Microsoft Threat and Vulnerability Management 취약성 통합 이해
MS TVM(Microsoft Threat and Vulnerability Management) 애플리케이션과의 통합은 Vulnerability Response MS TVM에서 임포트한 데이터를 사용하여 자산의 취약성을 우선순위로 지정하고 정정하는 데 도움이 됩니다. 이 애플리케이션은 에서 별도로 구독 ServiceNow Store하여 사용할 수 있습니다.
MS TVM 취약성 통합을 사용하여 자산 및 취약성에 대한 외부 공급업체 스캐너 데이터를 임포트할 수 있습니다. 그런 다음 대시보드에서 취약성 및 취약한 항목에 대한 보고서를 볼 수 있습니다 Vulnerability Response .
사용 가능한 버전
| 릴리스 버전 | 릴리스 정보 |
|---|---|
Vulnerability Response MS TVM v2.2와 통합 |
릴리스된 Vulnerability Response 애플리케이션 버전, 호환성 및 스키마 변경 사항에 대한 자세한 내용은 HI 지식베이스의 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경 [KB0856498] 문서를 참조하십시오. |
도메인 분리 및 MS TVM
통합을 실행할 사용자를 지정된 도메인에 할당하여 취약성 통합 데이터를 해당 도메인으로 임포트합니다. MS TVM 취약성 통합을 위해 도메인 분리 가져오기를 생성하려면 다음을 참조하십시오 통합을 위해 도메인 분리된 임포트 생성.
통합의 용어 및 주요 기능
- 취약한 항목 및 취약성
- 인스턴스에 취약한 항목이 생성 Now Platform 되는 경우:
- 외부 공급업체 스캐너에서 임포트한 취약성이 의 기존 자산(구성 항목)과 일치합니다 CMDB. MS TVM 제품은 이러한 일치를 취약성이라고 합니다.
- 외부 공급업체 스캐너에서 가져온 취약성이 의 CMDB기존 자산과 일치하지 않습니다. 이 경우 취약한 항목을 사용하여 일치하지 않는 CI(구성 항목)도 생성됩니다.
기존 CI를 호스트와 일치시킬 수 없는 경우 IRE(식별 및 조정 엔진)를 사용하여 두 개의 새 클래스에 CI를 생성합니다. 그렇지 않으면 일치하지 않는 CI가 일치하지 않는 CI 클래스에 만들어집니다. 자세한 내용은 식별 및 조정 엔진 사용을 위한 Vulnerability Response CI 생성 문서를 참조하십시오.
- 타사 취약성 항목
- 타사 취약성 항목은 MS TVM 등의 외부 공급업체 스캐너에서 가져오며 인스턴스의 타사 취약성 항목 테이블에 나열됩니다 Now Platform . 또한 국가 취약성 데이터베이스 항목(CVE)은 MS TVM에서 가져옵니다. 이 두 가지 유형의 항목과 관련된 익스플로잇 정보는 MS TVM에서 가져옵니다. 이 익스플로잇 정보는 위험 계산에 사용할 수 있습니다.주:타사 취약성은 CVE가 할당되지 않은 취약성에 대해서만 검색됩니다. MS TVM은 취약성에 대한 임시 이름(예:
TVM-XXXX-XXXX)을 추가할 수 있습니다. 이 이름은 CVE ID가 할당된 후에 업데이트됩니다. - CI(구성 항목)
- CI는 에 CMDB나열된 기존 자산입니다.
- 검색된 항목
- 검색된 항목은 MS TVM 머신 임포트에서 수집된 자산으로, 의 CMDB기존 CI와 일치합니다.
일치하는 항목이 없으면 의 일치하지 않는 CI 클래스 CMDB에 CI가 생성됩니다. CMDB CI Class Models 플러그인을 사용하면 IRE(식별 및 조정 엔진)에서 새 클래스를 사용하여 CI를 만듭니다. 자세한 내용은 식별 및 조정 엔진 사용을 위한 Vulnerability Response CI 생성 문서를 참조하십시오. 일치하지 않는 원본 CI가 재분류되면 검색된 항목 기록이 해당 상태를 반영하도록 업데이트됩니다. 검색된 항목을 통해 자산이 어떻게 식별되고 CI에 매핑되는지 확인할 수 있습니다 CMDB.
- CI 조회 규칙
- MS TVM에서 데이터를 가져오면 자동으로 Vulnerability Response 시스템(자산) 데이터를 CMDB사용하여 . CI 조회 규칙은 CI를 식별하고 VI가 생성될 때 VI 기록에 추가하는 데 사용됩니다.
- 인스턴스
- 인스턴스는 MS TVM의 여러 계정을 참조합니다. 각 계정은 MS TVM 애플리케이션의 인스턴스일 수 있습니다.
- 통합
- 통합은 MS TVM 머신의 통합과 같은 외부 공급업체 소스에서 정보를 검색하는 예약된 작업입니다.
- 배치
- 통합이 다중 소스를 지원하는 경우 단일 통합 존재를 통합의 배포라고 합니다. 배포는 환경 전반의 통합 및 제품을 의미합니다. 예를 들어 사용자 환경에 MS TVM을 여러 개 배포한 적이 있을 수 있습니다.
MS TVM 통합에는 다음과 같은 주요 기능도 포함됩니다.
- 환경 전체에서 자산을 식별하고 기존에 검색된 항목, 취약한 항목 및 탐지 기록의 CI를 업데이트하여 취약성에 대한 자세한 정보를 제공할 수 있습니다.
- 모든 MS TVM 통합에 대해 작업을 실행할 시기를 예약할 수 있습니다. 요청 시 예약된 작업을 실행할 수도 있습니다.
- 취약한 항목을 그룹화할 수 있습니다.
- CI 조회 규칙을 구성하여 외부 공급업체 소스의 자산 데이터를 사용하여 사용자의 CI를 식별하는 방법을 정의할 수 있습니다 CMDB.
필요한 Now Platform 역할
통합 작업에는 인스턴스에서 다음 역할이 Now Platform 필요합니다.
가상 사용자 및 그룹이 애플리케이션에서 보고 수행할 수 있는 작업을 관리하는 데 도움이 되는 가상 사용자 및 세분화된 역할을 사용할 수 있습니다 Vulnerability Response . 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 Vulnerability Response 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 Vulnerability Response.
- admin
- 시스템 관리자는 설정 도우미를 사용하여 MS TVM 애플리케이션을 설치합니다. 할당되지 않은 경우 관리자는 취약성 관리자(sn_vul.vulnerability_admin) 및 설정 도우미의 기타 역할을 할당합니다.
- sn_vul.vulnerability_admin
- 할당되면 취약성 관리자는 설정 도우미에서 MS TVM 통합 구성을 완료합니다. 이 역할은 애플리케이션 및 해당 기록에 대한 Vulnerability Response 전체 액세스 권한을 갖습니다. 취약성 관리자는 설치된 외부 공급업체 통합을 위한 모든 Vulnerability Response 애플리케이션 및 규칙을 구성합니다.
- sn_vul_msft_tvm.configure_integration
이 역할에는
sn_vul_msft_tvm.read_integration세분화된 역할이 포함되어 있습니다. 이 역할을 가진 사용자는 Vulnerability Response Integration with the Microsoft Threat and Vulnerability Management 애플리케이션을 구성할 수 있습니다.- sn_vul_msft_tvm.read_integration
이 역할을 가진 사용자는 Vulnerability Response Integration with Microsoft Threat and Vulnerability Management 애플리케이션 기록만 볼 수 있습니다.
- 취약성 응답 그룹
- Vulnerability Response 그룹은 기본적으로 설정 도우미에서 사용할 수 있습니다. Vulnerability Response 그룹에 할당된 사용자는 sn_vul.read_all 및 sn_vul.remediation_owner 역할을 자동으로 상속합니다.
MS TVM 통합
모든 MS TVM 통합에 대해 다중 소스가 지원됩니다. 의 Vulnerability Response설정 도우미에서 환경 전체에 다음 통합의 여러 인스턴스를 추가하고 배포할 수 있습니다. 또한 설정 도우미에서 Vulnerability Response MS TVM 애플리케이션과의 통합을 설치하고 구성합니다.
MS TVM 통합을 보려면 다음으로 이동하십시오. . Vulnerability Response 는 예약된 시간 간격에 따라 데이터를 임포트하기 위해 MS TVM 엔드포인트와의 통합을 제공합니다. 기본 시스템에는 다음과 같은 통합이 포함되어 있습니다.
| 실행 시퀀스 | 예약 | 통합 | 설명 |
|---|---|---|---|
| 1 | 일별 | Microsoft TVM 권장 사항 통합 | 취약성을 정정하기 위해 실행 가능한 모든 보안 권장 사항의 목록을 검색합니다. |
| 2 | 일별 | Microsoft TVM 취약성(CVE) 통합 | 국가 취약성 데이터베이스 항목 및 타사 취약성 항목과 해당 악용 정보의 목록을 조회합니다. |
| 3 | 일별 | Microsoft TVM 머신 통합 | Microsoft TVM에서 컴퓨터 태그를 포함한 모든 자산(컴퓨터) 데이터를 검색하고 인스턴스에서 처리합니다. |
| 4 | 주별 주: 설치 후 이 통합은 머신 임포트 후에 자동으로 실행됩니다. |
Microsoft TVM 머신 취약성 통합(전체 임포트) | 모든 자산의 모든 오픈 취약성을 검색합니다. |
| 5 | 일별 | Microsoft TVM 머신 취약성 통합(델타 임포트) | 신규, 고정 및 업데이트된 취약성을 포함하여 조직의 전체 취약성 임포트에서 변경된 모든 정보를 검색합니다. |
취약한 항목은 설정한 그룹 규칙에 따라 정정 작업으로 그룹화되고 할당 규칙에 따라 정정을 위해 할당됩니다. 자세한 내용은 Vulnerability Response 정정 작업 및 작업 규칙 개요 및 Vulnerability Response 할당 규칙 개요 문서를 참조하십시오.
CI 조회 규칙
- MAC_ADDRESS
- FQDN
- IP
검색된 항목
컴퓨터 태그
호스트 태그라고도 하는 머신 태그는 조직의 자산을 구성하고 추적하는 데 사용됩니다. 머신에 태그를 할당합니다.
- 태그 저장소는 대소문자를 구분하지 않습니다. Paris 태그가 생성되면 PARIS 태그를 컴퓨터 태그 테이블에 저장할 수 없습니다. Paris 및 PARIS 는 시스템에서 동일한 기계 태그로 간주됩니다. 어떤 태그를 먼저 가져오는 것이 저장되고 인식되는 태그입니다.
- 정정 작업 규칙에서 컴퓨터 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 그룹 키는 정정 작업 테이블의 열인 반면, 머신 태그는 조건 작성기에서만 사용할 수 있습니다.
- 머신 태그는 전역 시스템 속성 sn_vul.import_host_tags에 의해 제어됩니다. 이 속성은 기본적으로 true 로 설정됩니다. 태그를 비활성화하면 모든 Now Platform® 인스턴스에서 비활성화됩니다.
다음에 할 일
에서 Microsoft Threat and Vulnerability ManagementServiceNow® Store와의 통합을 다운로드 Vulnerability Response 한 후 의 설정 도우미Vulnerability Response에서 설치 및 구성을 지원합니다. 자세한 내용은 설정 도우미를 사용하여 MS TVM 애플리케이션과 Vulnerability Response 통합 설치 및 구성 문서를 참조하십시오.