격 증명 유형을 선택합니다.

      다음 이미지에는 하나의 통합 인스턴스인 Tenable.io 이 표시됩니다. 인스턴스가 두 개 Tenable.io 이상인 경우 양식의 Tenable.io 섹션 아래에 모두 표시됩니다.

      Tenable.io 스캔 자격 증명 및 통합 인스턴스가 표시됨
      필드설명
      Tenable.io 인스턴스 다시 스캔을 Tenable.io 시작할 통합 인스턴스를 선택합니다.

      에 대한 Tenable.io 모든 통합 인스턴스가 표시됩니다. VI가 둘 이상의 통합 인스턴스에 존재하는 경우 이 필터를 사용하여 스캔할 인스턴스를 제한하거나 확장할 수 있습니다.

      주:
      단일 통합 인스턴스에 대한 정정 작업 기록에서 VI를 다시 스캔하도록 선택하면 선택한 자격 증명을 사용하여 해당 인스턴스에 대해 해당 정정 작업과 연결된 활성 VI만 스캔됩니다.
      스캐너 자격 증명 유형 필터 이 필터를 사용하여 자격 증명을 유형별로 표시합니다.
      스캐너 자격 증명이 있는 창, Tenable.io 인스턴스, 스캐너 자격 증명 유형 제품에서 임포트한 사용 가능한 스캐너 자격 증명입니다 Tenable.io .

      검사에 사용할 자격 증명을 하나 이상 선택합니다.
    6. Request Rescan(다시 스캔 요청)을 클릭합니다.

      스캔이 처리 중이고 상위 스캔 기록이 생성되었음을 나타내는 메시지가 표시됩니다. 모든 하위 스캔의 상태는 다시 스캔을 시작하는 데 사용한 VI, 정정 작업, TPE 및 SDI 기록의 스캔 관련 목록에서 언제든지 확인할 수 있습니다. 메시지에서 세부 정보 보기를 클릭하여 다시 스캔 상태를 보고 지정된 기록에서 시작된 다른 다시 스캔을 봅니다.

      모든 하위 스캔이 성공적으로 완료되면 상위 스캔 기록의 상태 필드가 완료로 표시됩니다. 하위 스캔은 임포트 데이터를 스캔합니다. 각 스캔은 통합 인스턴스, TPE, IP 및 네트워크 ID의 고유한 조합을 지원합니다. 상위 스캔 기록에 하위 스캔이 여러 개 표시될 수 있습니다. 예를 들어 하위 스캔이 지원할 수 있는 최대 IP 주소 수는 1,000개입니다. 취약한 항목에 대해 1002개의 IP가 있는 경우 요청을 지원하기 위해 두 개의 하위 스캔이 생성되고 스캔 관련 목록에 나열됩니다. 상위 스캔 기록은 하위 스캔을 위한 컨테이너이며 상태는 하위 스캔의 상태를 반영합니다.

      인스턴스는 Now Platform® 재스캔이 성공적으로 완료될 때까지, 또는 설정된 추적 기간이 시간 초과될 때까지(둘 중 먼저 발생하는 시점) 재스캔 상태를 추적합니다. 시간 초과는 검사를 중지하지 않습니다. 제한 시간은 실제 다시 검색이 중지된 시점이 아니라 다시 스캔 상태 추적이 중지된 시점 Now Platform® 을 나타냅니다. 종결/고정으로 전환되었거나 전환될 예정인 모든 VI는 수정된 취약성 통합의 다음 예약된 임포트와 Tenable.io 함께 임포트됩니다.

      오류가 발생한 검사의 경우 상위 검사 기록에서 하위 검사를 확인할 수 있습니다. 하위 스캔의 응답 페이로드에서 오류를 봅니다.

      수정된 취약성 통합의 다음 예약된 임포트 이후에 스캔을 시작한 기록에서 업데이트된 결과를 볼 수 있습니다.