Microsoft Threat and Vulnerability Management 취약성 통합 이해
Microsoft Threat and Vulnerability Management(MS TVM) 애플리케이션과의 통합은 취약성 대응 MS TVM에서 임포트한 데이터를 사용하여 자산의 취약성 우선순위를 지정하고 정정하는 데 도움을 줍니다. 이 애플리케이션은 .ServiceNow Store
MS TVM 취약성 통합을 사용하여 자산 및 취약성에 대한 외부 공급업체 스캐너 데이터를 임포트할 수 있습니다. 그런 다음 대시보드에서 취약성 및 취약한 항목에 대한 보고서를 볼 수 있습니다 취약성 대응 .
사용 가능한 버전
| 릴리스 버전 | 릴리스 정보 |
|---|---|
취약성 대응 MS TVM v2.2와 통합 |
취약성 대응 애플리케이션의 릴리스 버전, 호환성 및 스키마 변경 사항에 대한 자세한 내용은 HI 지식베이스에서 취약성 대응 호환성 매트릭스 및 릴리스 스키마 변경 [KB0856498] 문서를 참조하십시오. |
도메인 분리 및 MS TVM
통합을 실행할 사용자를 해당 도메인에 할당하여 취약성 통합 데이터를 지정된 도메인에 임포트합니다. MS TVM 취약성 통합에 대해 도메인 분리 임포트를 생성하려면 문서를 참조하십시오 통합을 위해 도메인 분리 임포트 작성.
통합의 용어 및 주요 기능
- 취약한 항목 및 취약성
- 취약한 항목은 다음과 같은 경우에 인스턴스에 ServiceNow AI Platform 생성됩니다.
- 외부 공급업체 스캐너에서 임포트한 취약성이 의 CMDB기존 자산(구성 항목)과 일치합니다. MS TVM 제품에서는 이러한 일치 항목을 취약성이라고 합니다.
- 외부 공급업체 스캐너에서 임포트한 취약성이 의 CMDB기존 자산과 일치하지 않습니다. 이 경우 일치하지 않는 CI(구성 항목)도 취약한 항목과 함께 생성됩니다.
기존 CI를 호스트와 일치시킬 수 없는 경우 IRE(식별 및 조정 엔진)를 사용하여 두 개의 새 클래스에서 CI를 생성합니다. 그렇지 않으면 일치하지 않는 CI 클래스에 일치하지 않는 CI가 생성됩니다. 자세한 내용은 식별 및 조정 엔진을 사용하기 위한 취약성 대응 CI 생성 문서를 참조하십시오.
- 타사 취약성 항목
- 타사 취약성 항목은 MS TVM과 같은 외부 공급업체 스캐너에서 임포트되며 인스턴스의 ServiceNow AI Platform 외부 공급업체 취약성 항목 테이블에 나열됩니다. 또한 CVE(국가 취약성 데이터베이스) 항목은 MS TVM에서 임포트됩니다. 이 두 가지 유형의 항목과 연관된 악용 정보는 MS TVM에서 제공됩니다. 이 악용 정보는 위험 계산에 사용할 수 있습니다.주:타사 취약성은 CVE가 할당되지 않은 취약성에 대해서만 검색됩니다. MS TVM은 취약성에 대한 임시 이름(예:
TVM-XXXX-XXXX)을 추가할 수 있습니다. 이 이름은 CVE ID가 할당된 후 업데이트됩니다. - CI(구성 항목)
- CI는 에 나열된 CMDB기존 자산입니다.
- 검색된 항목
- 검색된 항목은 의 기존 CI와 CMDB일치하는 MS TVM 머신 임포트에서 수집된 자산입니다.
일치하는 항목이 없으면 의 CMDB일치하지 않는 CI 클래스에 CI가 작성됩니다. CMDB CI Class Models 플러그인을 활성화하면 IRE(식별 및 조정 엔진)에서 새 클래스를 사용하여 CI를 만듭니다. 자세한 내용은 식별 및 조정 엔진을 사용하기 위한 취약성 대응 CI 생성 문서를 참조하십시오. 일치하지 않는 원래 CI가 재분류되면 검색된 항목 기록이 해당 상태를 반영하도록 업데이트됩니다. 검색된 항목을 통해 자산을 식별하고 의 CI에 매핑하는 방법을 볼 수 있습니다 CMDB.
- CI 조회 규칙
- MS TVM에서 데이터를 가져오면 는 취약성 대응 자동으로 시스템(자산) 데이터를 CMDB사용하여 . CI 조회 규칙은 CI를 식별하고 VI가 생성될 때 VI 기록에 추가하는 데 사용됩니다.
- 인스턴스
- 인스턴스는 MS TVM의 여러 계정을 참조합니다. 각 계정은 MS TVM 애플리케이션의 인스턴스가 될 수 있습니다.
- 통합
- 통합은 MS TVM 머신의 통합과 같은 외부 공급업체 소스에서 정보를 검색하는 예약된 작업입니다.
- 배포
- 통합이 다중 소스를 지원하는 경우, 단일 통합 존재를 통합의 배포라고 합니다. 배포는 환경 전반의 통합 및 제품을 의미합니다. 예를 들어, 사용자 환경에 MS TVM이 여러 개 배포되어 있을 수 있습니다.
MS TVM 통합에는 다음과 같은 주요 기능도 포함됩니다.
- 환경 전체에서 자산을 식별하고 기존 검색된 항목, 취약한 항목 및 탐지 레코드의 CI를 업데이트하여 취약성에 대한 자세한 정보를 제공할 수 있습니다.
- 모든 MS TVM 통합에 대해 작업을 실행할 시기를 예약할 수 있습니다. 요청 시 예약된 작업을 실행할 수도 있습니다.
- 취약한 항목을 그룹화할 수 있습니다.
- CI 조회 규칙을 구성하여 외부 공급업체 소스의 자산 데이터를 사용하여 사용자의 CI를 식별하는 방법을 정의할 수 있습니다 CMDB.
필요한 ServiceNow AI Platform 역할
통합 작업에는 인스턴스에서 다음 역할이 ServiceNow AI Platform 필요합니다.
가상 사용자와 세분화된 역할을 사용하여 사용자와 그룹이 애플리케이션에서 보고 수행할 취약성 대응 수 있는 것을 관리할 수 있습니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 문서를 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 다음 문서를 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 취약성 대응.
- 관리자
- 시스템 관리자는 설정 도우미를 사용하여 MS TVM 애플리케이션을 설치합니다. 할당되지 않은 경우 관리자는 취약성 관리자(sn_vul.vulnerability_admin) 및 설정 도우미의 다른 역할을 할당합니다.
- sn_vul.vulnerability_admin
- 할당된 취약성 관리자는 설정 도우미에서 MS TVM 통합 구성을 완료합니다. 이 역할은 애플리케이션 및 해당 기록에 취약성 대응 대한 전체 액세스 권한을 갖습니다. 취약성 관리자는 설치된 외부 공급업체 통합에 대한 모든 취약성 대응 애플리케이션과 규칙을 구성합니다.
- sn_vul_msft_tvm.configure_integration
이 역할에는
sn_vul_msft_tvm.read_integration세분화된 역할이 포함됩니다. 이 역할을 수행하는 사용자는 Microsoft Threat and Vulnerability Management 애플리케이션과의 취약성 대응 통합을 구성할 수 있습니다.- sn_vul_msft_tvm.read_integration
이 역할을 가진 사용자는 Microsoft Threat and Vulnerability Management 애플리케이션 레코드와의 취약성 대응 통합을 볼 수만 있습니다.
- 취약성 대응 그룹
- 기본적으로 취약성 대응 그룹은 설정 도우미에서 사용할 수 있습니다. 취약성 대응 그룹에 할당된 사용자는 sn_vul.read_all 및 sn_vul.remediation_owner 역할을 자동으로 상속합니다.
MS TVM 통합
모든 MS TVM 통합에 대해 다중 소스가 지원됩니다. 의 취약성 대응설정 도우미에서 환경 전체에 다음 통합의 여러 인스턴스를 추가하고 배포할 수 있습니다. 또한 설정 도우미에서 MS TVM 애플리케이션과의 통합을 설치하고 구성합니다 취약성 대응 .
MS TVM 통합을 보려면 다음으로 이동합니다. . 취약성 대응 는 MS TVM 엔드포인트와의 통합을 제공하여 예약된 시간 간격에 따라 데이터를 임포트합니다. 기본 시스템에는 다음과 같은 통합이 포함됩니다.
| 실행 시퀀스 | 일정 | 통합 | 설명 |
|---|---|---|---|
| 1 | 매일 | Microsoft TVM 권장 사항 통합 | 취약성을 정정하기 위해 실행 가능한 모든 보안 권장 사항의 목록을 검색합니다. |
| 2 | 매일 | Microsoft TVM 취약성(CVE) 통합 | 국가 취약성 데이터베이스 항목 및 타사 취약성 항목의 목록과 해당 악용 정보를 검색합니다. |
| 3 | 매일 | Microsoft TVM 머신 통합 | Microsoft TVM에서 머신 태그를 포함한 모든 자산(컴퓨터) 데이터를 검색하고 인스턴스에서 처리합니다. |
| 4 | 주별 주: 설치 후 이 통합은 컴퓨터를 임포트한 후 자동으로 실행됩니다. |
Microsoft TVM 머신 취약성 통합(전체 임포트) | 모든 자산에서 미해결 취약성을 모두 검색합니다. |
| 5 | 매일 | Microsoft TVM 머신 취약성 통합(델타 임포트) | 새로운 취약성, 수정된 취약성 및 업데이트된 취약성을 포함하여 조직의 전체 취약성 임포트에서 변경된 모든 정보를 검색합니다. |
취약한 항목은 설정한 그룹 규칙에 따라 정정 작업으로 그룹화되고 할당 규칙에 따라 정정을 위해 할당됩니다. 자세한 내용은 취약성 대응 정정 작업 및 정정 작업 규칙 개요 및 취약성 대응 할당 규칙 개요 문서를 참조하십시오.
CI 조회 규칙
- MAC_ADDRESS
- FQDN
- IP
검색된 항목
머신 태그
호스트 태그라고도 하는 머신 태그는 조직의 자산을 구성하고 추적하는 데 사용됩니다. 머신에 태그를 할당합니다.
- 태그 스토리지는 대/소문자를 구분하지 않습니다. Paris 태그가 생성되면 PARIS 태그를 머신 태그 테이블에 저장할 수 없습니다. Paris 와 PARIS 는 시스템에서 동일한 머신 태그로 간주됩니다. 어떤 태그가 먼저 임포트되든 저장되고 인식되는 태그입니다.
- 정정 작업 규칙에서 머신 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 그룹 키는 정정 작업 테이블의 열인 반면 머신 태그는 조건 작성기에서만 사용할 수 있습니다.
- 머신 태그는 전역 시스템 속성 sn_vul.import_host_tags에 의해 제어됩니다. 이 속성은 기본적으로 true 로 설정됩니다. 태그를 비활성화하면 모든 ServiceNow AI Platform® 인스턴스에서 비활성화됩니다.
다음에 할 일
에서 ServiceNow® StoreMicrosoft Threat and Vulnerability Management와의 통합을 다운로드한 취약성 대응 후 의 설치 도우미취약성 대응에서 설치 및 구성이 지원됩니다. 자세한 내용은 설정 도우미를 사용하여 MS TVM 애플리케이션과의 취약성 대응 통합 설치 및 구성 문서를 참조하십시오.