Application Vulnerability Response 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기5분

    • 구성하기 전에 다음 설정 검사 목록을 완료합니다.

    시작하기 전에

    작업 설정 설명
    Vulnerability Response 애플리케이션이 설치되고 활성화되었는지 확인합니다.

    활성화되어 있는지 확인하려면 다음으로 이동합니다. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 Vulnerability Response 설치.
    보고서를 보려면 Application Vulnerability ResponseVulnerability Response용 퍼포먼스 분석 설치되고 활성화되어 있는지 확인하십시오.

    활성화되어 있는지 확인하려면 다음으로 이동합니다. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 [PA] 응용 프로그램 설치 및 구성 Vulnerability Response용 퍼포먼스 분석.
    설치 Veracode Vulnerability Integration , 활성화 및 구성되어 있는지 확인합니다. [이 시점에서는 통합을 실행하지 마십시오.]

    활성화되어 있는지 확인하려면 다음으로 이동합니다. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 ServiceNow 와 Vulnerability Response 통합 설치Veracode.
    CWE 2000 통합이 에서 Vulnerability Response실행 중인지 확인합니다. 확인하려면 을 참조하십시오 NVD 기록을 업데이트하기 위해 예약된 작업이 실행 중인지 확인합니다.
    [선택 사항] NVD 통합이 에서 Vulnerability Response실행 중인지 확인합니다. 확인하려면 을 참조하십시오 CWE 기록을 업데이트하기 위한 예약된 작업이 실행 중인지 확인합니다.
    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다. 다음 역할은 예상 결과의 설치, 구성 및 검증에 필요합니다.
    • 아직 할당되지 않은 경우 시스템 관리자[admin]가 애플리케이션을 설치하고 사용자를 App-Sec 관리자, 보안 챔피언 및 개발자 사용자 그룹에 할당합니다. 그룹 역할에 대한 자세한 내용은 다음 Application Vulnerability Response 사용자 그룹 및 역할문서를 참조하십시오.
    • App-Sec 관리자 그룹은 구성을 감독하고 예상 결과를 확인합니다.
      주:
      Application Vulnerability Response 의 설정 도우미 기능 Vulnerability Response에서 구성을 사용할 수 없습니다.
    필요한 역할: App-Sec Manager 사용자 그룹

    프로시저

    1. 다음으로 이동 Security Operations > CMDB > 조회 규칙레이블이 표시됩니다.
      자세한 내용은 사용자 환경에 맞게 CI 조회 규칙을 만들거나 수정하는 방법을 참조하십시오 CI 조회 규칙 만들기 .
    2. 다음으로 이동 Application Vulnerability Response > 관리레이블이 표시됩니다.
    3. 할당 규칙을 선택합니다.
      사용자 환경에 대한 응용 프로그램 할당 규칙을 만들거나 수정하려면을 참조하십시오 할당 규칙 생성 또는 편집 Application Vulnerability Response .
    4. 취약성 계산기를 선택합니다.
      사용자 환경에 맞는 애플리케이션 취약성 계산기를 만들거나 수정하려면 다음을 참조하십시오 에서 자동으로 위험 Application Vulnerability Response 계산 .
    5. 정정 대상 규칙을 선택합니다.
      사용자 환경에 대한 응용 프로그램 정정 대상을 만들거나 수정하려면을 참조하십시오 애플리케이션 정정 대상 규칙 생성 또는 편집 .
    6. Normalized Severity Maps(표준화된 심각도 맵)를 선택합니다.
      환경에 대한 심각도 맵을 만들거나 수정하려면 다음을 참조하십시오 애플리케이션 취약한 항목의 심각도를 자동으로 매핑 .
    7. 다음 중 하나로 이동합니다. Veracode Vulnerability Integration > 통합 또는 Fortify Vulnerability Integration > 통합레이블이 표시됩니다.
    8. Veracode 애플리케이션 목록 통합 또는 Fortify 요청 시 애플리케이션 목록 통합을 엽니다.
    9. 아직 실행되지 않았으면 지금 실행을 클릭합니다.
      주:
      다른 Veracode 또는 Fortify 통합은 기본적으로 비활성 상태입니다.
      통합 실행 상태는 다음 Fortify Vulnerability Integration 임포트 실행 상태 보기문서를 참조하십시오Veracode 애플리케이션 취약성 통합 임포트 실행 상태 보기.
    10. Veracode 또는 Fortify 요청 애플리케이션 목록 통합이 실행을 완료하면 다음으로 이동합니다. Application Vulnerability Response > 관리 > 애플리케이션레이블이 표시됩니다.
    11. 각 애플리케이션에 대해 지원 그룹 (할당 규칙에서 사용됨) 및 부서 (보고에 사용됨)에 값을 입력합니다.
      여러 항목을 업데이트하려면 목록 편집기를 사용하여 목록의 여러 기록을 편집 하여 작업을 대량으로 완료하기를 참조하십시오.
      주:
      자동으로 업데이트된 사업부를 보려면 페이지를 새로 고침하십시오. 스캔한 신청서 양식 필드에 대한 자세한 내용은 을 스캔한 애플리케이션 필드참조하십시오.
    12. 통합 목록으로 돌아가서 다른 Veracode 또는 Fortify 통합을 활성화합니다.
      델타 데이터 통합 임포트를 설정하려면 을 참조하십시오 통합 활성화 Application Vulnerability Response .

      VeracodeFortify 통합은 체인으로 연결되어 있으며 활성화되면 연속적으로 실행됩니다.

    13. 옵션: 다음으로 이동 Application Vulnerability Response > 관리 > 할당 규칙레이블이 표시됩니다.
      1. 옵션: 이전에 할당 규칙을 생성하거나 편집할 때 사용자 그룹 필드에대해 구성 항목: 지원 그룹을 선택한 경우, 스캔한 애플리케이션 목록 뷰에 추가한 값을 이제 사용할 수 있습니다.
        그에 따라 할당 규칙을 편집합니다.
      2. 업데이트를 클릭합니다.
      3. 취약성 할당 규칙 목록 뷰에서 변경 내용 적용 을 클릭하여 AVI에 할당 규칙을 다시 적용합니다.
    14. 이제 구성이 Application Vulnerability Response 완료되었습니다.

    다음에 수행할 작업

    다음으로 이동 Application Vulnerability Response > 개요 및 전반적인 보안 태세에 대한 자세한 내용은 PA(애플리케이션 취약성 관리) 대시보드 를 참조하세요.