Rapid7 Vulnerability Integration 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기9분

    • Rapid7 Vulnerability Integration 응용 프로그램을 설치하고 활성화한 Now Platform®후 구성합니다.

    시작하기 전에

    필요한 역할: 관리자 [admin]가 앱을 다운로드하여 설치합니다. sn_vul.vulnerability_admin 또는 sn_vul.admin이 구성을 감독하고 예상 결과를 확인합니다.

    프로시저

    1. 애플리케이션이 활성화(설치)된 후 Rapid7 Vulnerability Integration > 관리 > 구성레이블이 표시됩니다.
    2. 목록에서 통합 유형을 선택합니다.
      그림 1. 통합 유형 목록
      통합 유형 드롭다운 메뉴.
    3. 통합 인스턴스를 선택합니다.
      기본적으로 기본 Rapid7 InsightVM 통합 인스턴스가 선택됩니다. 원하는 통합 유형인 경우 다음 단계를 수행합니다. 데이터 웨어하우스 통합 유형을 구성 Rapid7 하려면 4단계로 진행합니다.
      1. 표시되는 양식에서 통합 설정 탭을 선택하고 필드에 내용을 입력합니다.
        표 1. InsightVM 통합 유형에 대한 통합 설정 탭
        필드 설명
        InsightVM 지역 사이트에서 가져온 서버 URL입니다 Rapid7 .
        API 키 Insight 계정에서 획득 Rapid7 한 API 키입니다.
        확인 상태 읽기 전용: 자격 증명 확인 프로세스의 상태입니다.
      2. 자격 증명 테스트를 클릭하여 구성이 성공적으로 완료되었는지 확인합니다.
        구성 중에 오류 메시지가 표시되면 데이터를 다시 입력합니다.
      3. 테스트가 성공적으로 완료되면 저장을 클릭합니다.
      4. 구성 임포트 탭을 클릭합니다.

        표시되는 양식의 필드에 내용을 입력합니다.

        표 2. InsightVM의 임포트 구성 탭
        필드 설명
        최소 CVSS 점수 임포트 중에 취약한 항목을 필터링하는 데 사용되는 최소 취약한 항목 CVSS 점수입니다.
        최대 CVSS 점수 임포트 중에 취약한 항목을 필터링하는 데 사용되는 최대 취약한 항목 CVSS 점수입니다.
        사이트 필터

        사이트 목록에서 선택한 사이트로 Rapid7 InsightVM 데이터를 제한합니다. 사이트별 Rapid7 필터링 문서를 참조하십시오. 두 개 이상의 사이트를 선택할 수 있습니다. 기본값(비어 있음)은 모든 사이트를 가져옵니다. 사이트 목록을 미리 채우려면 이 필드를 설정하기 전에 Rapid7 사이트 통합 — API를 실행합니다.

        사이트 필터링 사용에 대한 자세한 내용은 을 참조하십시오 사이트별 Rapid7 필터링.
        CVE 항목 자동 작성 CVE 항목을 생성하는 시스템 속성은 기본적으로 활성(true)입니다. CVE 자리 표시자는 CVE ID가 없는 경우 Rapid7 지식 수집 시 자동으로 생성됩니다.

        이 기능을 비활성화하려면 시스템 속성 목록에서 [sn_vul_r7.create_cve_for_vulnerabilities] 속성을 비활성화합니다.
        기간별로 해결된 다시 열기 이 옵션을 선택하면 취약한 항목이 해결되었지만 종결되지 않은 날짜 수가 다음 이후 해결된 다시 열기 필드에 표시되는 값과 일치할 때 취약한 항목이 자동으로 다시 열립니다.
      5. 저장을 클릭합니다.

        통합 유형을 여러 개 배치하는 Rapid7 InsightVM 경우:

      6. 통합 인스턴스 필드에서 조회 목록 검색 아이콘을 열고 기존 통합 인스턴스를 선택하거나 팝업 메뉴에서 새로 만들기를 클릭합니다.
      7. New(새로 만들기)에서 통합 인스턴스의 Name(이름)을 입력하고 Submit(제출)을 클릭합니다.
        통합 유형이 구성 양식에 Rapid7 나타납니다.
        주:
        기본값을 제외한 모든 통합 인스턴스를 삭제할 수 있습니다. 인스턴스를 삭제하면 다음이 삭제됩니다(VI 제외).
        • 통합
        • 인스턴스 매개변수
        • 통합 실행
        • 통합 프로세스
        • VI의 인스턴스 열이 비어 있음으로 표시됨
      8. 자격 증명 테스트를 클릭하여 구성이 성공적으로 완료되었는지 확인합니다.
      9. 테스트가 성공적으로 완료되면 저장을 클릭합니다.
    4. 통합 유형 필드에서 목록을 확장하고 데이터 웨어하우스를 클릭합니다.
      1. 통합 설정 탭을 선택합니다.

        표시되는 양식의 필드에 내용을 입력합니다.

        표 3. 데이터 웨어하우스에 대한 통합 설정 탭 통합 유형
        필드 설명
        JDBC 자격 증명 이름 데이터 웨어하우스 자격 증명의 이름입니다.
        사용자 이름 Rapid7 데이터 웨어하우스 사용자 이름입니다.
        암호 Rapid7 데이터 웨어하우스 암호입니다.
        확인 상태 읽기 전용: 자격 증명 확인 프로세스의 상태입니다.
        확인 상세 정보 읽기 전용: 데이터 웨어하우스 전용입니다. 자격 증명 테스트를 한 번 이상 클릭한 후 유효성 검사에 대한 추가 정보를 표시합니다. 이는 설정을 디버깅하는 데 유용할 수 있습니다(예: MID Server가 잘못 구성되었거나 자격 증명이 잘못되었는지 확인).
        데이터베이스 서버 DNS/IP 데이터 웨어하우스의 DNS 또는 IP 주소입니다.
        데이터베이스 포트 데이터 웨어하우스 통합에 사용할 포트입니다.
        데이터베이스 이름 데이터 웨어하우스의 이름입니다.
        데이터 지연 오프셋(일) 데이터 지연 오프셋은 스캐너의 실시간 데이터와 Rapid7 Nexpose 데이터 웨어하우스의 데이터 간의 지연을 계수합니다.
        MID Server 사용할 MID 서버입니다. 독립 실행형 MID Server만 지원됩니다. 클러스터된 MID Server는 지원되지 않습니다.
        MID 서버 시간 제한(분) 통합 실행 시간이 초과되기 전에 MID 서버의 응답을 기다리는 시간(분)입니다.
      2. 자격 증명 테스트를 클릭하여 구성이 성공적으로 완료되었는지 확인합니다.
      3. 테스트가 성공적으로 완료되면 저장을 클릭합니다.
      4. 구성 임포트 탭을 클릭합니다.

        표시되는 양식의 필드에 내용을 입력합니다.

        표 4. 데이터 웨어하우스의 임포트 구성 탭
        필드 설명
        v12.0 이전: CVE 항목 생성 확인란 이 확인란을 선택하면 아직 존재하지 않는 CVE의 자리 표시자가 NVD 기록으로 생성되고 Rapid7에 대한 외부 공급업체 항목에서 참조됩니다. 선택하지 않으면 이러한 CVE가 무시됩니다.
        최소 CVSS 점수 임포트 중에 취약한 항목을 필터링하는 데 사용되는 최소 취약한 항목 CVSS 점수입니다.
        최대 CVSS 점수 임포트 중에 취약한 항목을 필터링하는 데 사용되는 최대 취약한 항목 CVSS 점수입니다.
        사이트 필터 임포트한 사이트 통합 데이터를 선택한 사이트로 제한합니다. 둘 이상을 선택할 수 있습니다.
        주:
        기본 설정은 모든 사이트에서 데이터를 가져오는 것이므로 모든 사이트를 원하는 경우 필터를 사용할 필요가 없습니다. 이렇게 하면 요청 속도가 느려집니다.
        기간별로 해결된 다시 열기 이 옵션을 선택하면 취약한 항목이 해결되었지만 종결되지 않은 날짜 수가 다음 이후 해결된 다시 열기 필드에 표시되는 값과 일치할 때 취약한 항목이 자동으로 다시 열립니다.
    5. 저장을 클릭합니다.
    6. 옵션: 취약성 통합 - API 및 Rapid7 취약한 항목 통합 - API 통합 기록에서 시작 날짜를 Rapid7 설정하여 스캔에서 Rapid7 초기 임포트 중에 기록 데이터를 검색하려면 다음 단계를 수행하십시오.
      이 데이터를 사용하여 다음을 수행할 수 있습니다 에서 부실 탐지 종결 Vulnerability Response.
      1. 다음으로 이동 Rapid7 Vulnerability Integration > 관리 > 통합레이블이 표시됩니다.
        Rapid7 통합 목록이 표시됩니다.
      2. 통합 기록 중 하나를 클릭하여 엽니다.

        양식의 위쪽에 있는 여기 링크를 클릭하여 기록을 편집합니다.

        Vulnerability Integration - API 및 Rapid7 Vulnerable Item Integration - API를 제외한 Rapid7 통합의 임포트 날짜 필드 Rapid7 는 기본적으로 비어 있습니다. 이러한 통합의 경우 이러한 필드는 1998-12-31 또는 1999-01-01로 설정됩니다.

        스캔에서 처음 임포트하는 Rapid7 동안 기록 데이터를 검색하려면 적절한 통합 기록에서 시작 날짜를 설정합니다. 이 프로세스는 다음과 같은 예외를 제외하고 모든 Rapid7 통합에 적용됩니다.
        • 익스플로잇 및 멀웨어 키트 통합은 Rapid7 델타 업데이트를 수행하지 않아 해당 필드를 사용하지 않기 때문에 다음 이후 임포트 필드를 표시하지 않습니다.
        • 자산 목록 통합은 Rapid7 모든 데이터를 검색하기 위한 것이므로 필드를 무시합니다.
        • 부실 취약 항목 자동 종결 모듈이 활성화되고 다음 이후 임포트 필드가 비어 있는 경우, 포괄적인 취약 항목 통합 - API의 Rapid7 InsightVM 초기 실행에 사용됩니다.

          자동 종결 기능을 활성화하면 Rapid7 Comprehensive Vulnerable Item Integration 또는 Rapid7 Comprehensive Vulnerable Item Integration - API에서 성공적으로 실행해야 합니다. 이러한 통합은 기본적으로 비활성화되어 있습니다.

          포괄적인 취약한 항목 통합 – API를 Rapid7 InsightVM 활성화할 때 통합 구성 페이지의 다음 이후 임포트 필드를 비워 두면 부실 취약한 항목 자동 종결 양식의 일 전 필드 값이 첫 번째 통합 실행의 임포트 날짜 에도 사용됩니다. 부실 취약한 항목 자동 종결의 기본값은 (90일)입니다.

          예를 들어 부실 취약한 항목 자동 종결 양식의 일 전 필드가 90이고 Rapid7 포괄적인 취약한 항목 통합 - API 구성 페이지의 다음 이후 임포트 필드가 비어 있는 경우 첫 번째 통합 실행 시 지난 90일 동안의 데이터를 임포트합니다.

          다음 이후 필드일 전 필드 간의 이 관계는 첫 번째 통합 실행에만 적용됩니다. 이후에는 부실 취약한 항목 자동 종결 양식에서 일 전 필드를 변경해도 Rapid7 Comprehensive Vulnerable Item Integration - API 구성 페이지의 다음 이후 임포트 필드에 영향을 주지 않습니다. 필드가 첫 번째 실행의 시작 시간으로 변경되어 후속 통합 실행에서 델타 정보만 임포트합니다

          다음 이후 임포트 필드를 편집할 수 있으며 각 통합에 대해 원하는 값을 입력할 수 있습니다.

    7. 다음으로 이동 모두 > sn_sec_int_impl.목록 > Rapid7 InsightVM레이블이 표시됩니다.
      1. import_startime_buffer_comprehensive 통합 인스턴스 매개변수는 Rapid7 Comprehensive Vulnerable Item Integration - API 통합 실행 중에 이 버퍼 시간에서 스캔된 자산을 가져오도록 다음 이후 임포트 필드에 지정된 시간보다 24시간 전의 버퍼 시간을 설정합니다.
        요구 사항에 따라 이 버퍼 시간을 수정할 수 있습니다.
      2. 옵션: Rapid7 Comprehensive Vulnerable Item Integration - API를 통해 Rapid7 API를 통해 스캔 및 검색되는 자산에 대해 더 이상 Rapid7 API를 통해 들어오지 않는 부실 탐지를 종결하려면 close_stale_detections 매개변수를 으로 설정합니다.

      에 대한 설정, 설치 및 구성 단계를 성공적으로 완료했습니다 Rapid7 Vulnerability Integration. 이제 임포트한 데이터를 검토하고 확인할 준비가 되었습니다.

    다음에 수행할 작업

    Rapid7Qualys 스캐너는 애플리케이션에서 기본적으로 비활성화되어 Vulnerability Response 있습니다. 이러한 애플리케이션을 원본으로 하는 취약한 항목 또는 정정 작업에서 다시 검색을 수행하려고 하면 다시 검색 버튼을 사용할 수 없습니다.

    이러한 스캐너를 활성화하려면 sn_vul.vulnerability_admin 역할을 가진 사용자로 다음을 수행합니다.

    1. 다음으로 이동 모두 > Vulnerability Response > 취약성 스캐닝 > 스캐너레이블이 표시됩니다.
    2. 활성화할 스캐너 제품을 찾아 기록을 클릭하여 엽니다.
    3. 활성화 확인란을 선택합니다.
    4. 업데이트를 클릭합니다.

      활성화한 제품은 다음 임포트 후 취약한 항목 및 정정 작업 기록의 소스 필드에 표시되고 UI 작업으로 다시 스캔 을 사용할 수 있습니다.

    환경에 도메인 분리 가져오기가 필요한 경우 을 참조하십시오 통합을 위해 도메인 분리된 임포트 생성.

    가져오기 전에 조회 규칙을 만들거나 구체화하려면 을 참조하십시오 Vulnerability Response CI 조회 규칙 생성.