에서 부실 탐지 종결 Vulnerability Response
부실 탐지 자동 종결 모듈은 외부 공급업체 통합에서 최근에 발견하지 못한 오래되고 부실한 취약한 탐지를 자동으로 정리하는 데 도움이 됩니다. 이러한 탐지를 종결로 이동하면 인스턴스의 Now Platform 활성 취약한 항목 및 정정 작업 수가 줄어들고 CMDB의 자산을 조정하는 데 도움이 됩니다.
개요 및 주요 용어
탐지 데이터를 취약한 항목에 보다 정확하게 롤업하기 위해 부실 탐지 자동 종결 모듈을 사용하면 외부 공급업체 통합에서 최근에 발견하지 못한 오래된 부실 취약한 항목 탐지를 정리할 수 있습니다. 이 기능에 대한 자세한 내용은 아래 사용 사례 및 부실 검색 자동 종결 [KB 0958638] 문서를 참조하세요.
이전 버전의 Vulnerability Response에서 취약한 항목 자동 종결 모듈은 외부 공급업체 스캐너 통합에서 최근에 발견하거나 업데이트하지 않은 취약한 항목을 자동으로 종결됨 - 부실 상태로 전환했습니다.
부실 탐지 자동 종결 기능을 활성화하기 전에 다음 용어, 상태가 취약한 항목 및 정정 작업으로 롤업되는 방식, 탐지 데이터를 가져오는 타사 통합의 전제 조건을 검토합니다.
이 기능을 활성화하려면 을 참조하십시오 에서 부실 탐지 자동 종결 Vulnerability Response.
주요 용어
- 부실 탐지
- 오래된 인스턴스의 Now Platform® 취약한 항목과 연관되어 있으며 상당 기간 동안 외부 공급업체 통합 검사에서 발견, 업데이트 또는 탐지되지 않은 탐지를 나타냅니다.
- 마지막으로 발견된 탐지
- 이 검색 옵션은 외부 공급업체 스캐너에서 제공하는 날짜와 시간을 사용합니다. 이 용어는 스캐너에서 탐지를 다시 발견한 가장 최근 날짜 또는 가장 최근 날짜 및 시간을 나타냅니다.
- 마지막으로 스캔한 자산
- 이 검색 옵션은 외부 공급업체 스캐너에서 제공하는 날짜와 시간을 사용합니다. 이 용어는 외부 공급업체 스캐너에서 자산을 마지막으로 스캔한 가장 최근 날짜와 시간을 나타냅니다.
사용 사례
경우에 따라 자산(구성 항목)이 사용자 환경에서 서비스 해제되거나 타사 스캐너에 의해 제거될 수 있으며, 관련 탐지는 취약한 항목 탐지에 의해 업데이트되지 않습니다. 따라서 탐지 및 관련 취약한 항목이 애플리케이션에서 Vulnerability Response 업데이트되지 않고 비활성 상태(부실)가 됩니다.
취약한 항목 데이터가 변경되지 않은 오래된 탐지를 종결하고 활성 VI 및 정정 작업(RT) 수를 줄이려면 부실 탐지 자동 종결을 활성화하십시오. 이 기능은 검색 기준과 설정한 기간(일수)에 따라 외부 공급업체 스캐너 통합에서 최근에 찾거나 업데이트하지 않은 취약한 항목 탐지를 자동으로 종결합니다.
예를 들어, 특정 구성 항목(CI)에 여러 자산 ID가 있고, 지난 90일 동안 외부 공급업체 스캐너의 탐지 시 이 ID 중 하나를 임포트하지 않았다고 가정합니다. 이 기능은 새로운 취약성 데이터가 없는 탐지를 자동으로 종결하여 연결된 VI를 종결할 수 있도록 합니다.
VI에는 하나 이상의 감지가 연관되어 있을 수 있으므로 이 기능은 설정한 파라미터에 의해 오래된 것으로 결정된 감지만 전환합니다. 예를 들어, VI에 4개의 탐지가 연결되어 있고 2개의 탐지가 부실한 경우, 즉 지난 90일 동안 새로운 취약성 데이터가 임포트되지 않은 경우 이 기능은 부실 탐지만 종결합니다. VI를 종결하기 전에 먼저 다른 두 개의 미결 탐지를 정정해야 합니다.
VI로 탐지 상태 롤업
자동 종결된 탐지와 외부 공급업체 스캐너에 의해 종결된 탐지를 구분하기 위해 상태 필드의 새 값인 부실이 추가되었습니다. 이 필드에 사용할 수 있는 가능한 값은 Open, Closed 및 Stale입니다. 부실은 자동 종결 탐지 기능으로 탐지가 종결되었음을 나타냅니다.
상태 우선순위: 오픈 > 종결 > 부실.
- 탐지가 오픈인 경우 연결된 VI 상태는 오픈으로 유지됩니다.
- 오픈 탐지가 없고 일부는 종결, 일부는 부실 상태인 경우 관련 VI 상태가 종결 - 고정으로 전환됩니다.
- 모든 탐지가 부실한 경우 관련 VI 상태가 종결 - 부실로 전환됩니다.
20.0으로 Vulnerability Response 말하면 탐지가 종결 - 부실 상태이고 관련 VI가 종결 상태인 경우 VI의 상태는 종결 - 부실로 전환되지 않습니다. 이는 새로운 탐지가 식별될 때 VI가 다시 열리지 않도록 하여 전체를 거치지 않도록 하기 위한 것입니다. 이 동작을 되돌리려면 자동 종결 구성 양식에서 종결된 VI에 대한 부실 탐지 무시 확인란의 선택을 취소하십시오. 자세한 내용은 에서 부실 탐지 자동 종결 Vulnerability Response 문서를 참조하십시오.
- 탐지가 부실이고 관련 VI가 종결 상태인 경우 VI의 상태는 종결 - 부실로 전환되지 않습니다. 이는 새로운 탐지가 식별될 때 VI가 다시 열리지 않도록 하여 전체 가양성 요청 및 승인 프로세스를 거치지 않도록 하기 위한 것입니다. 이 동작을 되돌리려면 자동 종결 구성 양식에서 종결된 VI에 대한 부실 탐지 무시 확인란의 선택을 취소하십시오. 자세한 내용은 에서 부실 탐지 자동 종결 Vulnerability Response 문서를 참조하십시오.
정정 작업(VUL)으로 VI 상태 롤업
상태 우선순위: 오픈 > 종결 - 고정 > 종결 - 부실.
- VUL(정정 작업)의 VI가 오픈이면 VUL 상태가 변경되지 않습니다.
- 하나 이상의 VI가 종결 - 고정이고 나머지는 종결 - 부실 상태인 경우 VUL 상태가 종결 - 고정으로 전환됩니다.
- VUL의 모든 VI가 종결 - 부실인 경우 VUL 상태가 종결 - 취소됨으로 전환됩니다.
자동 종결 탐지 및 타사 통합 요구 사항
Microsoft TVM 사용자 및 부실 탐지 자동 종결
| 검사 목록 항목 | 설명 |
|---|---|
| Microsoft TVM 취약성 통합 | Microsoft TVM 취약성 통합을 사용하는 경우 검색의 기반으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 Microsoft TVM 컴퓨터 취약성 통합(전체 임포트)을 성공적으로 실행해야 합니다. 이 통합은 매주 실행됩니다. 마지막으로 발견된 탐지에 대해 부실 탐지 자동 종결을 사용하도록 설정하고 구성한 경우 Microsoft TVM 머신 취약성 통합을 사용하지 않도록 설정하거나 데이터 가져오기가 지난 7일 이내에 성공적으로 완료되지 않은 경우 탐지를 종결하는 예약된 작업이 계속 매일 실행되지만 일부 부실 탐지는 예상대로 종결되지 않을 수 있습니다. 검색을 기반으로 마지막으로 검사한 자산을 선택하는 경우 Microsoft TVM 머신 취약성 통합 실행이 필요하지 않습니다. 이 통합을 활성화하려면 다음을 수행합니다.
|
| (선택 사항) 환경에 Microsoft TVM 통합의 여러 인스턴스를 배포합니다. | 선택적으로 환경 전체에 통합의 여러 인스턴스를 배포할 수 있습니다. 부실 탐지 자동 종결은 인스턴스별로 지정되지 않으며 환경 전체에서 사용하거나 사용하지 않도록 설정할 수 있습니다. 부실 탐지는 통합 실행이 성공적으로 완료된 인스턴스에서 부실로 자동 전환됩니다. 부실 탐지 자동 종결이 활성화되어 있고 인스턴스에서 매주 실행되는 통합을 사용하지 않도록 설정하면 탐지를 종결하기 위한 예약된 작업이 매일 실행되지만 일부 탐지는 예상대로 부실 탐지로 자동 전환되지 않을 수 있습니다. |
Qualys 사용자 및 부실 취약 항목 자동 종결
- 탐지 데이터를 검색하는 활성화 Qualys 된 외부 공급업체 통합은 이 모듈로 실행할 수 있습니다. 특정 Qualys 응용 프로그램이 필요하지 않습니다.
- 선택적으로 환경 전체에 통합의 Qualys 여러 인스턴스를 배포할 수 있습니다.
- 부실 탐지 자동 종결은 인스턴스별로 지정되지 않으며 환경 전체에서 사용하거나 사용하지 않도록 설정할 수 있습니다. 부실 탐지는 모든 인스턴스에서 자동으로 부실로 전환됩니다.
Rapid7 사용자 및 상태 탐지 자동 종결
| 검사 목록 항목 | 설명 |
|---|---|
| Rapid7 취약성 통합 | 검색의 기반으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 포괄적인 취약한 항목 통합 중 Rapid7 하나를 성공적으로 실행해야 합니다. 이러한 포괄적인 통합은 매주 실행됩니다.
부실 탐지 자동 종결이 활성화되고 마지막으로 발견된 탐지에 대해 구성된 경우 포괄적인 취약한 항목 통합이 Rapid7 비활성화되었거나 데이터 임포트가 지난 7일 이내에 성공적으로 완료되지 않은 경우 탐지를 종결하기 위한 예약된 작업이 계속 매일 실행되지만 일부 부실 탐지는 예상대로 종결되지 않을 수 있습니다. 검색을 기반으로 마지막으로 스캔한 자산을 선택하는 경우 포괄적인 Rapid7 통합 실행이 필요하지 않습니다. 이러한 통합을 활성화하려면 다음을 수행합니다.
주: 매주 Rapid7 NexposeRapid7 InsightVM 실행되는 이러한 통합 외에도 각각 매일 실행되는 VI 통합, Rapid7 취약한 항목 통합 및 Rapid7 취약한 항목 통합 - API가 있습니다. 매일 및 매주 Rapid7 통합이 모두 활성화된 경우 한 번에 하나의 통합만 실행됩니다. 이러한 통합 작업 중 하나가 실행 중이면 예약된 다음 작업이 실행될 때까지 다른 통합 작업을 건너뜁니다. |
| (선택 사항) 환경에 통합의 Rapid7 여러 인스턴스를 배포합니다. | 선택적으로 환경 전체에 포괄적인 통합의 여러 인스턴스를 배포할 수 있습니다. 부실 탐지 자동 종결은 인스턴스별로 지정되지 않으며 환경 전체에서 사용하거나 사용하지 않도록 설정할 수 있습니다. 부실 탐지는 통합 실행이 성공적으로 완료된 인스턴스에서 부실로 자동 전환됩니다. 부실 탐지 자동 종결이 활성화되어 있고 인스턴스에서 매주 실행되는 통합을 비활성화하면 탐지를 종결하기 위한 예약된 작업이 여전히 매일 실행되지만 일부 탐지는 예상대로 부실 탐지로 자동 전환되지 않을 수 있습니다. |
Tenable Vulnerability Integration 사용자 및 부실 취약 항목 자동 종결
- 탐지 데이터를 검색하는 Tenable Vulnerability Integration의 활성화된 통합은 이 모듈로 실행할 수 있습니다. 특정 Tenable 취약성 통합이 필요하지 않습니다.
- 선택적으로 환경 전체에 Tenable Vulnerability Integration의 여러 인스턴스를 배포할 수 있습니다.
- 부실 탐지 자동 종결은 인스턴스별로 지정되지 않으며 환경 전체에서 사용하거나 사용하지 않도록 설정할 수 있습니다. 부실 탐지는 모든 인스턴스에서 자동으로 부실 로 전환됩니다.
통합이 제대로 구성되었는지 확인한 후 을 참조 에서 부실 탐지 자동 종결 Vulnerability Response 하여 기능을 활성화하십시오.
부실 취약 항목 자동 종결에서 부실 탐지 자동 종결로 정보 업그레이드
- 부실 취약한 항목 자동 종결에서 마지막으로 스캔한 자산 옵션에 대해 입력한 일 수 값은 부실 탐지 자동 종결에서 마지막으로 스캔한 자산 에 대해 자동으로 보존됩니다.
- 부실 취약한 항목 자동 종결에서 마지막으로 발견된 취약한 항목 옵션에 입력한 일 수 값은 부실 탐지 자동 종결에서 마지막으로 발견된 탐지 에 대해 자동으로 보존됩니다.
- 취약한 항목이 종결됨 - 부실인 기존 미해결 탐지는 업그레이드 후 예약된 Auto-Close Stale Detections 작업이 실행될 때 자동 종결 종결 구성 설정에 따라 부실로 전환됩니다.
롤업 정보
- 취약한 항목이 업그레이드 전에 종결 - 부실이었고 업그레이드 후 모든 탐지가 부실로 표시된 경우 VI 상태는 종결 - 부실로 유지됩니다.
- 취약한 항목이 업그레이드 전에 종결 - 부실이었고 업그레이드 후 탐지 중 일부만 부실로 표시되고 나머지는 스캐너에 의해 종결된 경우 취약한 항목은 롤업 논리에 따라 종결 - 수정으로 전환됩니다.