Microsoft Threat and Vulnerability Management 취약성 통합 이해
Microsoft Threat and Vulnerability Management(MS TVM) 애플리케이션과의 통합은 취약성 대응 MS TVM에서 임포트한 데이터를 사용하여 자산의 취약성 우선순위를 지정하고 정정하는 데 도움을 줍니다. 이 애플리케이션은 .ServiceNow Store
MS TVM 취약성 통합을 사용하여 자산 및 취약성에 대한 타사 스캐너 데이터를 임포트할 수 있습니다. 그런 다음 대시보드에서 취약성 및 취약한 항목에 대한 보고서를 볼 수 있습니다 취약성 대응 .
사용 가능한 버전
| 릴리스 버전 | 릴리스 정보 |
|---|---|
취약성 대응 MS TVM v2.2와 통합 |
Vulnerability Response 애플리케이션의 릴리스된 버전, 호환성 및 스키마 변경에 대한 자세한 내용은 HI 지식베이스의 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경[KB0856498] 문서를 참조하십시오. |
도메인 분리 및 MS TVM
통합을 실행할 도메인에 사용자를 할당하여 지정된 도메인에 취약성 통합 데이터를 임포트합니다. MS TVM 취약성 통합에 대해 도메인 분리된 임포트를 생성하려면 다음 문서를 참조하십시오 통합을 위해 도메인 분리된 임포트 생성.
통합의 조건 및 주요 기능
- 취약한 항목 및 취약성
- 인스턴스에 취약한 항목은 ServiceNow AI Platform 다음과 같은 경우에 생성됩니다.
- 외부 공급업체 스캐너에서 임포트한 취약성이 의 기존 자산(구성 항목) CMDB과 일치합니다. MS TVM 제품은 이러한 일치를 취약성이라고 합니다.
- 외부 공급업체 스캐너에서 임포트한 취약성이 의 CMDB기존 자산과 일치하지 않습니다. 이 경우 취약한 항목이 있는 일치하지 않는 CI(구성 항목)도 생성됩니다.
기존 CI를 호스트와 일치시킬 수 없는 경우 IRE(식별 및 조정 엔진)를 사용하여 두 개의 새 클래스로 CI를 생성합니다. 그렇지 않으면 일치하지 않는 CI 클래스에 일치하지 않는 CI가 생성됩니다. 자세한 내용은 식별 및 조정 엔진을 사용하여 CI 생성 문서를 참조하십시오.
- 타사 취약성 항목
- 타사 취약성 항목은 MS TVM과 같은 타사 스캐너에서 임포트되며 인스턴스의 ServiceNow AI Platform 타사 취약성 항목 테이블에 나열됩니다. 또한 국가 취약성 데이터베이스 항목(CVE)은 MS TVM에서 가져옵니다. 이 두 유형의 항목과 관련된 익스플로잇 정보는 MS TVM에서 가져옵니다. 이 익스플로잇 정보는 위험 계산에 사용될 수 있습니다.주:외부 공급업체 취약성은 CVE가 할당되지 않은 취약성에 대해서만 검색됩니다. MS TVM은 취약성에 대한 임시 이름(예:
TVM-XXXX-XXXX)을 추가할 수 있습니다. 이 이름은 CVE ID가 할당된 후 업데이트됩니다. - CI(구성 항목)
- CI는 에 나열된 기존 자산입니다.CMDB
- 검색된 항목
- 검색된 항목은 MS TVM 머신 임포트에서 수집된 자산으로, 의 기존 CI와 CMDB일치합니다.
일치하는 것이 없으면 의 일치하지 않는 CI 클래스 CMDB에 CI가 만들어집니다. CMDB CI Class Models 플러그인을 활성화하면 식별 및 조정 엔진(IRE)이 새 클래스를 사용하여 CI를 생성합니다. 자세한 내용은 식별 및 조정 엔진을 사용하여 CI 생성 문서를 참조하십시오. 일치하지 않는 원본 CI가 재분류되면 검색된 항목 기록은 해당 상태를 반영하도록 업데이트됩니다. 검색된 항목은 자산이 식별되고 CI에 매핑되는 방법에 대한 가시성을 제공합니다.CMDB
- CI 조회 규칙
- MS TVM 취약성 대응 에서 데이터를 임포트하면 에서는 자동으로 컴퓨터(자산) 데이터를 사용하여 에서 일치하는 항목을 검색합니다.CMDB CI 조회 규칙은 CI를 식별하고 VI가 생성될 때 VI 레코드에 추가하는 데 사용됩니다.
- 인스턴스
- 인스턴스는 MS TVM의 여러 계정을 참조합니다. 각 계정은 MS TVM 애플리케이션의 인스턴스일 수 있습니다.
- 통합
- 통합은 MS TVM 컴퓨터 통합과 같은 외부 공급업체 소스에서 정보를 검색하는 예약된 작업입니다.
- 배포
- 통합이 다중 소스를 지원하는 경우 단일 통합 존재를 통합의 배포라고 합니다. 배포는 환경 전반의 통합 및 제품을 의미합니다. 예를 들어, 사용자 환경에 MS TVM을 여러 개 배포할 수 있습니다.
MS TVM 통합에는 다음과 같은 주요 기능도 포함됩니다.
- 환경 전반에서 자산을 식별하고 기존에 검색된 항목, 취약한 항목 및 탐지 레코드의 CI를 업데이트하여 취약성에 대한 자세한 정보를 제공할 수 있습니다.
- 모든 MS TVM 통합에 대해 작업을 실행할 시기를 예약할 수 있습니다. 요청 시 예약된 작업을 실행할 수도 있습니다.
- 취약한 항목을 그룹화할 수 있습니다.
- CI 조회 규칙을 구성하여 타사 소스의 자산 데이터를 사용하여 CI CMDB를 식별하는 방법을 정의할 수 있습니다.
필요한 ServiceNow AI Platform 역할
통합 작업에는 인스턴스에서 ServiceNow AI Platform 다음 역할이 필요합니다.
가상 사용자 및 세분화된 역할을 사용하면 애플리케이션에서 취약성 대응 사용자와 그룹이 보고 수행할 수 있는 내용을 관리하는 데 도움이 됩니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할을 관리하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 취약성 대응의 가상 사용자 및 세분화된 역할 관리.
- 관리자
- 시스템 관리자는 설정 도우미를 사용하여 MS TVM 애플리케이션을 설치합니다. 할당되지 않은 경우 관리자는 설정 도우미에서 취약성 관리자(sn_vul.vulnerability_admin) 및 기타 역할을 할당합니다.
- sn_vul.vulnerability_admin
- 할당이 완료되면 취약성 관리자는 설정 도우미에서 MS TVM 통합 구성을 완료합니다. 이 역할은 애플리케이션 및 해당 기록에 대한 전체 액세스 권한을 보유합니다.취약성 대응 취약성 관리자는 설치된 타사 통합에 대한 모든 취약성 대응 애플리케이션과 규칙을 구성합니다.
- sn_vul_msft_tvm.configure_integration
이 역할에는
sn_vul_msft_tvm.read_integration세분화된 역할이 포함되어 있습니다. 이 역할을 가진 사용자는 Microsoft 위협 및 취약성 관리 애플리케이션과의 취약성 대응 통합을 구성할 수 있습니다.- sn_vul_msft_tvm.read_integration
이 역할을 가진 사용자는 Microsoft 위협 및 취약성 관리 애플리케이션 기록과의 취약성 대응 통합만 볼 수 있습니다.
- 취약성 대응 그룹
- 기본적으로 취약성 대응 그룹은 설정 도우미에서 사용할 수 있습니다. 취약성 대응 그룹에 할당된 사용자는 sn_vul.read_all 및 sn_vul.remediation_owner 역할을 자동으로 상속합니다.
MS TVM 통합
다중 소스는 모든 MS TVM 통합에 대해 지원됩니다. 의 취약성 대응설정 도우미에서 환경 전체에 다음 통합의 여러 인스턴스를 추가하고 배포할 수 있습니다. 또한 설정 도우미에서 MS TVM 애플리케이션과의 통합을 설치하고 구성 취약성 대응 합니다.
MS TVM 통합을 보려면 다음으로 이동하십시오. . 취약성 대응 는 MS TVM 엔드포인트와의 통합을 제공하여 예약된 시간 간격에 따라 데이터를 임포트합니다. 기본 시스템에는 다음과 같은 통합이 포함됩니다.
| 시퀀스 실행 | 일정 | 통합 | 설명 |
|---|---|---|---|
| 1 | 매일 | Microsoft TVM 권장 사항 통합 | 취약성을 정정하기 위한 실행 가능한 모든 보안 권장 사항 목록을 조회합니다. |
| 2 | 매일 | Microsoft TVM 취약성(CVE) 통합 | 국가 취약성 데이터베이스 항목 및 타사 취약성 항목 목록과 해당 익스플로잇 정보를 검색합니다. |
| 3 | 매일 | Microsoft TVM 머신 통합 | 머신 태그를 포함한 모든 자산(머신) 데이터를 Microsoft TVM에서 검색하고 인스턴스에서 처리합니다. |
| 4 | 주별 주: 설치 후 이 통합은 머신을 임포트한 후 자동으로 실행됩니다. |
Microsoft TVM 머신 취약성 통합(전체 임포트) | 모든 자산에서 열려 있는 모든 취약성을 검색합니다. |
| 5 | 매일 | Microsoft TVM 머신 취약성 통합(델타 임포트) | 신규, 고정, 업데이트된 취약성을 포함하여 조직의 전체 취약성 임포트에서 변경된 모든 정보를 검색합니다. |
취약한 항목은 사용자가 설정한 그룹 규칙에 따라 정정 작업으로 그룹화되고 담당 규칙에 따라 정정을 위해 할당됩니다. 자세한 내용은 취약성 대응 정정 작업 및 정정 작업 규칙 개요 및 문서를 참조하십시오.
CI 조회 규칙
- MAC_ADDRESS
- FQDN
- IP
검색된 항목
머신 태그
호스트 태그라고도 하는 머신 태그는 조직의 자산을 구성하고 추적하는 데 사용됩니다. 머신에 태그를 할당합니다.
- 태그 스토리지는 대소문자를 구분하지 않습니다. Paris 태그가 생성되면 PARIS 태그를 머신 태그 테이블에 저장할 수 없습니다. Paris 와 PARIS 는 시스템에서 동일한 머신 태그로 간주합니다. 먼저 임포트되는 태그가 저장되고 인식되는 태그입니다.
- 정정 작업 규칙에서 머신 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 그룹 키는 정정 작업 테이블의 열이지만 머신 태그는 조건 작성기에서만 사용하기 위한 것입니다.
- 머신 태그는 전역 시스템 속성 sn_vul.import_host_tags에 의해 제어됩니다. 이 속성은 기본적으로 true 로 설정됩니다. 태그를 비활성화하면 모든 ServiceNow AI Platform® 인스턴스에서 태그가 비활성화됩니다.
다음에 할 일
에서 Microsoft Threat and Vulnerability ManagementServiceNow® Store와의 통합을 취약성 대응 다운로드한 후 의 설정 도우미취약성 대응에서 설치 및 구성을 지원합니다. 자세한 내용은 설정 도우미를 사용하여 MS TVM 애플리케이션과의 취약성 대응 통합 설치 및 구성 문서를 참조하십시오.