취약한 항목 탐지 데이터 보기 Vulnerability Response

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 외부 Vulnerability Response 공급업체 스캐너 통합에서 수집한 전체 데이터는 취약한 항목 기록(VIT)의 탐지 및 초기 탐지 탭에 표시됩니다. 또한 인스턴스의 취약한 항목 탐지 목록에 있는 탐지 기록에도 Now Platform® 표시됩니다.

    시작하기 전에

    외부 공급업체 통합은 취약한 항목 탐지 데이터를 검색합니다. 탐지는 스캐너에서 보고한 취약성의 고유한 발생입니다. 탐지 데이터는 취약한 항목과 쌍을 이루며 VI 상태는 탐지 상태에 따라 업데이트됩니다. VI를 찾을 수 없으면 새 VI가 생성됩니다. 탐지는 스캐너에서 직접 찾은 데이터에 의해서만 열리거나 닫힙니다.

    필요한 역할:

    sn_vuln.admin이 통합 실행을 시작하고 취약한 항목 탐지 데이터를 확인합니다.

    sn_vul.remediation_owner에는 취약한 항목 탐지에서 생성된 취약한 항목이 할당되고 VI 기록에 대한 데이터가 조회됩니다.

    프로시저

    1. 취약한 항목 탐지 데이터를 보려면 취약한 항목 기록으로 이동하여 엽니다.
      기록은 Initial Detections(초기 탐지) 및 Detections(탐지) 탭과 함께 표시됩니다.
      주:
      이전에 Configuration Details(컨피그레이션 세부 정보) 탭에 표시된 데이터는 Initial Detection(초기 탐지) 및 Detections(탐지) 탭에 다른 탐지 데이터와 함께 표시됩니다.
      초기 탐지 및 탐지 탭이 VI 기록에서 강조 표시됩니다.
    2. 탐지 탭을 클릭합니다.

      외부 공급업체 검사 결과에서 취약한 항목이 생성되면 다음 그림과 같이 검사 데이터가 탐지 기록에 표시됩니다.

      탐지 탭
      취약한 항목 탐지 섹션의 각 행은 고유한 탐지의 데이터를 나타냅니다. First found(첫 발견) 열에는 스캐너가 취약한 항목을 처음 탐지한 날짜가 표시됩니다. Last found(마지막 발견) 열에는 가장 최근 탐지 날짜가 표시됩니다. 소스 필드에는 데이터를 검색한 스캐너가 표시됩니다.
      주:
      취약한 항목 탐지가 있는 경우 Qualys, 다음 필드는 VI 기록에서 더 이상 사용되지 않으며 더 이상 채워지지 않습니다.
      • Qualys 심각도
      • 소스에서 마지막으로 업데이트한 날짜

      또한 앞의 그림에서 볼 수 있듯이 의 경우 Qualys스캔에서 VI가 생성되면 결과에 대한 스캔 값이 감지 레코드의 증명 열에 표시됩니다. 그러나 이 값은 VI 기록의 상단 부분에 표시되지 않습니다.

      Rapid7의 경우 스캔에서 VI가 생성되면 스캔의 증명 값이 탐지 레코드의 증명 열과 VI 레코드의 상단 부분에 모두 표시될 수 있지만 기본적으로 표시되지는 않습니다. VI 레코드의 상단 부분에 이 값을 표시하려면 양식 레이아웃에서 증명 필드를 선택합니다.

    3. 옵션: 기록에서 탐지 탭의 레이아웃을 구성하려면 다음 단계를 수행합니다.
      1. 기본적으로 탐지 탭에는 다음 열이 표시됩니다.
        • 상태
        • 첫 발견(데이터)
        • 마지막 발견(날짜)
        • DNS 이름
        • 순 BIOSname
        • IP 주소
        • 발견 시간
        • 포트
        • 프로토콜
        • 증명
        • SSL
        주:

        참고: 열에 값이 없으면 스캐너에서 해당 필드의 데이터를 감지하지 못한 것입니다.

      2. 기어 아이콘( 기어 아이콘)을 클릭하여 뷰를 개인화합니다.
      3. 슬러시버킷에서 열을 선택하여 특정 데이터를 표시하고 확인을 클릭합니다.
    4. 탐지 탭을 선택한 상태에서 상태 열에서 항목을 클릭하여 탐지 기록을 열고 솔루션 요약을 포함하여 해당 취약한 항목과 관련된 세부 정보를 봅니다(Rapid7 InsightVM 통합만 해당).
      그림 1. Qualys 탐지 기록
      탐지 기록
      그림 2. Rapid7 탐지 기록
      솔루션을 사용한 Rapid7 탐지 기록
    5. 기록으로 돌아가 초기 탐지 탭을 선택합니다.

      Initial Detections(초기 탐지) 탭에는 처음 탐지될 때 외부 공급업체 스캐너에서 임포트한 데이터가 표시됩니다. 초기 탐지 탭의 이 정보는 탐지 데이터가 업데이트될 때 변경되지 않습니다.

      초기 탐지 탭
    6. 옵션: 취약한 항목 탐지로 이동하여 취약한 항목 탐지 목록을 봅니다.

      취약한 항목 탐지 목록이 표시됩니다. 취약한 항목 탐지 목록의 각 행은 고유한 탐지를 나타냅니다. 열에는 VI 레코드와 동일한 데이터가 표시됩니다.

      탐지 목록

      탐지는 스캐너에서 찾은 데이터에 의해서만 열리거나 닫히며 VI에서 롤다운되지 않습니다. 탐지를 가져올 때 VI를 생성하고 VI의 상태를 업데이트하는 데 사용됩니다. 취약한 항목에 대한 모든 탐지가 종결되면 해당 취약한 항목도 종결됩니다. VI 기록에서 상태는 종결됨이고 하위 상태는 고정됨입니다.

      주:
      오류는 다음과 같은 기간 동안 기록됩니다.
      • 스캐너에서 검색된 첨부 파일을 처리하는 중입니다.
      • 탐지 또는 취약한 항목을 생성하거나 업데이트합니다.
      감지 오류 처리에 대한 자세한 내용은 을 참조하십시오 탐지에 대한 오류 처리.

      정정 작업에 대한 모든 VI가 닫히면 정정 작업이 닫힙니다.

      하위 상태가 고정 또는 부실 인 종결된 VI는 새 탐지가 생성되고 해당 VI를 새 취약성과 일치시킬 수 있는 경우 다시 열립니다.

      인스턴스에서 해결 됨으로 설정되었지만 후속 통합 실행에 의해 종결/고정 으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.

      정정 작업을 위해 모든 VI가 닫히면 기록이 닫힙니다.

      인스턴스에서 취약한 항목이 "해결됨"으로 설정되었지만 후속 통합 실행에서 "종결/고정됨"으로 전환되지 않은 항목은 재스캔 중에 탐지되면 다시 열립니다.

      탐지의 경우 Rapid7 , 이제 인스턴스의 Rapid7 구성 페이지에서 기간별로 확인된 VI를 다시 여는 옵션을 사용할 수 있습니다. 활성화된 경우, 해결 됨으로 설정되었지만 후속 스캔에서 종결/고정 으로 전환되지 않은 VI는 입력한 일 수 후에 다시 오픈 으로 전환됩니다.

      탐지의 경우 Qualys , 스캐너가 '해결됨'으로 설정되었지만 후속 스캔에서 종결/고정 으로 전환되지 않은 VI를 계속 찾으면 마지막으로 발견된 날짜가 해결됨 날짜보다 나중일 때 이러한 VI는 다시 열 림으로 이동합니다.

    다음에 수행할 작업

    항목 및 탐지 횟수를 포함한 더 많은 데이터를 보려면 을 클릭하십시오 통합 실행(VINTRUN) 기록에서 취약한 항목 탐지 데이터 검증 Vulnerability Response.