Rapid7 취약성 통합 이해
데이터 ServiceNow® Rapid7 취약성 통합 웨어하우스 또는 Rapid7 InsightVM 제품에서 Rapid7 임포트한 데이터를 사용하여 잠재적으로 악의적인 위협의 영향과 우선순위를 파악하는 데 도움을 줍니다.
Rapid7 Nexpose센서는 데이터를 수집하여 자동으로 데이터 웨어하우스(온 프레미스) 또는 Rapid7 InsightVM (클라우드 기반) 제품으로 Rapid7 전송하여 지속적으로 정보를 분석하고 상관관계를 지정합니다. 쉽게 통합되어 ServiceNow® 취약성 대응 취약성을 CI 및 서비스에 매핑합니다. Rapid7 취약성 통합 인스턴스의 취약성 데이터를 보강합니다.
각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 시스템. 이 값은 변경하지 마십시오.
사용 가능한 버전
| 오스트레일리아의 릴리스 버전 | 릴리스 정보 |
|---|---|
Rapid7 취약성 통합 v13.6, 13.7 |
호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오. |
역할
- sn_vul_r7.admin: 기록을 읽고 쓰고 삭제할 수 있습니다.
- sn_vul_r7.user: 기록을 읽고 쓸 수 있습니다.
- sn_vul_r7.read: 기록을 읽을 수 있습니다.
가상 사용자 및 세분화된 역할을 사용하면 애플리케이션에서 취약성 대응 사용자와 그룹이 보고 수행할 수 있는 내용을 관리하는 데 도움이 됩니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할을 관리하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 취약성 대응의 가상 사용자 및 세분화된 역할 관리.
Rapid7 취약성 통합 통합
를 보 Rapid7 취약성 통합려면, 다음으로 이동 .
기본 시스템에는 다음과 같은 통합이 포함됩니다.
| 통합 | 설명 |
|---|---|
| Rapid7 취약성 통합 | 인스턴스에서 Rapid7 Nexpose 취약성 데이터를 검색하고 인스턴스에서 처리합니다. |
| Rapid7 자산 목록 통합 | 일주일에 한 번 데이터 웨어하우스에서 Rapid7 Nexpose 스캔 데이터를 검색하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 스캔 날짜를 사용하여 최근에 스캔하지 않은 자산을 식별하는 데 도움이 됩니다. 의 검색된 항목 목록에서 취약성 대응마지막 검사 시간을 확인합니다. |
| Rapid7 범주 통합 | 에서 범주 정보를 검색합니다 Rapid7 Nexpose. 범주는 취약성에 대한 개략적인 분류를 제공합니다. |
| Rapid7 남용 통합 | 에서 익스플로잇 정보를 검색합니다 Rapid7 Nexpose. |
| Rapid7 맬웨어 키트 통합 | 에서 맬웨어 키트 정보를 검색합니다 Rapid7 Nexpose. |
| Rapid7 참조 통합 | CVE 또는 벤더별 취약성 참조와 같은 외부 권한 문서에 대한 참조를 검색합니다. |
| Rapid7 솔루션 통합 | 에서 솔루션 데이터를 Rapid7 Nexpose검색하여 특정 취약성에 대한 권장 솔루션을 제공합니다. |
| Rapid7 대체 솔루션 통합 | 다른 솔루션으로 대체되는 솔루션에 대한 정보를 검색합니다. |
| Rapid7 필수 솔루션 통합 | 다른 솔루션의 전제 조건인 솔루션에 대한 정보를 검색합니다. 이 통합이 실행되면 데이터 웨어하우스에서 솔루션 및 필수 솔루션의 매핑을 Rapid7 가져옵니다. 주: 이 통합은 플러그인이 취약성 솔루션 관리 활성화된 경우에만 작동합니다. |
| Rapid7 취약성 솔루션 맵 통합 | 솔루션을 취약성과 연결하기 위한 매핑을 검색합니다. |
| Rapid7 취약한 항목 통합 | 인스턴스에서 Rapid7 Nexpose 취약한 항목 데이터를 검색하고 인스턴스에서 처리합니다. 이 통합의 출력이 취약한 항목입니다. |
| Rapid7 취약한 항목 해결 통합 | 취약성 대응 에서 Rapid7 Nexpose종결로 표시된 취약한 항목에 대한 정보를 검색하고 에서 해당 취약한 항목을 닫습니다. |
| Rapid7 사이트 통합 | 에서 사이트 데이터를 검색합니다 Rapid7 Nexpose. 사이트는 스캔 대상이 되는 자산의 모음입니다. |
| Rapid7 자산 목록 통합 | 일주일에 한 번 데이터 웨어하우스에서 Rapid7 호스트 태그 및 스캔 데이터를 검색하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 스캔 날짜를 사용하여 최근에 스캔하지 않은 자산을 식별하는 데 도움이 됩니다. 의 검색된 항목 목록에서 마지막 검사 시간 보기 취약성 대응 |
| Rapid7 포괄적인 취약한 항목 통합 | 마지막으로 성공한 통합 실행 이후 스캔한 모든 구성 항목에 대한 모든 Rapid7 탐지를 임포트합니다. 임포트된 최신 데이터를 기반으로 부실 취약한 항목 자동 종결 모듈을 활성화하면 검사 중에 최근에 발견되지 않은 취약 항목은 자동으로 "종결됨"으로 전환됩니다. |
| 통합 | 설명 |
|---|---|
| Rapid7 취약한 항목 통합 - API | InsightVM에서 Rapid7 취약한 항목 데이터를 검색하고 인스턴스에서 처리합니다. |
| Rapid7 취약성 통합 - API | InsightVM에서 Rapid7 참조, 범주, 익스플로잇, 맬웨어 키트 및 취약성 데이터를 검색하고 인스턴스에서 처리합니다. |
| Rapid7 자산 목록 통합 - API | 일주일에 Rapid7 InsightVM 한 번 호스트 태그와 스캔 데이터를 인스턴스에서 검색하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 스캔 날짜를 사용하여 최근에 스캔하지 않은 자산을 식별하는 데 도움이 됩니다. 의 검색된 항목 목록에서 취약성 대응마지막 검사 시간을 확인합니다. |
| Rapid7 포괄적인 취약한 항목 통합 - API | 마지막으로 성공한 통합 실행 이후 스캔한 모든 구성 항목에 대한 모든 Rapid7 탐지를 임포트합니다. 임포트된 최신 데이터를 기반으로 부실 취약한 항목 자동 종결 모듈을 활성화하면 검사 중에 최근에 발견되지 않은 취약 항목은 자동으로 "종결됨"으로 전환됩니다. |
| Rapid7 사이트 통합 | 제품에서 사이트 데이터를 검색합니다 Rapid7 InsightVM . 이 통합은 매주 00:00:00에 실행되도록 설정됩니다. |
임포트하는 동안 CVE 기록이 아직 존재하지 않는 경우 NVD 기록으로 생성되고 기본적으로 외부 공급업체 항목 Rapid7 에서 참조됩니다. 에 대한 Rapid7 템플릿 통합을 삭제할 수 없습니다. 대신 비활성화하십시오.
Rapid7용 서비스 그래프 커넥터
버전 2.0부터 Rapid7용 서비스 그래프 커넥터는 에서 사용할 수 ServiceNow® Store있습니다. 자세한 내용은 Service Graph Connector for Rapid7 문서를 참조하십시오.
CI 조회 규칙
CI 조회 규칙은 취약한 항목 기록에서 구성 항목 필드를 채우는 방법을 결정합니다.
CI 조회 규칙의 작동 방식에 대한 자세한 내용은 다음 문서를 참조하십시오 조회 규칙 구성.
검색된 항목
검색된 항목 모듈에 대한 자세한 내용은 에서 문서를 취약성 대응 참조하십시오검색된 항목.
호스트 태그
호스트 태그는 자산 목록 통합 - API 통합의 Rapid7 일부로 임포트됩니다.Rapid7 InsightVM 주로 의 Rapid7 InsightVM할당 및 정정 작업 규칙에서 취약성 대응 필터링하는 데 사용됩니다. 검색된 항목 양식에 표시됩니다.
- 태그 스토리지는 대소문자를 구분하지 않습니다. San Diego 태그가 생성되면 SAN DIEGO 태그를 호스트 태그 테이블에 저장할 수 없습니다. "San Diego" 및 "SAN DIEGO"는 동일한 호스트 태그로 간주됩니다. 먼저 임포트된 태그가 승리합니다.
- 정정 작업 규칙에서 호스트 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 호스트 태그는 조건 작성기에서만 사용할 수 있습니다.
- 호스트 태그는 전역 시스템 속성 sn_vul.import_host_tags에 의해 제어됩니다. 이 속성은 기본적으로 true 로 설정됩니다. 태그를 끄면 모든 인스턴스에서 태그가 꺼집니다.
사이트
사이트는 스캔 대상 자산의 모음입니다. 사이트는 대상 자산, 스캔 템플릿, 하나 이상의 스캔 엔진, 기타 스캔 관련 설정(예: 일정 또는 경보)으로 구성됩니다. 사이트는 애플리케이션에 의해 Rapid7 관리됩니다.
Rapid7 취약성 통합 구성 중 사이트 필터링을 사용하면 임포트 중에 자산을 사이트별로 분류하고 요청할 수 있습니다. 임포트 필터링에 대한 자세한 내용은 문서를 참조하십시오 사이트별 Rapid7 필터링 .
데이터 웨어하우스 및 Rapid7 InsightVM 사이트 통합은 Rapid7 사이트를 주간 예약 작업으로 임포트합니다.
임포트한 사이트를 목록에서 보려면 다음으로 이동하십시오. .
검사로 종결되지 않은 해결된 취약 항목 다시 열기
인스턴스에서 ServiceNow AI Platform "해결됨"으로 설정되었지만 후속 통합 실행에서 "종결됨/수정됨"으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.
탐지의 경우 Rapid7 , 이제 인스턴스의 Rapid7 구성 페이지에서 기간별로 해결된 VI를 다시 여는 옵션을 사용할 수 있습니다. 활성화하면 "해결됨"으로 설정되었지만 후속 스캔에서 "종결됨/수정됨"으로 전환되지 않은 VI는 입력한 일수 후에 다시 "오픈"으로 전환됩니다.
IRE(식별 및 조정 엔진)를 사용하여 CI 생성
기존 CI를 외부 공급업체 스캐너에서 임포트한 호스트와 일치시킬 수 없는 경우 식별 및 조정 엔진을 사용하여 새 CI를 만들 수 있습니다. CMDB CI Class Models 플러그인을 활성화하여 새 클래스를 사용하여 CI를 작성합니다. 그렇지 않으면 일치하지 않는 CI 클래스에 일치하지 않는 CI가 작성됩니다. 자세한 내용은 식별 및 조정 엔진을 사용하여 CI 생성 문서를 참조하십시오. 일치하지 않는 클라우드 자원을 선호하는 CI 클래스로 분류하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 일치하지 않는 클라우드 자산에 대한 CI 클래스 업데이트.
취약한 항목 다시 스캔
플랫폼에서 재스캔 Rapid7 을 시작하여 예약된 스캔 주기 사이에 취약한 항목이 정정되었는지 확인합니다. 취약성 통합에 Rapid7 대한 재스캔 시작 문서를 참조하십시오.
스토어에서 앱 요청
사용 가능한 모든 앱을 보고 스토어에 요청을 제출하는 방법에 대한 자세한 내용을 보려면 다음을 ServiceNow Store 방문하십시오. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.
Rapid7 솔루션 관리
플러그인을 취약성 솔루션 관리 활성화하면 데이터 웨어하우스와 Rapid7 InsightVM 모두 Rapid7 에 대한 솔루션이 Rapid7 취약성 솔루션 [sn_vul_solution] 테이블에 채워집니다. 그러나 플러그인을 취약성 솔루션 관리 활성화하지 않은 경우 그대로 Rapid7 취약성 통합 작동하며 사용자 지정 [sn_vul_r7_solution] 테이블에서 솔루션을 임포트합니다. 자세한 내용은 Rapid7 솔루션 관리 문서를 참조하십시오.