의 예외 관리 Container Vulnerability Response

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 조직이 게시된 취약성 관리 또는 보안 정책, 표준 또는 지침을 준수할 수 없는 경우 예외를 요청할 수 있습니다. 예외 관리에는 정책에 따라 정정할 수 없는 CVIT(컨테이너 취약한 항목)에 대한 예외를 요청, 검토, 승인 또는 거부하는 작업이 수반됩니다.

    일부 컨테이너 취약성(CVIT)에는 기존 패치, 수정 사항 또는 솔루션이 없을 수 있습니다. 예외가 승인되면 취약성을 수정하지 않을 경우의 결과를 인정하고 동의하기 때문에 위험을 수락한다는 의미이기도 합니다.

    예외의 수명주기

    예외의 정의
    예외는 지정된 기간 동안 CVIT 또는 RT의 수정을 연기하는 요청입니다. 예를 들어 업데이트 적용 소유자는 시스템에 패치를 사용할 수 없는 경우 예외를 요청할 수 있습니다.
    예외 요청
    정정 소유자는 예외 관리 프로세스를 사용하여 CVIT 또는 RT에 대한 면제를 요청할 수 있습니다. 예외 승인자가 이 요청을 승인하면 CVIT 또는 RT가 연기됨 상태로 전환됩니다.
    예외 요청 승인
    즉시 수정할 수 없는 CVIT 또는 RT는 취약성 분석가가 검토하고, 위험을 평가하고, 수정할 수 있을 때까지 연기하도록 승인됩니다. 예외 요청 승인은 2단계 워크플로우가 될 수 있습니다. 첫 번째 수준 승인자만 있는 경우 예외를 요청하고 승인할 수 있습니다. 그러나 첫 번째 수준 승인자가 없으면 예외를 요청할 수 없습니다. 자세한 내용은 예외 승인자 추가 문서를 참조하십시오.
    주:

    v15.0부터 Vulnerability Response 는 VR 애플리케이션을 처음 배포하는 경우 예외 관리를 위한 Flow Designer가 기본적으로 활성화됩니다. 워크플로우를 이미 사용 중인 경우 Flow Designer로 업데이트할 수 있습니다. 두 경우 모두 워크플로로 다시 변경할 수 없습니다. 예외 관리 및 긍정 오류에 대한 승인 규칙을 구성하려면 다음 문서를 참조하십시오 예외 관리에 대한 승인 규칙 구성.

    CVIT 또는 RT에 대한 예외 요청이 승인되면 다음 작업을 수행할 수 있습니다.
    • 재오픈
    • 삭제
    • 할당 대상 또는 할당 그룹 필드 업데이트
    예외 요청 추적
    예외를 발생시킨 후 CVIT 또는 RT의 상태 변경 승인 탭을 사용하여 상태를 추적할 수 있습니다. RT에서 작업이 수행되면 해당 RT에서 개별 CVIT의 상태를 추적할 수 없습니다.
    예외 요청 만료
    특정 CVIT 또는 RT에 대한 예외 요청이 만료되면 영향을 받는 CVIT 또는 RT가 열림 상태로 되돌아갑니다.

    RT의 단일 CVIT 또는 모든 CVIT가 다음 스캔에서 통과하면 CVIT 및 RT 상태 필드(해당하는 경우)가 종결됨 으로 변경되고 하위 상태가 고정됩니다.

    승인 규칙 구성

    로 이동하여 승인 규칙 확인 및 구성 모두 > 컨테이너 Vulnerability Response > 관리 > 승인 규칙레이블이 표시됩니다. 영향을 받는 취약성, CI(구성 항목) 또는 CVIT를 식별하여 즉시 정정하거나 지연할 수 없는 CVIT에 대한 예외를 요청합니다. CVIT 지연 프로세스를 자동화합니다. 시스템에서 이러한 CVIT를 식별할 때 이러한 규칙에 따라 일치하는 CVIT를 연기합니다.
    기본적으로 다음 승인 규칙이 제공됩니다.
    • 예외 요청 승인: 두 가지 승인 수준의 기본 구성이 기본 시스템에 제공됩니다. 취약한 항목에 대한 예외 요청이 있을 때마다 승인 요청은 수준 1에 있는 사용자 또는 그룹으로 전송됩니다. 1단계 승인자가 승인하면 2단계 승인자에게 전송됩니다.
      주:
      기본 수준을 변경하고 필요에 따라 편집할 수 있습니다. Container Vulnerability Response v2.0.6부터는 시스템 속성 [sys_properties] 테이블의 워크플로우를 통해 예외 승인에 기본 시스템에 제공된 시스템 속성을 사용할 수 있습니다. 따라서 워크플로를 통해 예외 또는 가양성 요청이 발생하면 승인을 위해 시스템 속성에 정의된 그룹 ID로 전송됩니다. 다음으로 이동 모두 > 시스템 속성 을 클릭하고 , sn_vul_container.container_exception_approver_L2또는 sn_vul_container.container_false_positive_approver_group 를 선택하여 sn_vul_container.container_exception_approver_L1속성값을 변경합니다.
    • 예외 규칙에 대한 승인: 구성이 있는 것이 아니라 두 가지 승인 수준이 있습니다.
    • 긍정 오류 승인: 하나의 승인 수준을 가진 하나의 구성이 있습니다.
    주:
    v2.5 Container Vulnerability Response버전부터는 설정된 기간(일)이 지나면 승인자와 요청자 모두에 대한 이메일 알림과 함께 긍정 오류 및 예외를 승인하는 시간 범위를 구성할 수 있습니다. 요청이 발생하면 컨테이너 취약한 항목이 검토 중 상태로 변경되고 상태 변경 기록이 생성됩니다. 승인자가 구성된 시간 범위 내에 응답하지 않으면 컨테이너 취약한 항목 또는 정정 작업이 오픈 상태로 되돌아갑니다. 이전 상태는 backup_state 필드에 저장됩니다. 자세한 내용은 예외 관리에 대한 승인 규칙 구성 문서를 참조하십시오.