취약한 항목 탐지 데이터 보기 취약성 대응

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 와(과 취약성 대응 ) 외부 공급업체 스캐너 통합을 통해 수집된 전체 데이터가 취약한 항목 기록(VIT)의 탐지 및 초기 탐지 탭에 표시됩니다. 또한 인스턴스의 취약한 항목 탐지 목록에 Now Platform® 있는 탐지 기록에도 표시됩니다.

    시작하기 전에

    외부 공급업체 통합은 취약한 항목 탐지 데이터를 검색합니다. 탐지는 스캐너에서 보고하는 취약성의 고유한 발생입니다. 탐지 데이터는 취약한 항목과 쌍을 이루며 VI 상태는 탐지 상태에 따라 업데이트됩니다. VI를 찾을 수 없으면 새 VI가 생성됩니다. 탐지는 스캐너에서 직접 찾은 데이터에 의해서만 열리거나 닫힙니다.

    필요한 역할:
    • sn_vuln.admin은 통합 실행을 시작하고 취약한 항목 탐지 데이터를 확인합니다.
    • sn_vul.remediation_owner에는 취약한 항목 탐지에서 생성된 취약한 항목이 할당되고 VI 기록의 데이터를 봅니다.

    프로시저

    1. 취약한 항목 탐지 데이터를 보려면 취약한 항목 기록으로 이동하여 엽니다.
      이 기록은 Initial Detections(초기 탐지) 및 Detections(탐지) 탭과 함께 표시됩니다.
      주:
      이전에 구성 세부 정보 탭에 표시된 데이터는 초기 탐지 및 탐지 탭에 다른 탐지 데이터와 함께 표시됩니다.
      VI 레코드에서 강조 표시된 초기 탐지 및 탐지 탭.
    2. Detections(탐지) 탭을 클릭합니다.

      외부 공급업체 검사 결과에서 취약한 항목이 생성되면 다음 그림과 같이 검사의 데이터가 탐지 기록에 표시됩니다.

      탐지 탭
      취약한 항목 탐지 섹션의 각 행은 고유한 탐지의 데이터를 나타냅니다. First found(첫 발견) 열에는 스캐너에서 취약한 항목을 처음 탐지한 날짜가 표시됩니다. Last found(마지막 발견) 열에 가장 최근의 탐지 날짜가 표시됩니다. 소스 필드에는 데이터를 검색한 스캐너가 표시됩니다.
      주:
      의 경우 Qualys취약한 항목 탐지가 있는 경우 VI 기록에서 다음 필드가 더 이상 사용되지 않으며 더 이상 채워지지 않습니다.
      • Qualys 심각도
      • 소스에서 마지막으로 업데이트한 날짜

      또한 의 경우 Qualys, 앞의 그림에서 볼 수 있듯이 VI가 스캔에서 생성되면 결과에 대한 스캔의 값이 검출 레코드의 증명 열에 표시됩니다. 그러나 이 값은 VI 레코드의 상단 부분에 표시되지 않습니다.

      Rapid7의 경우 VI가 스캔에서 생성되면 스캔의 증명 값이 탐지 레코드의 증명 열과 VI 레코드의 상단 부분에 모두 표시될 수 있지만 기본적으로 표시되지는 않습니다. VI 레코드의 상단에 이 값을 표시하려면 양식 레이아웃에서 증명 필드를 선택합니다.

    3. 옵션: 기록에서 탐지 탭의 레이아웃을 구성하려면 다음 단계를 수행합니다.
      1. 기본적으로 다음 열이 탐지 탭에 표시됩니다.
        • 상태
        • 첫 발견(데이터)
        • 마지막 발견(날짜)
        • DNS 이름
        • Net BIOSname
        • IP 주소
        • 발견 시간
        • 포트
        • 프로토콜
        • 증명
        • SSL
        주:

        참고: 열에 값이 없으면 스캐너가 해당 필드의 데이터를 감지하지 못한 것입니다.

      2. 기어 아이콘( 기어 아이콘)을 클릭하여 뷰를 개인화합니다.
      3. 슬러쉬버킷에서 특정 데이터를 표시할 열을 선택하고 [확인]을 클릭합니다.
    4. 탐지 탭을 선택한 상태에서 상태 열에서 항목을 클릭하여 탐지 기록을 열고 솔루션 요약을 포함하여 해당 취약한 항목과 관련된 상세 정보를 봅니다(Rapid7 InsightVM 통합만 해당).
      그림 1. Qualys 탐지 기록
      탐지 기록
      그림 2. Rapid7 탐지 기록
      솔루션이 포함된 Rapid7 탐지 기록
    5. 기록으로 돌아가서 초기 탐지 탭을 선택합니다.

      Initial Detections(초기 탐지) 탭에는 처음 탐지가 발생할 때 외부 공급업체 스캐너에서 임포트한 데이터가 표시됩니다. 초기 탐지 탭의 이 정보는 탐지 데이터가 업데이트될 때 변경되지 않습니다.

      초기 탐지 탭
    6. 옵션: 취약한 항목 탐지로 이동하여 취약한 항목 탐지 목록을 봅니다.

      취약한 항목 탐지 목록이 표시됩니다. 취약한 항목 탐지 목록의 각 행은 고유한 탐지를 나타냅니다. 열에는 VI 레코드와 동일한 데이터가 표시됩니다.

      탐지 목록

      탐지는 스캐너에서 찾은 데이터에 의해서만 열리거나 닫히며 VI에서 롤다운되지 않습니다. 탐지가 임포트되면 VI를 생성하고 VI의 상태를 업데이트하는 데 사용됩니다. 취약한 항목에 대한 모든 탐지가 종결되면 해당 취약한 항목도 종결됩니다. VI 레코드에서 상태는 종결되고 하위 상태는 고정됩니다.

      주:
      다음 동안 오류가 기록됩니다.
      • 스캐너에서 검색된 첨부 파일을 처리합니다.
      • 탐지 또는 취약한 항목을 생성하거나 업데이트합니다.
      감지 오류 처리에 대한 자세한 내용은 을 참조하십시오 탐지에 대한 오류 처리.

      정정 작업에 대한 모든 VI가 닫히면 정정 작업이 종료됩니다.

      새로운 탐지가 생성되고 해당 VI가 새로운 취약성과 일치할 수 있으면 하위 상태가 고정 또는 부실 인 종결된 VI가 다시 열립니다.

      인스턴스에서 해결 됨으로 설정되었지만 후속 통합 실행에 의해 종결됨/고정 됨으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.

      정정 작업에 대한 모든 VI가 닫히면 기록이 닫힙니다.

      인스턴스에서 "해결됨"으로 설정되었지만 후속 통합 실행에서 "종결됨/고정됨"으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.

      탐지의 경우 Rapid7 이제 인스턴스의 Rapid7 구성 페이지에서 기간별로 확인된 VI를 다시 여는 옵션을 사용할 수 있습니다. 활성화된 경우, 해결됨 으로 설정되었지만 후속 스캔에 의해 종결/고정 으로 전환되지 않은 VI는 입력한 일수 후에 다시 오픈 으로 전환됩니다.

      탐지의 경우 Qualys , 스캐너가 '해결됨'으로 설정되었지만 후속 스캔에서 종결/고정 으로 전환되지 않은 VI를 계속 찾으면 마지막으로 찾은 날짜가 해결됨 날짜보다 나중이면 이러한 VI는 다시 개방 으로 이동합니다.

    다음에 수행할 작업

    항목 및 탐지 횟수를 통합 실행(VINTRUN) 기록에서 취약한 항목 탐지 데이터 검증 취약성 대응포함하여 더 많은 데이터를 보려면 .