고급 Qualys 구성 및 수정

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기21분

    • 고급 선택적 수정을 구성하고 Qualys 통합을 위해 특별히 일부 데이터를 간소화합니다. 이러한 수정의 대부분은 코딩 또는 고급 ServiceNow 또는 Qualys Cloud Platform 전문 지식이 필요합니다.

    Qualys에서 ServiceNow 우선순위 및 상태 매핑 값으로 수정

    요구 사항의 우선순위 및 상태에 대한 매핑 값을 수정합니다.

    시작하기 전에

    필요한 역할: admin

    이 태스크 정보

    고급 사용자 지정 옵션입니다.

    프로시저

    1. 다음으로 이동 모두 > 시스템 정의 > 비즈니스 규칙.
    2. Qualys 값 매핑을 검색하여 엽니다.
    3. Advanced( 고급 ) 탭을 클릭합니다.
    4. 요구 사항에 따라 수정합니다.
      가장 일반적인 수정에는 새 상태 값 추가, 중요도 또는 우선순위 수정이 포함됩니다.
    5. 업데이트를 클릭합니다.

    할당 그룹에 따라 기록에 쓰는 기능 제한

    구성원 자격을 기준으로 기록에 대한 쓰기/읽기 권한을 할당된 그룹으로 제한할 수 있습니다. 특정 요구사항에 따라 조건과 스크립트를 수정합니다.

    시작하기 전에

    필요한 역할: security_admin(관리자에서 상승된 역할)
    주:
    이 작업은 취약성 범위에서 수행됩니다.

    프로시저

    1. 다음으로 이동 모두 > 시스템 보안 > 접근 제어(ACL).
    2. sn_vul로 시작하는 ACL을 검색합니다.
    3. 접근 제어 기록(예: sn_vul_vulnerable_item, 운영 쓰기)을 선택합니다.
    4. 필요한 경우 기록에서 고급 상자를 선택하여 역할 항목을 표시합니다.
    5. 요구 사항에 맞게 역할 스크립트를 수정합니다.
      스크립트 그룹별 접근 수정의 예입니다.
      answer = (current.assigned_to == gs.getUserID() || isMemberOfForScopedApp(current.assignment_group));
// Note: standard 'isMemberOf' does not work within Scoped App
// gs.getUser().isMemberOf(current.assignment_group);
function isMemberOfForScopedApp(groupID){
var result = false;
if (groupID != ''){
var userID = gs.getUserID();
var now_GR = new GlideRecord("sys_user_grmember");
gr.addQuery("group", groupID);
gr.addQuery("user", userID);
gr.query();
if (gr.next()){
result = true;
}
}
return result;
}
    6. 업데이트를 클릭합니다.

    스캐너 장치 설정

    Qualys에서 직접 검사를 시작하는 대신 U에서 Now Platform® 검사를 시작하는 경우 IP 주소 범위에 대한 검사를 설정할 수 있습니다.

    시작하기 전에

    데이터는 자산 그룹과 관련 기본 장치(스캐너)를 기반으로 Qualys 통합에서 Qualys 가져옵니다.

    대상 IP 주소 범위에 대해 구성된 어플라이언스가 없는 경우 통합 인스턴스의 기본값으로 설정된 어플라이언스가 스캔에 사용됩니다.

    필요한 역할: sn_vul_qualys.admin

    프로시저

    1. 다음으로 이동 모두 > Qualys 취약성 통합 > 스캐너 장치.
    2. 양식의 필드에 적절히 입력합니다.
      필드 설명
      장치 이름

      기록을 수동으로 생성할 때 이 필드를 작성하라는 메시지가 표시됩니다.

      구성 항목 일치를 위해 스캔을 호출하는 데 사용할 스캐너 장치의 이름을 Qualys 입력합니다.

      외부 스캐너로 스캔을 시작하려는 경우 외부 값을 사용합니다.
      장치 ID

      구성 항목 일치를 위해 스캔을 호출하는 데 사용할 스캐너 기기의 기기 식별자 Qualys 를 입력합니다.

      기록을 수동으로 생성할 때 이 필드를 작성하라는 메시지가 표시됩니다.

      외부 스캐너로 스캔을 시작하려면 0 값을 사용합니다.
      장치 상태 통합이 반환 Qualys 한 데이터에 대한 스캐너 장치의 마지막 상태를 표시합니다. 수동으로 만든 레코드의 경우 유효한 어플라이언스 ID 가 지정된 경우에만 상태가 업데이트됩니다.
      자산 그룹 ID 이 기록을 생성한 자산 그룹 식별자를 Qualys 표시합니다. 이 필드에는 통합으로 생성된 Qualys 기록에 대한 값만 표시됩니다.
      자산 그룹 이름 이 기록을 생성한 Qualys 자산 그룹 이름을 표시합니다. 이 필드에는 통합으로 생성된 Qualys 기록에 대한 값만 표시됩니다.
      순서 스캔 우선 순위를 결정하는 데 사용할 값을 입력합니다. 상충하는 기준이 있는 기기의 경우 순서 값이 낮은 기기에 더 높은 우선순위가 부여됩니다.
      수동 생성됨 이 기록을 사용자가 수동으로 생성했는지 여부를 나타냅니다.
      필터 그룹 이용 스캔할 일치하는 구성 항목을 찾기 위한 필터 그룹을 지정하려면 이 확인란을 선택합니다.
      필터 그룹 스캔할 일치하는 구성 항목을 찾는 데 사용할 필터 그룹을 선택합니다. 이 필드는 필터 그룹 사용을 선택한 경우에만 나타납니다.
      IP 스캔을 호출할 때 이 장치에서 사용할 IP 주소 또는 IP 주소 범위의 쉼표로 구분된 목록입니다.
      통합 인스턴스 Qualys 장치와 연결된 통합 인스턴스입니다.
      옵션 프로파일 구성 항목 일치를 위한 검사에 사용할 옵션 프로파일을 선택합니다.
    3. 업데이트를 클릭합니다.

    취약성 스캐너 및 검사 구성 및 관리 Qualys

    Qualys 취약성 스캔을 수행하여 CI에 영향을 주는 소프트웨어 취약성을 찾을 수 있습니다. 취약한 항목 기록에서 검사를 시작하거나 CI(구성 항목) 및 IP 주소에 대한 검사 기록을 직접 생성하여 검사를 시작할 수 있습니다.

    취약한 항목 화면에서 직접 취약한 항목을 검사 Qualys 하는 경우 여러 취약한 항목을 동시에 검사하는 옵션도 있습니다.

    활성화된 경우 보안 인시던트 응답 보안 인시던트 카탈로그, 보안 인시던트 기록 또는 보안 스캔 요청에서 스캔을 시작할 수도 있습니다.

    취약한 항목, 보안 인시던트 또는 보안 검사 요청에서 Qualys보안 인시던트 카탈로그제출된 검사는 기본 Qualys 스캐너에서 수행됩니다.

    구성 항목 일치를 위한 검사에 사용할 옵션 프로파일을 선택할 수 있습니다.

    • 옵션 프로필에는 검사 설정이 포함되어 Qualys 있습니다.
    • 옵션 프로필은 에서 Now Platform®스캔을 Qualys 시작할 때 필요합니다.

    ServiceNow 시작 Qualys IP 스캔 구성

    기본 시스템에 포함된 스캐너는 Qualys IP 주소를 기반으로 스캔을 시작하는 기준 통합을 제공합니다.

    시작하기 전에

    구성 항목 일치를 위한 검사에 사용할 옵션 프로파일을 선택할 수 있습니다.

    • 옵션 프로필에는 검사 설정이 포함되어 Qualys 있습니다.
    • 에서 Qualys 스캔 Now Platform®을 시작할 때 옵션 프로파일이 필요합니다.

    필요한 역할: sn_vul_qualys.admin

    가상 사용자 및 세분화된 역할을 사용하면 사용자와 그룹이 애플리케이션에서 취약성 대응 보고 수행할 수 있는 작업을 관리할 수 있습니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 취약성 대응.

    프로시저

    1. 다음으로 이동 모두 > 취약성 대응 > 취약성 스캐닝 > 스캐너.
    2. Qualys 기록을 엽니다.
    3. 활성기본 확인란을 선택합니다.

      스캐너Qualys 사용하여 VI를 자동으로 스캔 Qualys 하려면 활성을 선택해야 합니다. 또한 자동으로 실행되도록 하기 위해 기본값 을 선택할 필요가 없습니다.

      v12.0 이전에는 스캐너를 사용하려면 Active 가 필요합니다. 기본값(Default)도 선택하면 스캔하는 동안 스캐너를 선택하지 않고도 스캐너가 자동으로 사용됩니다.

    4. 소스 통합 필드에 대해 검색 아이콘을 클릭하고 Qualys 옵션(예: Qualys 클라우드 플랫폼)을 선택합니다.
    5. 업데이트를 클릭합니다.
    6. 다음으로 이동 모두 > Qualys 취약성 통합 > 관리 > 기본 통합.
    7. Qualys 자산 그룹 목록 통합을 엽니다.
      1. 활성 확인란을 선택합니다.
      2. 지금 실행을 클릭합니다.
    8. 다음 단계에 따라 스캐너 장치를 채웁니다.
      주:
      옵션 프로파일과 연결된 검색 목록을 볼 수 있도록 검색 목록 통합, Qualys 동적 검색 목록 및 Qualys 정적 검색 목록 통합에서 임포트한 후 옵션 프로파일 목록 통합을 실행하는 것이 좋습니다.
      1. Qualys 옵션 프로파일 목록 통합을 엽니다.
      2. 활성 확인란을 선택합니다.
      3. 지금 실행을 클릭합니다.
      4. 스캐너 장치 설정 나열된 단계에 따라 스캐너 장치를 구성하십시오.
        해당 단계를 완료한 후 여기로 돌아와 구성을 계속합니다.
      5. 다음으로 이동 모두 > Qualys 취약성 통합 > 관리 > 기본 통합.
      6. Qualys 어플라이언스 목록 통합을 엽니다.
      7. 활성 확인란을 선택합니다.
      8. 지금 실행을 클릭합니다.
        Qualys 이제 스캐너 장치가 올바르게 채워졌습니다.

    여러 Qualys 취약성 또는 취약한 항목 검사

    영향을 받는 CI(구성 항목) 또는 IP 주소가 양식에 채워져 있는 하나 이상의 항목이 포함된 여러 Qualys 취약성 또는 취약한 항목을 동시에 검사할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_vul.vulnerability_write

    가상 사용자 및 세분화된 역할을 사용하면 사용자와 그룹이 애플리케이션에서 취약성 대응 보고 수행할 수 있는 작업을 관리할 수 있습니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 취약성 대응.

    프로시저

    1. 다음 중 하나를 수행합니다.
      • 다음으로 이동 모두 > 취약성 대응 > 정정 작업.
      • 다음으로 이동 모두 > 취약성 대응 > 모든 취약한 항목.
    2. 스캔할 기록의 확인란을 선택합니다.
    3. 선택한 행에 대해 수행할 작업 목록을 클릭하고 취약한 항목 다시 검색을 클릭합니다.
      스캔에 대한 링크가 포함된 메시지가 나타나고 작업 메모가 업데이트됩니다.
    4. 링크를 클릭하여 스캔 진행률 또는 결과를 확인합니다.

    해결된 Qualys 정정 작업에 대한 자동 스캔 구성

    자동으로 실행되는 검사를 예약하여 취약한 항목을 업데이트할 수 있습니다 Qualys .

    시작하기 전에

    정정 작업이 해결됨으로 전환되면 관련된 취약한 항목의 상태를 업데이트하기 위해 스캔이 자동으로 시작됩니다.

    • 이 검사는 기본적으로 비활성화되어 있습니다.
    • 에 위치한 Qualys 기록의 scan_on_resolved 통합 인스턴스 매개변수로 검사 사용 모두 > Qualys 취약성 통합 > 통합 인스턴스 > Qualys. 자세한 내용은 다음 단계를 참조하십시오.
    • 이 검사는 인스턴스별로 수행됩니다. 인스턴스가 여러 개 있고 이 스캔을 활성화하거나 비활성화하려면 변경하려는 각 인스턴스의 통합 인스턴스 매개변수에서 scan_on_resolved 매개변수를 비활성화해야 합니다.
    • 검사가 활성화되면 요청 시 검사를 시작하거나 지정된 기간 내에만 검사가 실행되도록 예약할 수 있습니다. 시간 창의 시작 및 종료 시간을 설정하는 방법은 을 참조하십시오 예약된 간격 내에서만 실행되도록 다시 스캔 구성 Qualys .

    필요한 역할: sn_vul_qualys.admin

    프로시저

    1. 다음으로 이동 모두 > Qualys 취약성 통합 > 관리 > 통합 인스턴스.
    2. Qualys를 선택하여 기록을 엽니다.
      에 대한 Qualys 통합 인스턴스 매개변수가 탭에 표시됩니다.
    3. 자동 스캔을 활성화하려면 매개 변수를 찾습니다 scan_on_resolved .
    4. 속성의 값 열에 true를 입력합니다.
    5. 업데이트를 클릭합니다.

    예약된 간격 내에서만 실행되도록 다시 스캔 구성 Qualys

    취약성 통합의 Qualys 경우 원하는 시간 동안만 재스캔이 실행되거나 사용할 수 있도록 스캔 시작 및 종료 시간 매개변수를 설정합니다.

    시작하기 전에

    이 구성은 예약된 다시 스캔과 인스턴스에서 Now Platform® 제품에서 Qualys 수동으로 시작하는 다시 스캔에 모두 적용됩니다.

    통합 인스턴스에 대한 스캔 시작 및 종료 시간 매개변수를 설정하면 제품에서 Qualys 재스캔을 사용할 수 있는 기간을 지정할 수 있습니다. 예를 들어 자정부터 오전 10시까지와 같이 업무 외 시간에만 다시 스캔을 사용할 수 있도록 지정할 수 있습니다.

    이 설정은 인스턴스별로 지정됩니다. 인스턴스가 여러 개인 경우 변경하려는 각 인스턴스의 통합 인스턴스 매개변수에서 scan_start_time 및 scan_end_time 값을 구성해야 합니다.

    필요한 역할: sn_vul_qualys.admin

    프로시저

    1. 다음으로 이동 모두 > Qualys 취약성 통합 > 통합 인스턴스 > Qualys.
    2. Qualys를 클릭하여 기록을 엽니다.
      에 대한 Qualys 통합 인스턴스 매개변수가 표시됩니다.
    3. scan_start_time 매개변수의 경우 값 열에 재스캔을 사용할 수 있는 기간의 시작 시간에 대한 UTC 표준 시간대의 시간을 24시간 형식(00:00 - 24:00)으로 입력합니다.
    4. scan_end_time의 경우 값 열에 사용 가능한 창의 종료 시간에 대한 시간을 동일한 형식(00:00 - 24:00)으로 입력합니다.
      예를 들어 scan_start_time 매개변수에 시작 시간을 00:00으로 입력하고 같은 날 아침 scan_end_time 오전 10:00로 설정하면 자정에서 오전 10시 사이에 예약되거나 수동으로 시작된 스캔이 큐에 추가되어 다음 날 시간 창의 시작 시간인 00:00에 시작됩니다.

      같은 예에서 업데이트 관리 소유자가 오전 11:00에 수동으로 다시 검색을 시작하는 경우 구성된 사용 가능한 검색 시간을 벗어나기 때문에 다시 검색이 즉시 시작되지 않습니다. 스캔 요청은 다음 날 기간(이 예에서는 00:00)이 시작될 때까지 큐에 대기 상태로 유지됩니다.

    5. 업데이트를 클릭하여 설정을 저장합니다.

    Qualys 취약성 스캔 속도 제한

    외부 스캐너로 전송되는 요청 수를 제한하기 위해 다양한 유형의 스캔이 수행되는 속도를 정의할 수 있습니다. 속도 제한을 정의한 후 스캐너에 Qualys 적용할 수 있습니다.

    스캔 속도 제한 정의 Qualys

    스캔 큐의 부하를 분산하기 위해 다양한 유형의 스캔이 수행되는 속도를 정의할 수 있습니다. 속도 제한에 정의된 조건에 따라 대기 중인 항목에 속도 제한이 적용되는지 여부가 결정됩니다.

    시작하기 전에

    필요한 역할: sn_vul.admin

    가상 사용자 및 세분화된 역할을 사용하면 사용자와 그룹이 애플리케이션에서 취약성 대응 보고 수행할 수 있는 작업을 관리할 수 있습니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 취약성 대응.

    프로시저
    1. 다음으로 이동 모두 > 취약성 대응 > 취약성 스캐닝 > 속도 제한 정의.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 적절히 입력합니다.
      표 1. 속도 제한 정의
      필드 설명
      이름 큐 항목이 충족해야 하는 조건을 식별하는 설명적인 이름을 입력합니다. 예: 분당 스캔 수
      큐 조건 대기 중인 스캔 항목에 이 속도 제한이 적용되는지 여부를 결정하는 데 사용되는 조건을 입력합니다. 조건은 특정 스캐너에만 국한되어서는 안 됩니다.
      평가 스크립트 큐에 대기 중인 항목을 평가하는 논리를 사용하여 스크립트를 작성합니다. 스크립트가 true/false를 반환하여 항목 처리 여부를 정의하는 것이 중요합니다. 또한 평가 중인 큐에 대기 중인 항목을 기반으로 평가 스크립트를 만듭니다.
    4. 제출을 클릭합니다.

    스캐너에 Qualys 스캔 속도 제한 적용

    속도 제한 정의를 사용하여 검사 속도 제한을 정의한 후 특정 Qualys 스캐너에 속도 제한을 적용할 수 있습니다.

    시작하기 전에

    필요한 역할: sn.vul_admin

    가상 사용자 및 세분화된 역할을 사용하면 사용자와 그룹이 애플리케이션에서 취약성 대응 보고 수행할 수 있는 작업을 관리할 수 있습니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 취약성 대응.

    프로시저
    1. 다음으로 이동 모두 > 취약성 대응 > 취약성 스캐닝 > 스캐너 속도 제한.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 적절히 입력합니다.
      표 2. 스캐너 속도 제한
      필드 설명
      스캐너 요율 제한을 적용할 스캐너를 선택합니다.
      속도 제한 이 스캐너에 적용할 요율 제한을 선택합니다.
      임계치 선택한 속도 제한에 대해 선택한 스캐너에 적용할 임계값을 입력합니다. 예를 들어 스캐너가 분당 4번의 스캔을 허용하고 속도 제한이 분당 요청으로 정의된 경우 임계값은 4가 됩니다.
    4. 제출을 클릭합니다.

    Qualys 취약성 스캔 큐 보기

    시스템 자원에 과부하가 걸리지 않도록 취약성 스캔 통합에 제출된 Qualys 취약성 스캔 요청이 큐에 대기됩니다. 필요에 따라 대기 중인 요청의 상태를 볼 수 있습니다.

    시작하기 전에

    필요한 역할: sn_vul.vulnerability_admin 또는 sn_vul.admin(사용되지 않음)

    가상 사용자 및 세분화된 역할을 사용하면 사용자와 그룹이 애플리케이션에서 취약성 대응 보고 수행할 수 있는 작업을 관리할 수 있습니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 취약성 대응.

    이 태스크 정보

    대기 중인 검사 목록에서 각 검사에는 검사된 CI를 식별하는 자동으로 생성된 검사 이름이 포함됩니다.

    프로시저

    1. 다음으로 이동 모두 > 취약성 대응 > 취약성 스캐닝 > 스캔 큐.
      제출된 모든 Qualys 검사 요청이 목록에 표시됩니다. 상태 열에는 대기 중인 각 항목의 현재 상태가 표시됩니다. 완료 상태는 스캔이 큐에서 벗어났음을 나타냅니다. 스캔 처리가 완료되었음을 반드시 나타내는 것은 아닙니다. 스캔이 완료되거나 실패한 경우 처리 중 열에는 해당 작업 메모 텍스트가 표시됩니다.
      주:
      스캔을 위해 해시 값이 제출되고 스캐너가 결과를 찾지 못하면 상태가완료 로 표시되고 처리 중 열의 작업 메모가 알 수 없음으로 표시됩니다.
    2. 스캔 처리가 완료되면 대기 중인 기록을 클릭하여 스캔 요청에 대한 상세 정보를 봅니다.

    확인된 탐지 임포트에 대한 기본 시스템 필터 사용

    통합 매개변수를 사용하여 기본 필터를 활성화하여 에서 확인된 탐지만 임포트합니다 Qualys Cloud Platform.

    시작하기 전에

    필요한 역할: sn_vul_qualys.admin, sn_vul.vr_import_admin

    이 태스크 정보

    기본 시스템 통합 인스턴스 매개변수 "include_only_confirmed"를 사용하여 에서 필터링된 탐지 목록을 임포트할 수 있습니다 Qualys Cloud Platform. 기본적으로 이 매개변수는 FALSE로 설정되며 잠재적, 확인된 탐지, 정보성 탐지 등 모든 탐지가 임포트됩니다.

    프로시저

    1. 다음으로 이동 모두 > Qualys 취약성 통합 > 관리 > 통합 인스턴스.
    2. 통합 인스턴스 목록에서 Qualys 클라우드 플랫폼 통합을 엽니다.
    3. 통합 인스턴스 매개변수 목록에서 'include_only_confirmed' 매개변수를 엽니다.
    4. 기본값을 True로 업데이트합니다.
    5. 업데이트를 클릭합니다.
      필터가 통합에서 Qualys Cloud Platform 확인된 탐지를 임포트하도록 설정했습니다.

    결과

    기본적으로 통합에서 Qualys Cloud Platform 확인된 탐지만 다음 Qualys 취약성 임포트가 실행될 때 임포트됩니다. 정보 및 잠재적 탐지와 같은 다른 모든 탐지는 무시되고 임포트되지 않습니다. 자세한 내용은 Vulnerability Response 취약한 항목 탐지 데이터 보기를 참조하십시오.

    에 대한 다시 검사 시작 Qualys Vulnerability Integration

    주문형에서 Now Platform 제품의 재스캔 Qualys 을 시작하여 예약된 스캔 주기 사이에 취약한 항목이 정정되었는지 확인합니다.

    시작하기 전에

    취약성 대응 작업 공간에서 재검색을 시작할 수 있습니다. 자세한 내용은 취약성 관리자 작업 공간에서 기록 재스캔 및 정정 작업에서 취약한 항목 및 정정 작업 다시 스캔 IT 정정 작업 공간 문서를 참조하십시오.

    클래식 환경에서 다시 검색하려면 다시 검색을 시작하는 방법에 대한 다음 섹션을 참조하십시오.

    다음Now Platform에서 시작된 제품의 재스캔 Qualys 에 필요한 설정:

    인스턴스에서 Now Platform® 제품의 취약한 항목에 Qualys 대해 요청 시 다시 검색을 시작할 수 있습니다.

    예약된 전체 검사와 관련된 오버헤드와 볼륨을 줄이기 위해 정정 소유자, IT 전문가, 취약성 분석가 또는 취약성 관리자는 해당 환경의 자산(구성 항목)에 대한 특정 취약성에 대해 요청 시 대상 재검사를 시작할 수 있습니다. 인스턴스에서 VI(취약한 항목), RT(정정 작업), TPE(외부 공급업체 항목) 또는 검색된 항목 기록에서 제품의 재스캔 QualysNow Platform 시작할 수 있습니다.

    재스캔을 통해 정정 활동, 패치 및 기타 작업이 구성 항목(CI)의 특정 취약성을 성공적으로 수정했는지 확인할 수 있습니다.

    사용 사례:

    예를 들어 전체 환경이 3주에 한 번씩 검사된다고 가정해 보겠습니다. 가장 최근의 전체 검사는 일주일 전에 완료되었지만 어제 패치를 적용하여 치명적인 취약점을 수정했습니다. 이 취약성의 특성으로 인해 다음 예약된 검사에서 수정되었는지 확인할 때까지 2주를 기다릴 수 없습니다. 패치가 이전 검사 중에 발견된 중요한 취약성을 성공적으로 수정했는지 확인하려면 취약한 항목에 대해 Qualys 대상 다시 검사를 Now Platform 시작할 수 있습니다.

    종결 상태가 아닌 소스로 있는 Qualys VI에 대해 다시 스캔을 시작할 수 있습니다. 취약성 관리자 작업 공간에서 기록 재스캔 및 정정 작업에서 취약한 항목 및 정정 작업 다시 스캔 IT 정정 작업 공간 문서를 참조하십시오.

    재검색에 필요한 다음 설정을 완료했는지 확인합니다. 자세한 내용은 이전 섹션에 나열된 취약성 스캐너 및 검사 구성 및 관리 Qualys 로 시작하는 단계를 참조하십시오.

    필요한 역할: sn_vul_manually_initiate_rescan

    프로시저

    1. 다음으로 이동 모두 > 취약성 대응 > 취약한 항목.
    2. 다시 스캔을 트리거할 취약한 항목 기록을 찾아 엽니다.
      주:
      소스로 있는 Qualys VI에 대해서만 재스캔을 시작할 수 있습니다. VI 목록 뷰의 소스 열 또는 개별 기록의 소스 필드에 표시되는지 확인합니다Qualys. 조건 작성기를 사용하여 소스별로 VI를 그룹화할 수 있습니다. 또는 소스 열이 VI 목록 뷰에 표시되지 않는 경우 목록의 왼쪽 상단에 있는목록 개인화 아이콘(톱니바퀴 아이콘)을 클릭하고 슬러쉬버킷을 사용하여 소스를사용 가능 에서 선택됨으로 이동합니다.
    3. 또는 다음으로 이동합니다. 모두 > 취약성 대응 > 정정 작업, 취약성 대응 > 라이브러리 > 외부 공급업체또는 재검색에 사용하려는 정정 작업, 타사 항목 또는 검색된 항목 기록에 대한 검색된 항목 으로 각각 이동합니다.

      선택에 따라 다음 기록에서 다시 스캔 단추를 사용할 수 있습니다.

      • 단일 VI 레코드에서 VI는 제품에서 생산 Qualys 된 것이어야 하며 종결 상태가 아닌 모든 상태여야 합니다. 여러 VI 레코드의 경우 모든 VI가 소스여야 하며 종결 상태가 아니어야 합니다Qualys.
      • RT 레코드에서 정정 작업은 종결 이외의 모든 상태일 수 있으며 연결된 모든 VI가 소스로 있어야 Qualys 합니다.
      • 타사 입장(TPE) 기록에서 기록은 소스로 종결Qualys 됨이 아닌 다른 상태의 연결된 VI 기록이 하나 이상 있어야 합니다.
      • 검색된 항목 기록에서 구성 항목은 종결 상태가 아닌 소스로 연결된 Qualys VI가 하나 이상 있습니다.
    4. 선택한 레코드의 오른쪽 상단에서 Rescan(다시 스캔)을 클릭합니다.
      표시되는 대화상자에서 하나를 선택하여 계속합니다.
      옵션 설명
      옵션 프로파일 지정 확인란을 선택합니다. 목록에서 재스캔에 사용할 스캐너의 Qualys 옵션 프로파일을 선택합니다. 구성하고 나열한 장치(스캐너)입니다. Qualys 취약성 통합 > 스캐너 장치.
      옵션 프로파일 지정 확인란의 선택을 취소합니다(선택되지 않음). Qualys 스캐너 장치 목록에서 기본 스캐너로 설정한 스캐너의 옵션 프로파일이 스캔에 사용됩니다.

      에서 시작하는 Now Platform기본 스캐너를 설정하는 방법에 대한 자세한 내용은 이전 섹션에 나열된 스캐너 기기 설정을 참조하십시오.
    5. 스캔 요청을 클릭합니다.

      스캔이 처리 중임을 나타내는 메시지가 표시됩니다. 모든 다시 스캔의 상태는 다시 스캔을 시작하는 데 사용한 VI, RT, TPE 및 검색된 항목 레코드의 스캔 관련 목록에서 언제든지 확인할 수 있습니다. 메시지에서 세부 정보 보기를 클릭하여 다시 스캔 상태를 보고 지정된 레코드에서 시작된 다른 모든 다시 검색을 봅니다.

      인스턴스는 성공적으로 완료될 때까지 또는 설정된 추적 기간이 시간 초과될 때까지(둘 중 먼저 발생하는 시점까지) 다시 스캔 상태를 추적합니다. 제한 시간은 검색을 중지하지 않습니다. 제한 시간은 실제 다시 검색이 중지된 시점이 아니라 다시 검색 상태 추적이 Now Platform 중지된 시점을 나타냅니다.

      다시 검색이 성공적으로 완료되면 호스트 탐지 통합이 Qualys 자동으로 시작되어 취약한 항목을 업데이트합니다. 보유한 VI 수에 따라 호스트 탐지 통합 스캔이 Qualys 완료된 후 탐지, VI 및 RT가 업데이트됩니다. 호스트 탐지 통합이 완료된 후 업데이트를 보려면 이러한 기록으로 이동하십시오.

      이 검사는 인스턴스별로 다르며 비활성화할 수 있습니다. 통합 및 통합을 보는 방법에 대한 Qualys 자세한 내용은 을 참조하십시오 Qualys Vulnerability Integration 이해.

    다음에 수행할 작업

    스캔 기록에서 .csv 첨부 파일을 보고 다시 스캔에 대한 상세 정보를 볼 수 있습니다.

    스캔 기록에서 스캔되지 않은 .csv 파일 및 호스트.

    이전 이미지에 표시된 것처럼 재스캔 중에 환경의 호스트(구성 항목)에 액세스할 수 없는 경우 재스캔이 완료될 때 이러한 자산과 연결된 탐지 및 VI가 업데이트되지 않습니다. 포함되지 않은 이유를 이해하는 데 도움이 되도록 다시 스캔이 완료된 후 이러한 CI에 대한 자산 IP 주소가 스캔되지 않은 호스트 필드의 취약성 레코드에 나열됩니다.