취약성 대응(Azure)와의 Microsoft Defender for IoT 통합 지원

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 데이터 매핑 및 오류 처리에 대한 질문은 이 섹션을 참조하십시오.

    데이터 매핑

    다음 표에서는 IoT용 Microsoft Defender(Azure) 애플리케이션의 취약성 탐지 및 NVD(국가 취약성 데이터베이스) 항목에 사용되는 데이터 매핑 필드와 데이터를 ServiceNow CMDB.
    표 1. 취약성 탐지
    IoT용 Microsoft Defender(Azure) 필드 ServiceNow 필드
    해당 사항 없음 소스
    주:
    항상 이 필드를 Microsoft Azure Defender for IoT로 설정합니다.
    이름 detection_key
    해당 사항 없음 상태
    주:
    이 필드는 0으로 설정되어 있으며, 기본적으로 열려 있음을 의미합니다.
    표 2. NVD 항목
    IoT용 Microsoft Defender(Azure) 필드 ServiceNow 필드
    속성/취약성 ID id
    소스
    주:
    이 필드는 기본적으로 NVD 로 설정됩니다.
    속성/description 요약
    속성/score 점수
    properties/exploittype 익스플로잇 존재

    API 데이터가 익스플로잇이 있음을 나타내는 경우 통합은 이 필드를 로 설정합니다.
    properties/exploittype public_exploit

    API 데이터가 익스플로잇이 있음을 나타내는 경우 통합은 이 필드를 로 설정합니다.
    CI(구성 항목) 조회
    CI 조회는 (Azure)의 Microsoft Defender for IoTdeviceid를 사용하여 수행됩니다. 서비스 그래프 커넥터로 채워진 sys_object_source 테이블은 일치하는 deviceid를 검색합니다. 일치하는 항목이 발견되면 탐지 및 취약한 항목이 해당 CI에 연결됩니다.
    주:
    기본적으로 취약성 탐지를 삽입하려면 CI 일치가 필요합니다. 이렇게 하면 에서 분류되지 않은 하드웨어 CI를 최소화할 수 있습니다 CMDB. 이 동작을 변경하려면 sn_msftd4iotazvr.require_ci_matchsystem 속성을 false로 설정할 수 있습니다. 이 속성을 false로 설정하면 일치하는 CI를 찾을 수 없는 경우 분류되지 않은 하드웨어 CI를 생성할 수 있습니다.

    오류 처리

    통합은 대부분 미리 구성되도록 설계되었으므로 Azure 테넌트 ID, 클라이언트 ID 및 클라이언트 암호만 입력하면 됩니다. 애플리케이션의 로그 메시지는 sn_msftd4iotazvr 소스의 시스템 로그에서 볼 수 있습니다. sn_vul 소스에서 추가 관련 로그 메시지가 나타날 수도 있습니다.

    통합 실행이 실패하면 통합 실행의 메모 필드에 오류가 표시됩니다. 상태는 완료 로 설정되며 하위 상태는 실패입니다.

    sn_vul_ds_import_q_entry(임포트 큐) 테이블에는 보류 중인 모든 변환 요청이 포함되어 있습니다. 이 테이블을 필터링하여 처리중인 항목만 표시하고 현재 변환 중인 항목을 볼 수 있습니다.

    다음 표에서는 데이터 검색 및 데이터 처리 중 오류 메시지와 가능한 원인에 대해 설명합니다.

    표 3. 취약성 탐지 통합(데이터 검색)
    오류 메시지 가능한 원인

    지정된 REST 메시지와 REST 메서드 없이 통합을 실행할 수 없음

    		 탐지 통합 작업 기록에서 REST 메시지 또는 REST 메서드 필드가 채워지지 않습니다.

    지정된 IoT용 Microsoft Defender(Azure) oauth_client_id 없이 통합을 실행할 수 없음

    		 통합 인스턴스에서 OAuth 클라이언트 ID 가 채워지지 않습니다.

    지정된 IoT용 Microsoft Defender(Azure) oauth_client_secret 없이 통합을 실행할 수 없음

    		 통합 인스턴스에서 OAuth 클라이언트 암호 가 채워지지 않습니다.

    지정된 탐지 API 자원 경로 없이 통합을 실행할 수 없음

    통합 인스턴스에서 탐지 API 자원 경로가 채워지지 않습니다.

    기본값은 https://management.azure.com/providers/Microsoft.ResourceGraph/resources 입니다 .

    지정된 API 버전과의 통합을 실행할 수 없음

    통합 인스턴스에서 API 버전은 채워지지 않습니다.

    기본값은 2021-03-01입니다.

    IoT용 Microsoft Defender(Azure)에서 잘못된 응답 코드 {response code}을(를) 수신함

    Microsoft API의 응답이 잘못되었습니다.

    예를 들어 IoT용 Microsoft Defender(Azure)에서 받은 잘못된 응답 코드 401은 권한 없음을 의미합니다. 자격 증명 또는 OAuth 토큰이 잘못되었을 수 있습니다.
    JSON 응답 본문을 구문 분석하지 못함 구문 분석할 수 없는 경우 수신된 JSON 응답이 잘못되었습니다. 이는 데이터가 수신되지 않았음을 의미합니다. 자격 증명이 올바르고 다른 오류가 발생하지 않는지 확인합니다.

    첨부 파일 쓰기 오류

    		 시스템에서 응답 데이터를 데이터 소스에 연결할 수 없습니다. 추가 문제 해결을 위해 시스템 관리자에게 문의해야 할 수 있습니다. 이 오류의 일반적인 원인은 MID 서버 또는 다른 사용자 이름으로 실행 사용자에게 sn_vul.vr_import_admin 역할이 없기 때문입니다.

    첨부 파일 컨텐츠가 null임: 첨부 파일 sys_id = {sys_id}

    		 데이터 소스 첨부 파일 컨텐츠가 null입니다. 이는 Microsoft API 자체에 문제가 있거나 .ServiceNow 자세한 문제 해결은 시스템 관리자에게 문의하십시오.

    sys_id {sys_id}이(가) 있는 첨부 파일을 찾을 수 없음

    		 데이터 소스 첨부 파일을 찾을 수 없습니다. 이는 Microsoft API 자체에 문제가 있거나 .ServiceNow 자세한 문제 해결은 시스템 관리자에게 문의하십시오.
    표 4. 취약성 탐지 통합(데이터 처리)
    오류 메시지 가능한 원인

    취약성 ID가 없으면 탐지를 생성할 수 없음

    		 기록에 대한 취약성 ID가 없습니다. 이는 Microsoft API 문제로 인해 발생할 가능성이 높습니다.