Container Vulnerability Response 앱과 함께 설치되는 구성요소
Container Vulnerability Response 애플리케이션을 활성화하면 테이블, 사용자 역할, 예약된 작업을 포함하여 여러 유형의 구성요소가 설치됩니다.
이 기능에 대한 데모 데이터를 사용할 수 있습니다.
Container Vulnerability Response 앱과 함께 설치되는 역할
Container Vulnerability Response가 활성화되면 역할이 추가됩니다.
가상 사용자 및 그룹이 애플리케이션에서 보고 수행할 수 있는 작업을 관리하는 데 도움이 되는 가상 사용자 및 세분화된 역할을 사용할 수 있습니다 Vulnerability Response . 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 Vulnerability Response 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 Vulnerability Response.
업그레이드 고객인 경우 v10.3 이전의 sn_vul.vulnerability_read 및 sn_vul.vulnerability_write 권한으로 할당한 사용자 및 그룹에 대한 액세스는 변경되지 않았습니다. 사용자와 그룹은 변경될 때까지 이러한 역할이 할당된 상태로 유지됩니다. 그러나 v10.3부터는 사용자 및 그룹이 애플리케이션에서 수행하고 볼 수 있는 작업을 보다 세부적으로 제어하기 위해 세분화된 역할을 할당하는 Vulnerability Response 것이 좋습니다. 이러한 역할 관리에 대한 개요 및 자세한 내용은 해당 문서를 의 가상 사용자 및 세분화된 역할 관리 Vulnerability Response참조하십시오Vulnerability Response 가상 사용자 및 세분화된 역할.
| 역할 제목[name] | 설명 |
|---|---|
| sn_vul_container.ci_manager | 일치하지 않는 구성 항목(CI)의 재분류를 관리합니다. |
| sn_vul_container.configure_integrations | 컨테이너 통합을 구성합니다. |
| sn_vul_container.configure_vi_granularity(구성_VI_세분성) | 컨테이너 취약한 항목 세분성을 구성합니다. |
| sn_vul_container.create_vi | 컨테이너 취약한 항목을 수동으로 생성할 수 있습니다. |
| sn_vul_container.delete_vi | 수동으로 만든 컨테이너 취약한 항목을 삭제할 수 있습니다. |
| sn_vul_container.exception_approver | 컨테이너 취약한 항목의 예외, 연기, 종결을 승인합니다. v2.3부터는 모든 컨테이너 취약한 항목 및 정정 작업 대신 사용자 및 그룹에 할당된 컨테이너 취약한 항목 및 정정 작업에 액세스할 수 있도록 이 역할에 대해 세분화된 역할인 sn_vul_container.read_all이 제거되었습니다. |
| sn_vul_container.false_positive_approver | 컨테이너 취약한 항목의 닫기를 긍정 오류로 승인하거나 거부합니다. |
| sn_vul_container.manage_assignment_rules | 컨테이너 취약한 항목 할당 규칙을 정의하고 업데이트합니다. |
| sn_vul_container.manage_auto_close_stale_vi | 부실 컨테이너 취약한 항목 자동 종결 구성 |
| sn_vul_container.manage_auto_exception_rule[관리_자동_예외_규칙] | 예외 규칙 관리(만들기/읽기/업데이트/삭제) |
| sn_vul_container.manage_normalized_severity | 매핑을 업데이트하여 심각도를 정규화할 수 있습니다. |
| sn_vul_container.관리_권한 | 사용자에게 컨테이너 Vulnerability Response 역할을 할당할 수 있습니다. |
| sn_vul_container.manage_remediation_targ... | 컨테이너 정정 대상 규칙을 정의하고 업데이트합니다. |
| sn_vul_container.manage_risk_score_confi... | 컨테이너 취약한 항목에 대한 위험 점수 계산기, 위험 규칙 및 취약성 롤업 계산기를 정의하고 업데이트합니다. |
| sn_vul_container.read_all | 모든 컨테이너 취약한 항목 및 관련 정보를 볼 수 있습니다. |
| sn_vul_container.read_assigned | 내 또는 내 그룹에 할당된 컨테이너 취약한 항목을 볼 수 있습니다. |
| sn_vul_container.read_assignment_rules | 컨테이너 취약한 항목 할당 규칙을 볼 수 있습니다. |
| sn_vul_container.read_auto_exception_rule[읽기_자동_예외_규칙] | 읽기 예외 규칙 |
| sn_vul_container.read_discovered_image | 검색된 항목을 볼 수 있습니다. |
| sn_vul_container.read_integrations | 통합 실행의 결과를 볼 수 있습니다. |
| sn_vul_container.read_normalized_severity | 표준화된 심각도 매핑을 볼 수 있습니다. |
| sn_vul_container.read_remediation_target... | 정정 대상 규칙을 볼 수 있습니다. |
| sn_vul_container.read_risk_score_configu... | 컨테이너에 취약한 항목에 대한 위험 점수 계산기, 위험 규칙 및 취약성 롤업 계산기를 볼 수 있습니다. |
| sn_vul_container.remediation_owner | 할당된 컨테이너 취약한 항목을 읽고 씁니다. 또한 이 역할을 가진 사용자는 취약성 기록을 읽을 수 있습니다. |
| sn_vul_container.update_assigned_to | 컨테이너 취약한 항목의 할당을 업데이트할 수 있습니다. sn_vul_container.write_all 또는 sn_vul_container.write_assigned가 필요합니다. |
| sn_vul_container.update_assignment_group | 컨테이너에 취약한 항목에 대한 할당 그룹을 업데이트할 수 있습니다. sn_vul_container.write_all 또는 sn_vul_container.write_assigned가 필요합니다. |
| sn_vul_container.update_state | 취약한 항목의 상태를 업데이트할 수 있습니다. sn_vul_container.write_all 또는 sn_vul_container.write_assigned가 필요합니다. |
| sn_vul_container.vulnerability_admin | 제품에 대한 Container Vulnerability Response 모든 규칙, 통합 등을 구성합니다. |
| sn_vul_container.vulnerability_analyst | 모든 컨테이너 취약한 항목의 정정을 모니터링합니다. |
| sn_vul_container.write_all | 모든 컨테이너 취약한 항목 및 정정 작업을 업데이트할 수 있습니다. |
| sn_vul_container.write_assigned | 본인 또는 내 그룹에 할당된 컨테이너에 취약한 항목 또는 정정 작업을 업데이트할 수 있습니다. |
| sn_vul_container.read_watch_topic | 컨테이너 취약성에 대한 감시 주제를 읽을 수 있습니다. |
| sn_vul_container.create_watch_topic | 컨테이너 취약성에 대한 감시 주제를 생성할 수 있습니다. |
| sn_vul_container.edit_watch_topic | 컨테이너 취약성에 대한 감시 주제를 편집할 수 있습니다. |
| sn_vul_container.manage_exception_configuration | 예외 관리 구성을 관리할 수 있습니다. |
Container Vulnerability Response 앱과 함께 설치되는 테이블
(CVR)이 Container Vulnerability Response 활성화되면 테이블이 추가됩니다.
| 테이블 | 설명 |
|---|---|
| 컨테이너 이미지 찾기 sn_vul_container_image_findings |
연결된 취약성, 이미지 계층, Docker 이미지, 이미지 리포지토리 및 검색된 이미지에 대한 정보를 저장합니다. |
| 컨테이너 이미지 계층 sn_vul_container_image_layer |
각 이미지 레이어의 정보를 포함합니다. 이미지는 컴퓨팅 시스템에서 컨테이너를 만들 수 있는 실행 코드가 있는 정적 파일입니다. |
| 컨테이너 이미지 패키지 sn_vul_container_image_package |
취약성이 존재하는 패키지에 대한 정보를 제공합니다. Binary 패키지 세부 정보도 쉼표로 구분된 값으로 제공됩니다. |
| 컨테이너 취약한 항목 sn_vul_container_image_vulnerable_item |
각 발견 사항 및 해당 취약성에 대한 상세 정보를 포함합니다. |
| 검색된 컨테이너 이미지 sn_vul_container_image |
이미지 ID, Docker 이미지 및 이미지 리포지토리에 대한 정보를 제공합니다. 또한 레이어 정보를 저장하고 검색된 이미지와 연결합니다. |
| 매핑 찾기 sn_vul_container_finding_m2m_vul_item |
컨테이너 이미지 결과와 컨테이너 취약한 항목(CVIT)의 M2M 관계입니다. |
| 취약한 항목 자동 종결 sn_vul_container_image_auto_close_config |
부실 컨테이너 이미지 결과를 종결하고 상태를 CVIT로 롤업하는 방법에 대한 정보를 포함합니다. |
| 컨테이너 이미지 취약성 키 sn_vul_container_image_vulnerability_keys |
컨테이너 이미지 결과에서 CVIT를 생성하기 위한 세분성 구성을 포함합니다. |
| Docker 관련 서비스 sn_vul_container_m2m_ci_services |
컨테이너 이미지와 관련된 모든 비즈니스 서비스를 포함합니다. |
| VR 컨테이너 수 sn_vul_container_vr_container_counts |
지난 90일 동안 컨테이너 이미지에서 분리된 컨테이너 인스턴스의 롤링 평균을 포함합니다. |
| 컨테이너 정정 작업 항목 sn_vul_container_m2m_vul_group_item |
CVIT와 컨테이너 정정 작업 사이의 M2M 테이블입니다. |
| 컨테이너 정정 작업 sn_vul_container_vulnerability |
컨테이너 정정 작업을 포함합니다. |
| 컨테이너 정정 작업 메니페스트 sn_vul_container_rt_manifest |
정정 작업에 대한 모든 업데이트는 예약된 작업별로 이 매니페스트 테이블을 사용하여 수행됩니다. |
Container Vulnerability Response 앱과 함께 설치되는 예약된 작업
Container Vulnerability Response가 활성화되면 예약된 작업이 추가됩니다.
| 예약된 작업 | 설명 |
|---|---|
| 기존 컨테이너 VI를 자동 예외 규칙과 연결 | 자동 예외 규칙을 기존의 컨테이너 취약한 항목(CVIT)과 자동으로 연결합니다. |
| 컨테이너 취약한 항목 연기 만료 확인 | 컨테이너 취약한 항목 또는 컨테이너 취약성이 만료된 경우(그리고 일주일 후에 만료되는 경우) 알림을 보냅니다. |
| Vulnerability Response 컨테이너 수(애플리케이션 - 컨테이너용 Vulnerability Response and Configuration Compliance) | 매일 실행되어 컨테이너의 90일 이동 평균을 계산하는 sn_vul_container_vr_container_counts 테이블을 채웁니다. |
| CVIT 자동 종결 | 자동 종결 구성에 정의된 조건과 일치하는 컨테이너 취약한 항목을 자동으로 종결합니다. 상태가 '고정'으로 변경됩니다. |
| CVIT에 대한 비즈니스 중요도 계산 | 모든 활성 CVIT를 처리하고 CVIT의 Docker 이미지에 대한 영향을 받는 서비스를 기반으로 비즈니스 중요도 필드를 업데이트합니다. |
| 연결된 Docker 이미지가 없는 취소 CVIT 닫기 | 연결된 CI가 없는 CVIT를 자동으로 만료합니다. 해당 상태는 종결됨으로 설정되고 하위 상태는 취소됨으로 설정됩니다. |
| 컨테이너 정정 작업에 대한 관련 VI 카운트 계산 | 컨테이너 정정 작업 기록의 개수를 계산합니다. |
| 취약성 및 그룹에 컨테이너 취약한 항목 값 롤업 | 컨테이너 취약한 항목에 대한 취약성 및 그룹 롤업을 계산합니다. |