애플리케이션 취약성 대응 구성

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 구성이 완료되었는지 확인할 수 있도록 구성 전에 다음 설정 단계를 수행합니다.

    시작하기 전에

    작업 설정 설명
    애플리케이션이 설치되고 활성화되었는지 취약성 대응 확인합니다.

    활성화되었는지 확인하려면 구독 관리 > 구독 인스턴스에 있습니다. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 문서를 참조하십시오 취약성 대응 설치.
    보고서를 보려면 애플리케이션 취약성 대응 이(가취약성 대응용 퍼포먼스 분석) 설치되고 활성화되었는지 확인합니다.

    활성화되었는지 확인하려면 구독 관리 > 구독 인스턴스에 있습니다. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 문서를 참조하십시오 [PA] 애플리케이션 설치 및 구성 취약성 대응용 퍼포먼스 분석.
    Veracode Vulnerability Integration 설치, 활성화 및 구성되어 있는지 확인합니다. (이 시점에서는 통합을 실행하지 마십시오.)

    활성화되었는지 확인하려면 구독 관리 > 구독 인스턴스에 있습니다. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 문서를 참조하십시오 ServiceNow 와 Vulnerability Response 통합 설치Veracode.
    CWE 2000 통합이 에서 실행 취약성 대응중인지 확인합니다. 통합을 확인하려면 다음 문서를 참조하십시오 NVD 기록을 업데이트하기 위한 예약된 작업이 실행 중인지 확인.
    [선택사항] NVD 통합이 에서 실행 취약성 대응중인지 확인합니다. 확인하려면 다음 문서를 참조하십시오 CWE 기록 업데이트를 위한 예약된 작업이 실행 중인지 확인.
    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다. 예상 결과의 설치, 구성 및 검증에 필요한 역할은 다음과 같습니다.
    • 아직 할당되지 않은 경우 관리자 역할의 사용자가 애플리케이션을 설치하고 사용자를 App-Sec 관리자, 보안 챔피언 및 개발자 사용자 그룹에 할당합니다. 그룹 역할에 대한 자세한 내용은 다음 문서를 참조하십시오 애플리케이션 취약성 대응 사용자 그룹 및 역할.
    • App-Sec 관리자 그룹은 구성을 감독하고 예상 결과를 검증합니다.
      주:
      애플리케이션 취약성 대응 의 설정 도우미 기능 취약성 대응에서는 구성을 사용할 수 없습니다.
    필요한 역할: App-Sec 관리자 사용자 그룹

    프로시저

    1. 다음으로 이동 보안 운영 > CMDB > 조회 규칙.
      사용자 환경에 대한 CI 조회 규칙을 작성 또는 수정하려면 을(를) 참조하십시오 CI 조회 규칙 생성 .
    2. 다음으로 이동 애플리케이션 취약성 대응 > 관리.
    3. 할당 규칙을 선택합니다.
      사용자 환경에 맞게 애플리케이션 할당 규칙을 생성하거나 수정하려면 을(를) 참조하십시오 담당 규칙 생성 또는 편집 애플리케이션 취약성 대응 .
    4. 취약성 계산기를 선택합니다.
      사용자 환경에 맞게 애플리케이션 취약성 계산기를 만들거나 수정하려면 을(를) 참조하십시오 자동으로 위험 애플리케이션 취약성 대응 계산 .
    5. 정정 대상 규칙을 선택합니다.
      사용자 환경에 맞게 애플리케이션 정정 대상을 만들거나 수정하려면 을(를) 참조하십시오 애플리케이션 정정 대상 규칙 생성 또는 편집 .
    6. 정규화된 심각도 맵을 선택합니다.
      사용자 환경에 대한 심각도 맵 작성 또는 수정을 참조하십시오 애플리케이션 취약한 항목의 심각도를 자동으로 매핑 .
    7. 다음 중 하나로 이동합니다. Veracode Vulnerability Integration > 통합 또는 Fortify 취약성 통합 > 통합.
    8. Veracode 애플리케이션 목록 통합 또는 Fortify 요청 시 애플리케이션 목록 통합을 엽니다.
    9. 아직 실행되지 않은 경우 지금 실행을 선택합니다.
      주:
      다른 Veracode 또는 Fortify 통합은 기본적으로 비활성 상태입니다.
      통합 실행 상태에 대한 자세한 내용은 또는 Fortify 취약성 통합 임포트 실행 상태 보기을 참조하십시오Veracode 애플리케이션 취약성 통합 임포트 실행 상태 보기.
    10. Veracode 또는 Fortify 요청 시 애플리케이션 목록 통합의 실행이 완료되면 애플리케이션 취약성 대응 > 관리 > 애플리케이션.
    11. 각 애플리케이션에 대해 지원 그룹 (할당 규칙에 사용됨) 및 부서 (보고에 사용됨)에 대한 값을 입력합니다.
      여러 항목을 업데이트하려면 목록 편집기를 사용하여 목록에서 여러 기록을 편집 하여 작업을 대량으로 완료하기를 참고하세요.
      주:
      자동 업데이트된 비즈니스 단위를 보려면 페이지를 새로 고치십시오. 스캔한 애플리케이션 양식 필드에 대한 자세한 내용은 을 참조하십시오 스캔한 애플리케이션 필드.
    12. 통합 목록으로 돌아가 다른 Veracode 하나 또는 Fortify 통합을 활성화합니다.
      델타 데이터 통합 임포트를 설정하려면 을(를) 통합 활성화 애플리케이션 취약성 대응 참조하십시오.

      VeracodeFortify 통합은 체인으로 연결되며 활성화되면 연속적으로 실행됩니다.

    13. 옵션: 다음으로 이동 애플리케이션 취약성 대응 > 관리 > 담당 규칙.
      1. 옵션: 이전에 담당 규칙을 만들거나 편집할 때 구성 항목:사용자 그룹에 대한 지원 그룹 필드를 선택한 경우 검사한 애플리케이션 목록 보기에 추가한 값을 지금 사용할 수 있습니다.
        담당 규칙이 편집됩니다.
      2. 업데이트를 선택합니다.
      3. 취약성 담당 규칙 목록 보기에서 변경 내용 적용을 선택하여 담당 규칙을 AVI에 다시 적용합니다.

    결과

    애플리케이션 취약성 대응 이제 구성이 완료되었습니다.

    다음에 수행할 작업

    다음으로 이동 애플리케이션 취약성 대응 > 개요 전반적인 보안 태세에 대한 자세한 내용은 PA(애플리케이션 취약성 관리) 대시보드를 참조하십시오.