CI 조회 규칙 실행 후 중복되거나 고아 기록을 방지하는 취약성 대응 데 도움이 되는 단계

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기2분

    • 중복 또는 고아 기록이 일치하지 않는 경우를 방지하기 위한 조치를 취합니다(구성 항목(CI)).CMDB

    취약성 데이터를 임포트하는 것은 인스턴스에 부담이 될 수 있으며 규칙을 신중하게 구성하지 않으면 리소스와 관련된 성능 문제가 발생할 수 있습니다. CMDB 내에서 일치를 반복하고 수행하는 데 사용되는 논리로 인해 처리 시간이 길어질 수 있습니다. 규칙에서 처리 스크립트를 철저히 테스트하고 디버깅하면 프로세스 후반부에 발생할 수 있는 문제를 완화하는 데 도움이 됩니다.

    중복 또는 고아 기록 방지

    • 테스트 중인 CI 조회 규칙과 관련된 작은 데이터 하위 집합을 사용합니다.
      • 테스트 중인 규칙을 제외한 모든 CI 조회 규칙을 비활성으로 설정합니다.
      • 임포트한 CI를 분석하여 예상되는 동작을 관찰하고 일치가 제대로 이루어지는지 확인합니다.
    • 일치하는 CI 검토
      • 일치하는 CI와 일치하지 않는 CI의 수를 검사합니다. 백분율이 허용되는지 확인합니다. 첫 번째 페이지만 말고 삽입된 첫 번째 페이지일 가능성이 높습니다.
      • 일부 CI를 수동으로 검색합니다.
      • 명명 또는 필드 문제(예: 특정 도메인 검색)가 있는지 확인합니다.

        적절하다고 판단되는 경우 일치 규칙을 추가합니다.

    • 일치하지 않는 CI 검토
      • 일치하지 않는 CI 테이블로 이동합니다.
      • 구성 항목 클래스별로 그룹화합니다.
      • 제대로 보이지 않는 클래스(인증서, 네트워크 카드, 이미지)를 검토합니다.
        • 올바른 CI와 일치하지 않는 이유를 파악하십시오.
        • 클래스를 제외해야 합니까?
        • 클래스를 관련 클래스로 승격해야 합니까?
    • 폐기됨과 같은 CI 상태를 검토합니다.
    • 테스트 데이터 제거
      • CI 일치에서 올바른 동작 또는 예상되는 동작을 관찰하기 시작하면 다시 시작합니다.
      • 다음과 같이 다시 시작: 테스트에 사용되는 데이터 삭제: ( 테이블에서 데이터 삭제 섹션 참조)
        • 검색된 항목
        • 취약한 항목
        • 정정 작업
      • 모든 CI 일치 규칙을 수동으로 다시 실행합니다.

    CI 조회 규칙 및 Qualys에 대한 자세한 내용은 KB0750656 문서를 참조하십시오.

    CI 조회 규칙 및 Rapid7에 대한 자세한 내용은 KB0818096 문서를 참조하십시오.

    테이블에서 데이터 삭제

    데이터를 가져왔는데 뭔가 잘못되었다는 것을 깨닫는 경우가 있습니다. 개발 또는 성능 환경에서 문제가 있는 경우 더 나은 환경에서 다시 복제할 수 있지만 항상 가능한 것은 아닙니다.
    주:
    이러한 작업을 수행하려면 전문 지식이 필요합니다 ServiceNow .
    테이블에서 데이터를 삭제하는 방법에는 네 가지가 있습니다.
    • 테이블 구성모든 기록 삭제를 사용합니다.
    • 자동 플러시(sys_auto_flush.list)로 이동하고 새 자동 플러시 기록을 생성하여 테이블 클리너를 구성합니다.
    • 백그라운드 스크립트를 사용하여 gs.truncateTable을 자릅니다.

      이 기능을 truncateTable 사용하려면 백그라운드 스크립트에서 롤백을 위한 기록 확인란을 해제해야 합니다. 그렇지 않으면 테이블 및 관련 단계적 테이블의 복사본이 만들어지고 시간이 너무 오래 걸리며 실패할 가능성이 높습니다.

      주:
      프로덕션 환경에서는 절대 사용하지 truncateTable 마십시오. 프로덕션 또는 공유 환경에서 대규모 삭제를 실행하기 전에 지원 담당자에게 문의하십시오.