에서 부실 탐지 자동 종결 취약성 대응

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 부실 탐지 자동 종결을 활성화하여 외부 공급업체 통합에서 최근에 발견되지 않은 부실하고 취약한 탐지를 자동으로 종결합니다.

    시작하기 전에

    필요한 역할: sn_vul.vulnerability_admin 또는 sn_vuln.admin(사용하지 않음) 또는 sn_vul.manage_auto_close_stale_vi 세분화된 역할을 가진 취약성 관리자.

    이 기능, 주요 용어 및 탐지 데이터를 임포트하는 외부 공급업체 통합에 필요할 수 있는 설정에 대한 자세한 내용은 문서를 참조하십시오 에서 부실 탐지 종결 취약성 대응 .

    주:
    다음 절차에 제공된 정보는 의 v22.0 취약성 대응이전 버전에만 적용됩니다. 의 취약성 대응v22.0부터 추가 검색 옵션을 구성할 수 있는 옵션이 있습니다. 자세한 내용은 자동 종결 규칙 생성 문서를 참조하십시오.

    프로시저

    1. 다음으로 이동 취약성 대응 > 관리 > 자동 종결 구성 > 부실 탐지.
      부실 구성 자동 종결 양식이 표시됩니다.
    2. 필드에 내용을 입력합니다.
    3. 부실 탐지 자동 종결 기준 필드의 경우 검색에 사용할 옵션을 하나 선택합니다.
      두 검색 모두 오래된 부실 탐지의 기간을 스캐너에서 제공한 날짜와 일 수로 일치시킵니다.
      주:
      v22.0 부터 취약성 대응마지막으로 발견된 탐지마지막으로 스캔한 자산 옵션이 목록으로 생성됩니다.
      • 마지막으로 발견된 탐지입니다. 이 옵션은 스캐너에서 탐지를 다시 찾은 가장 최근 날짜 또는 최근 날짜를 검색합니다.
        주:
        TVM Microsoft 사용자의 경우 Rapid7 현재 감지 정보가 필요하다는 경고 메시지가 표시됩니다.

        검색의 기반으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 포괄적인 취약한 항목 통합 중 Rapid7 하나의 통합을 성공적으로 실행해야 합니다.

        검색 기반으로 마지막으로 발견된 탐지를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 Microsoft TVM 머신 취약성 통합(전체 임포트)의 통합을 성공적으로 실행해야 합니다.

      • 마지막으로 검사한 자산입니다. 이 옵션은 외부 공급업체 스캐너에서 자산을 마지막으로 검사한 가장 최근 날짜를 검색합니다.
    4. Microsoft TVM 사용자의 경우에만 Rapid7 필요한 통합이 활성화되어 있는지 확인합니다.
      자세한 내용은 AND Microsoft Threat and Vulnerability Management 취약성 통합 이해 문서를 참조하십시오Rapid7 취약성 통합 이해.
    5. 모듈을 활성화하려면 활성 확인란을 클릭하여 선택합니다.
    6. 마지막으로 발견된 탐지(일 전) 필드에 오래된 오래된 오래된 탐지의 기간을 일 수로 입력합니다.

      기본값은 90일입니다. 일수에 대한 양수 값을 입력할 수 있습니다. 이 값은 스캐너에서 제공한 날짜를 일치시키는 데 사용됩니다. 90 및 마지막으로 발견된 탐지 가 표시되면 지난 90일 동안 발견되지 않은 탐지는 자동으로 종결됩니다. 90 및 마지막으로 스캔한 자산 이 표시되면 지난 90일 동안 스캔되지 않은 자산과 연결된 모든 탐지가 자동으로 종결됩니다.

      주:

      이 기능에 대한 마지막으로 발견된 탐지/마지막으로 검사한 자산(일 전) 필드와 Rapid7 포괄적인 취약한 항목 통합 – API 및 Microsoft TVM 머신 취약성 통합의 다음 이후 임포트 필드 간에는 관계가 있습니다.

      이러한 통합의 경우 구성 페이지의 다음 이후 임포트 필드는 기본적으로 비어 있습니다.

      값을 입력하지 않거나 필드에 값이 없으면 마지막으로 발견된 탐지/마지막으로 스캔한 자산(일 전) 필드에 구성된 일 수에 대한 데이터가 사용됩니다.

      예를 들어 자동 종결 구성 양식에 정의된 일 수가 90이고 다음 이후 임포트 필드가 통합 구성 페이지에서 비어 있는 경우 첫 번째 통합 실행은 지난 90일 동안의 데이터를 임포트합니다. 포괄적인 취약한 항목 통합 - API 및 Microsoft TVM 머신 취약성 통합의 Rapid7다음 이후 임포트 필드를 편집할 수 있으므로 원하는 값을 제공할 수도 있습니다. 자동 종결 기능이 가양성을 종결하지 않도록 필드가 비어 있는 경우 90일 값이 기본값으로 제공됩니다.

      이러한 필드 간의 이 관계는 첫 번째 통합 실행에만 적용됩니다. 그 이후에는 부실 취약한 탐지 자동 종결 양식에서 마지막으로 발견된 탐지/마지막으로 스캔한 자산(일 전) 필드를 변경해도 통합 구성 페이지의 다음 이후 임포트 필드에 영향을 미치지 않습니다. 후속 통합 실행에서 델타 정보만 임포트하도록 필드가 첫 번째 실행의 시작 시간으로 변경됩니다.

    7. 옵션: 지연된 VI 또는 현재 지연 검토 중인 VI에 매핑된 부실 탐지를 무시하려면 지연 된 VI에 대한 부실 탐지 무시 확인란을 선택합니다.

      이 옵션을 비활성화하면 지연된 VI 또는 지연 검토 중인 VI에 매핑되는 기준과 일치하는 모든 탐지가 종결됩니다. 지연된 VI 또는 이러한 탐지에 해당하는 검토 중인 VI도 롤업 논리에 따라 자동으로 종결됩니다. 롤업 논리에 대한 자세한 내용은 해당 상태 롤업 및 롤다운 시나리오문서를 참조하십시오에서 부실 탐지 종결 취약성 대응.

      이 옵션을 활성화하면 지연된 VI 또는 지연을 위해 검토 중인 VI에 매핑되는 기준과 일치하는 탐지는 자동 종결 중에 건너뜹니다.

    8. 옵션: 종결된 VI에 대한 부실 탐지 무시 확인란의 선택을 취소합니다.

      기본적으로 이 확인란은 이 종결된 VI와 관련된 새로운 검출이 식별될 때 종결된 VI가 다시 열리지 않도록 선택됩니다. 롤업 논리에 대한 자세한 내용은 해당 상태 롤업 및 롤다운 시나리오문서를 참조하십시오에서 부실 탐지 종결 취약성 대응 .

    9. 변경 사항을 저장하려면 업데이트를 클릭합니다.

      Auto-Close Stale Detections 예약된 작업은 매일 실행됩니다. 이 작업은 탐지가 마지막으로 발견된 날짜 또는 자산을 마지막으로 스캔한 날짜를 선택했는지 여부를 결정합니다. 그런 다음 해당 탐지를 부실 상태로 전환합니다. 부실 탐지 자동 종결 기능은 활성 통합 인스턴스에 대한 부실 탐지만 종결한다는 점에 유의해야 합니다. 활성 통합 인스턴스와 관련된 취약한 항목 및 탐지가 종결됩니다. v22.0 취약성 대응 부터 예약된 작업이 공통 테이블 [sn_vul_cmn_auto_close_rule]을 고려하여 수정되었습니다.

      탐지가 부실로 표시된 후 스캐너가 해당 탐지 발견을 다시 보고하면 탐지의 상태 필드가 미결로 전환됩니다. 탐지의 해당 취약한 항목도 다시 열립니다.

      또한 탐지가 부실로 표시되고 스캐너에서 수정됨으로 확인되면 탐지가 종결로 전환됩니다. 상태는 VI로도 롤업됩니다.