애플리케이션 취약성 대응 구성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 4분

    • 구성이 완료되었는지 확인할 수 있도록 구성 전에 다음 설정 단계를 수행합니다.

    시작하기 전에

    작업 설정 설명
    취약성 대응 애플리케이션이 설치되고 활성화되었는지 확인합니다.

    활성화되었는지 확인하려면 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 취약성 대응 설치.
    보고서를 보려면 애플리케이션 취약성 대응취약성 대응용 퍼포먼스 분석 설치되고 활성화되어 있는지 확인하십시오.

    활성화되었는지 확인하려면 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 [PA] 애플리케이션 설치 및 구성 취약성 대응용 퍼포먼스 분석.
    설치 Veracode Vulnerability Integration , 활성화 및 구성되어 있는지 확인합니다. (지금은 통합을 실행하지 마십시오.)

    활성화되었는지 확인하려면 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 ServiceNow 와 함께 취약성 대응 통합 설치Veracode.
    CWE 2000 통합이 에서 취약성 대응실행 중인지 확인합니다. 통합을 확인하려면 을 참조하십시오 NVD 기록을 업데이트하기 위해 예약된 작업이 실행 중인지 확인합니다.
    [선택 사항] NVD 통합이 에서 취약성 대응실행 중인지 확인합니다. 확인하려면 다음 문서를 참조하십시오 CWE 기록을 업데이트하기 위한 예약된 작업이 실행 중인지 확인합니다..
    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다. 다음 역할은 예상 결과의 설치, 구성 및 검증에 필요합니다.
    • 아직 할당되지 않은 경우 관리자 역할이 있는 사용자가 애플리케이션을 설치하고 App-Sec 관리자, 보안 챔피언 및 개발자 사용자 그룹에 사용자를 할당합니다. 그룹 역할에 대한 자세한 내용은 다음 문서를 참조하십시오 애플리케이션 취약성 대응 사용자 그룹 및 역할.
    • App-Sec 관리자 그룹은 구성을 감독하고 예상 결과를 확인합니다.
      주:
      애플리케이션 취약성 대응 의 설정 도우미 기능 취약성 대응에서 구성을 사용할 수 없습니다.
    필요한 역할: App-Sec 관리자 사용자 그룹

    프로시저

    1. 다음으로 이동 보안 운영 > CMDB > 조회 규칙.
      사용자 환경에 맞게 CI 조회 규칙을 만들거나 수정하려면 을 참조하십시오 CI 조회 규칙 생성 .
    2. 다음으로 이동 애플리케이션 취약성 대응 > 관리.
    3. 할당 규칙을 선택합니다.
      사용자 환경에 대한 애플리케이션 할당 규칙을 만들거나 수정하려면 을 참조하십시오 할당 규칙 생성 또는 편집 애플리케이션 취약성 대응 .
    4. 취약성 계산기를 선택합니다.
      사용자 환경에 맞게 애플리케이션 취약성 계산기를 생성 또는 수정하려면 을 참조하십시오 다음에서 애플리케이션 취약성 대응 자동으로 위험 계산 .
    5. 정정 대상 규칙을 선택합니다.
      환경에 대한 애플리케이션 정정 대상 생성 또는 수정을 참조 애플리케이션 정정 대상 규칙 생성 또는 편집 합니다.
    6. 표준화된 심각도 맵을 선택합니다.
      을 참조 애플리케이션 취약한 항목의 심각도를 자동으로 매핑 하여 환경에 대한 심각도 맵을 만들거나 수정합니다.
    7. 다음 중 하나로 이동합니다. Veracode Vulnerability Integration > 통합 또는 Fortify 취약성 통합 > 통합.
    8. Veracode 애플리케이션 목록 통합 또는 Fortify 요청 시 애플리케이션 목록 통합을 엽니다.
    9. 아직 실행되지 않은 경우 지금 실행을 선택합니다.
      주:
      다른 Veracode 또는 Fortify 통합은 기본적으로 비활성 상태입니다.
      통합 실행 상태에 대한 자세한 내용은 다음 Fortify 취약성 통합 임포트 실행 상태 보기문서를 참조하십시오Veracode 애플리케이션 취약성 통합 임포트 실행 상태 보기.
    10. Veracode 또는 Fortify 요청 시 애플리케이션 목록 통합이 실행을 완료한 후 다음으로 이동합니다. 애플리케이션 취약성 대응 > 관리 > 애플리케이션.
    11. 각 애플리케이션에 대해 지원 그룹 (할당 규칙에 사용됨) 및 부서 (보고에 사용됨)에 값을 입력합니다.
      여러 항목을 업데이트하려면 목록 편집기를 사용하여 목록의 여러 기록을 편집 하여 작업을 대량으로 완료하기를 참조하십시오.
      주:
      자동으로 업데이트된 비즈니스 단위를 보려면 페이지를 새로 고침하십시오. 스캔한 애플리케이션 양식 필드에 대한 자세한 내용은 을 참조하십시오 스캔한 애플리케이션 필드.
    12. 통합 목록으로 돌아가서 다른 Veracode 또는 Fortify 통합을 활성화합니다.
      을 클릭하여 통합 활성화 애플리케이션 취약성 대응 델타 데이터 통합 임포트를 설정합니다.

      Veracode AND Fortify 통합은 서로 연결되어 있으며 활성화되면 연속적으로 실행됩니다.

    13. 옵션: 다음으로 이동 애플리케이션 취약성 대응 > 관리 > 담당 규칙.
      1. 옵션: 이전에 담당 규칙을 생성하거나 편집할 때 사용자 그룹 필드에대해 구성 항목: 지원 그룹을 선택한 경우, 검사한 애플리케이션 목록 뷰에 추가한 값을 이제 사용할 수 있습니다.
        할당 규칙이 편집됩니다.
      2. 업데이트를 선택합니다.
      3. 취약성 담당 규칙 목록 뷰에서 변경 내용 적용 을 선택하여 AVI에 담당 규칙을 다시 적용합니다.

    결과

    이제 구성이 애플리케이션 취약성 대응 완료되었습니다.

    다음에 수행할 작업

    다음으로 이동 애플리케이션 취약성 대응 > 개요 전반적인 보안 태세에 대한 자세한 내용은 애플리케이션 취약성 관리[PA] 대시보드 를 참조하세요.