컨테이너 취약성 대응의 예외 관리

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 조직이 게시된 취약성 관리 또는 보안 정책, 표준 또는 가이드라인을 준수할 수 없는 경우 예외를 요청할 수 있습니다. 예외 관리에는 정책에 따라 정정할 수 없는 CVIT(컨테이너 취약한 항목)에 대한 예외를 요청, 검토, 승인 또는 거부하는 작업이 수반됩니다.

    일부 컨테이너 취약성(CVIT)에는 기존 패치, 수정 또는 솔루션이 없을 수 있습니다. 예외가 승인되면 취약성을 정정하지 않을 때의 결과를 인정하고 동의하기 때문에 위험을 수용한다는 의미이기도 합니다.

    예외의 수명주기

    예외의 정의
    지정된 기간 동안 CVIT 또는 RT의 정정을 연기해 달라는 요청이 예외입니다. 예를 들어 정정 소유자는 시스템에 패치를 사용할 수 없는 경우 예외를 요청할 수 있습니다.
    예외 요청
    정정 소유자는 예외 관리 프로세스를 사용하여 CVIT 또는 RT에 대한 면제를 요청할 수 있습니다. 예외 승인자가 이 요청을 승인하면 CVIT 또는 RT가 지연됨 상태로 전환됩니다.
    예외 요청 승인
    즉시 정정할 수 없는 CVIT 또는 RT는 취약성 분석가가 검토하고, 위험에 대해 평가하고, 정정할 수 있을 때까지 연기하도록 승인합니다. 예외 요청 승인은 2단계 워크플로우가 될 수 있습니다. 첫 번째 수준 승인자만 있는 경우 예외를 요청하고 승인할 수 있습니다. 그러나 첫 번째 수준 승인자가 없으면 예외를 요청할 수 없습니다. 자세한 내용은 예외 승인자 추가 문서를 참조하십시오.
    주:

    v15.0부터 취약성 대응 VR 애플리케이션을 처음 배포하는 경우 예외 관리를 위한 플로우 디자이너가 기본적으로 활성화됩니다. 워크플로우를 이미 사용 중인 경우에는 플로우 디자이너로 업데이트할 수 있습니다. 두 경우 모두 워크플로우로 다시 변경할 수 없습니다. 예외 관리 및 긍정 오류에 대한 승인 규칙을 구성하려면 다음 문서를 참조하십시오 예외 관리를 위한 승인 규칙 구성.

    CVIT 또는 RT에 대한 예외 요청이 승인되면 다음 작업을 수행할 수 있습니다.
    • 재개설
    • 삭제
    • 할당 대상 또는 할당 그룹 필드 업데이트
    예외 요청 추적
    예외를 제기한 후에는 CVIT 또는 RT의 상태 변경 승인 탭을 사용하여 해당 상태를 추적할 수 있습니다. RT에서 작업이 수행되면 해당 RT에 있는 개별 CVIT의 상태를 추적할 수 없습니다.
    예외 요청 만료
    특정 CVIT 또는 RT에 대한 예외 요청이 만료되면 영향을 받는 CVIT 또는 RT가 열림 상태로 되돌아갑니다.

    RT의 단일 CVIT 또는 모든 CVIT가 다음 스캔을 통과하면 CVIT와 해당하는 경우 RT 상태 필드가 하위 상태가 고정된 상태로 종결됨으로 변경됩니다.

    승인 규칙 구성

    다음으로 이동하여 승인 규칙 보기 및 구성 모두 > 컨테이너 취약점 대응 > 관리 > 승인 규칙. 영향을 받는 취약성, CI(구성 항목) 또는 CVIT를 식별하여 즉시 정정하거나 지연할 수 없는 CVIT에 대한 예외를 요청합니다. CVIT 지연 프로세스를 자동화합니다. 시스템에서 이러한 CVIT를 식별할 때 이러한 규칙에 따라 일치하는 CVIT를 연기합니다.
    기본적으로 다음과 같은 승인 규칙이 제공됩니다.
    • 예외 요청에 대한 승인: 두 가지 승인 수준이 있는 기본 구성이 기본 시스템에 제공됩니다. 취약한 항목에 대한 예외 요청이 있을 때마다 승인 요청이 수준 1에 있는 사용자 또는 그룹으로 전송됩니다. 수준 1 승인자가 승인하면 수준 2 승인자에게 전송됩니다.
      주:
      기본 수준을 변경하고 필요에 따라 편집할 수 있습니다. v2.0.6부터 컨테이너 취약성 대응 시스템 속성 [sys_properties] 테이블의 워크플로우를 통해 예외 승인을 위해 기본 시스템에 제공된 시스템 속성을 사용할 수 있습니다. 따라서 워크플로우를 통해 예외 또는 긍정 오류 요청이 발생하면 승인을 위해 시스템 속성에 정의된 그룹 ID로 전송됩니다. 다음으로 이동 모두 > 시스템 속성 을 클릭하고 , sn_vul_container.container_exception_approver_L2, 또는 sn_vul_container.container_false_positive_approver_group 선택하여 sn_vul_container.container_exception_approver_L1속성 값을 변경합니다.
    • 예외 규칙에 대한 승인: 구성이 없지만 두 가지 승인 수준이 있습니다.
    • 거짓 긍정 승인: 하나의 승인 수준과 하나의 구성이 있습니다.
    주:
    컨테이너 취약성 대응v2.5부터는 설정된 일수 후에 승인자와 요청자 모두에 대한 이메일 알림과 함께 가양성 및 예외를 승인하는 시간 범위를 구성할 수 있습니다. 요청이 발생하면 컨테이너 취약한 항목이 검토 중 상태로 변경되고 상태 변경 기록이 생성됩니다. 승인자가 구성된 시간 범위 내에 응답하지 않으면 컨테이너 취약한 항목 또는 정정 작업이 열림 상태로 되돌아갑니다. 이전 상태는 backup_state 필드에 저장됩니다. 자세한 내용은 예외 관리를 위한 승인 규칙 구성 문서를 참조하십시오.