Vulnerability Response 외부 공급업체 통합에서 취약한 항목 탐지

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기6분

    • 인스턴스에서 외부 공급업체 스캔으로 수집된 모든 정보를 봅니다 Now Platform® . 검사 결과를 스캐너에서 볼 때 인스턴스의 탐지 및 VI(취약한 항목) 기록에 대해 반환된 검사 결과를 봅니다.

    개요

    이 애플리케이션은 Vulnerability Response 기업 환경에서 취약한 항목 데이터를 검색하는 외부 공급업체 통합을 지원합니다. 탐지에 대한 자세한 데이터, 즉 외부 공급업체 통합의 스캐너에서 보고한 취약성의 고유한 단일 발생을 임포트하여 Now Platform 인스턴스의 탐지 및 취약한 항목 기록 모두에 표시합니다.

    외부 공급업체 통합은 취약한 항목 탐지 데이터를 검색합니다. 탐지는 스캐너에서 보고한 취약성의 고유한 발생입니다. 탐지 데이터는 취약한 항목과 쌍을 이루며 VI 상태는 탐지 상태에 따라 업데이트됩니다. VI를 찾을 수 없으면 새 VI가 생성됩니다. 탐지는 스캐너에서 직접 찾은 데이터에 의해서만 열리거나 닫힙니다.

    이전 버전의 Vulnerability Response에서는 취약한 항목 탐지, 즉 환경의 CI(자산)와 외부 공급업체 스캐너에서 가져온 취약성 간의 관계를 통해 Now Platform 인스턴스에 고유한 취약한 항목을 생성했습니다.

    스캐너에서 제공하는 원본 데이터의 세분성은 유지됩니다. 탐지를 사용하면 탐지 데이터가 취약한 항목과 연결됩니다. 수집 중에 취약한 항목을 찾을 수 없으면 새 VI가 생성됩니다.

    의 버전 21.0 Vulnerability Response부터 기본 시스템에 시스템 속성이 sn_vul.show_last_open_detection 제공됩니다. 기본적으로 이 프로퍼티의 값은 false로 설정되며, 초기 탐지에서 VI로 값을 집계하는 현재 동작은 변경되지 않습니다. 그러나 true로 설정된 경우 VI는 수집 후 마지막으로 열린 감지로 자동 업데이트됩니다. IP 주소, SSL, 포트, 프로토콜, NetBIOS 및 증명과 같은 필드가 VI 탐지를 위해 업데이트됩니다. 필요한 경우 DetectionBase 스크립트를 수정하여 업데이트해야 하는 탐지 필드를 사용자 지정할 수 있습니다.

    마지막 열린 감지의 값을 보려면 VI 양식 보기에서 마지막 열린 감지 탭으로 이동합니다. 작년에 열린 모든 VI를 마지막 열린 탐지 값으로 업데이트하려면 요청 시 예약된 작업을 Update Last Open Detection Value To VITs 실행할 수 있습니다. 이 예약된 작업은 기본 시스템에서도 제공됩니다.

    주:
    검색된 항목의 CI(구성 항목)가 변경되면 해당 업데이트도 탐지에 반영됩니다. 결과적으로, 감지는 한 VI에서 다른 VI로 이동될 수 있습니다. 이 변경과 속성 값 sn_vul.show_last_open_detection 에 따라 탐지 값이 소스 및 대상 VI로 롤업됩니다.

    지원되는 버전 Vulnerability Response

    응용 프로그램 설치 또는 업데이트에 Vulnerability Response 대한 자세한 내용은 을 참조하십시오 Vulnerability Response 설치.

    지원되는 타사 통합

    취약한 항목 탐지를 위해서는 애플리케이션과의 Vulnerability Response 지원되는 외부 공급업체 통합이 필요합니다. 다음 외부 공급업체 통합은 취약한 항목 탐지를 위해 애플리케이션에서 지원됩니다 Vulnerability Response .
    • Qualys 호스트 탐지 통합
    • Rapid7 데이터 웨어하우스:
      • 취약한 항목 통합
      • 취약한 항목 해결 통합
    • Rapid7 취약한 항목 해결 통합(InsightVM)
      • Insight VM 통합
      • 취약한 항목 통합 - API
    • Tenable Vulnerability Integration
    • Microsoft Defender 위협 및 취약성 관리

    이러한 타사 통합은 에서 별도로 구독 ServiceNow Store하여 사용할 수 있습니다. 이러한 통합에 대한 자세한 내용은 권리 획득에 대한 자세한 내용은 및 Security Operations 그리고 ServiceNow Store 를 참조하십시오Vulnerability Response 통합.

    외부 공급업체 스캐너를 가져오도록 구성되었는지 확인하려면 Rapid7 Integration for Security Operations 애플리케이션 설치 및 구성Qualys Vulnerability Integration 설치을 참조하십시오.

    취약한 항목 탐지에 대한 주요 용어

    취약성
    내부 및 외부 소스에서 임포트한 소프트웨어, 운영 체제, 자산의 약점에 대한 데이터입니다. 이 데이터를 임포트하여 CMDB에 나열된 기존 자산(구성 항목, CI)과 비교합니다.
    취약한 항목
    임포트한 취약성이 CMDB의 CI와 일치하면 취약한 항목이 생성되거나 업데이트됩니다.
    탐지
    스캐너에서 보고한 취약성의 고유한 단일 발생을 환경 내 Now Platform 취약한 항목 탐지라고 합니다. 탐지에는 취약성 및 해당 취약성 항목에 대한 보강된 데이터가 포함됩니다. 이 데이터는 검색 레코드(VID#) 및 다음 세부 정보를 포함하는 취약한 항목 목록 보기에 표시됩니다.
    • 첫 발견(데이터)
    • 마지막 발견(날짜)
    • DNS 이름
    • 순 BIOSname
    • IP 주소
    • 포트
    • 프로토콜
    • 증명
    • SSL
    • 발견 시간
    주:
    탐지 테이블에 비즈니스 규칙을 추가하면 수집 성능에 영향을 미칩니다.
    탐지 키
    탐지를 식별하고 취약한 항목에 연결하는 방법을 제공하는 해시된 필드 조합입니다. 탐지 키는 통합과 관련이 있습니다.
    표 1. 탐지 키 구성
    스캐너 취약성 포트 프로토콜 자산 ID 증명 NIC
    Qualys 아니요 해당 사항 없음
    Tenable 아니요 해당 사항 없음
    Rapid7 예(대/소문자 구분 안 함)
    주:
    • 탐지 키가 지정되지 않은 경우 또는 14.0 이전 Vulnerability Response 버전의 경우 탐지 키는 취약성 항목, 포트, 프로토콜, 자산 ID 및 증명의 조합입니다.
    • 의 v19.0 Vulnerability Response부터 기본적으로 활성화되는 새 검색 키 NIC가 추가됩니다 Rapid7 InsightVM. NIC가 없는 기존 탐지는 의 페이로드 Rapid7에 있는 첫 번째 수신 NIC로 업데이트됩니다. NIC를 포함한 탐지에서 탐지 키가 다시 계산되고 다시 채워집니다. 다른 NIC 값으로 유사한 탐지가 표시되는 경우 새 탐지가 만들어집니다. 이 데이터는 취약한 항목 테이블로 롤업되지 않습니다. NIC 값은 sn_vul_detection_key_config 및 sn_vul_detection 테이블의 새 열에 저장됩니다.
    De dup
    데이터가 특정 하드 코딩된 기준을 충족할 때 개별 탐지를 단일 VI로 축소하는 어플리케이션에서 Vulnerability Response 사용하는 프로세스입니다.
    VI 외부 ID
    VI 테이블의 외부 ID 필드에 저장된 값입니다. 이 값은 VI 내의 키 조합으로 구성된 해시로, 어플리케이션 내에서 고유하게 만드는 요소를 나타냅니다. CI와 취약한 항목으로 구성됩니다.

    해결된 취약 항목 다시 열기

    인스턴스에서 Now Platform해결됨으로 설정되었지만 후속 통합 실행에 의해 종결/고정으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.

    하위 상태가 고정 또는 부실 인 종결된 VI는 새 탐지가 생성되고 해당 VI를 새 취약성과 일치시킬 수 있는 경우 다시 열립니다.

    스크립트 포함, DetectionBase메서드_shouldReOpenVI()에 따라 VIT가 이전에 하위 상태 고정, 부실 또는 CI 해제로종결된 경우 VIT가 다시 열리고 탐지가 기존 VIT에 매핑됩니다.

    예를 들어 VIT의 종결 날짜가 감지의 last_found 날짜보다 나중이라고 가정해 보겠습니다. 이러한 VIT 레코드는 닫힌 상태로 유지될 것으로 예상할 수 있습니다. 그러나 이전에 닫힌 VIT가 다시 열린 경우 VIT가 이전 탐지에 의해 닫혔고 이후 검사에서 취약성이 다시 발견되었음을 의미합니다. VIT의 구성 항목에서 동일한 취약성을 가진 종결된 VIT와 일치하는 새 탐지가 발견되면 VIT가 다시 열립니다.

    탐지의 경우 Rapid7 , 이제 인스턴스의 Rapid7 구성 페이지에서 기간별로 확인된 VI를 다시 여는 옵션을 사용할 수 있습니다. 활성화된 경우, 해결 됨으로 설정되었지만 후속 스캔에서 종결/고정 으로 전환되지 않은 VI는 입력한 일 수 후에 다시 오픈 으로 전환됩니다.

    탐지의 경우 Qualys , 스캐너가 해결 됨으로 설정되었지만 후속 스캔에서 종결/고정 으로 전환되지 않은 VI를 계속 찾는 경우, 마지막으로 발견된 날짜가 해결됨 날짜보다 나중일 때 이러한 VI는 다시 열림 으로 이동합니다.

    탐지 데이터 보기

    VI 기록의 취약한 항목 탐지에서 임포트한 데이터를 봅니다. 자세한 내용은 취약한 항목 탐지 데이터 보기 Vulnerability Response통합 실행(VINTRUN) 기록에서 취약한 항목 탐지 데이터 검증 Vulnerability Response 문서를 참조하십시오.