에서 부실 탐지 종결 취약성 대응

개요 및 주요 용어

탐지 데이터를 취약한 항목에 보다 정확하게 롤업하기 위해 부실 탐지 자동 종결 모듈을 사용하면 외부 공급업체 통합에서 최근에 발견되지 않은 오래된 부실 취약한 항목 탐지를 정리할 수 있습니다. 이 기능에 대한 자세한 내용은 아래 사용 사례 및 부실 검색 자동 종결 [KB 0958638] 문서를 참조하세요.

이전 버전의 취약성 대응에서 취약한 항목 자동 종결 모듈은 외부 공급업체 스캐너 통합에 의해 최근에 발견되거나 업데이트되지 않은 취약한 항목을 종결 - 부실 항목으로 자동 전환했습니다.

부실 탐지 자동 종결 기능을 활성화하기 전에 다음 용어, 상태가 취약한 항목 및 정정 작업으로 롤업되는 방식, 탐지 데이터를 임포트하는 외부 공급업체 통합의 필요 조건을 검토합니다.

이 기능을 활성화하려면 을 참조하십시오 에서 부실 탐지 자동 종결 취약성 대응.

주요 용어

부실 탐지: 오래된 인스턴스의 Now Platform® 취약한 항목과 관련된 탐지를 말하며 상당한 시간 동안 외부 공급업체 통합 검사에서 발견, 업데이트 또는 탐지되지 않았습니다.
마지막으로 발견된 탐지: 이 검색 옵션은 외부 공급업체 스캐너에서 제공하는 날짜 및 시간을 사용합니다. 이 용어는 스캐너에서 탐지를 다시 발견한 가장 최근 또는 가장 최근 날짜 및 시간을 나타냅니다.
마지막으로 스캔한 자산: 이 검색 옵션은 외부 공급업체 스캐너에서 제공하는 날짜 및 시간을 사용합니다. 이 용어는 외부 공급업체 스캐너에서 자산을 마지막으로 스캔한 가장 최근 날짜 및 시간을 나타냅니다.

사용 케이스

때때로 자산(구성 항목)은 사용자 환경에서 해제되거나 외부 공급업체 스캐너에 의해 제거될 수 있으며, 관련 탐지는 취약한 항목 탐지에 의해 업데이트되지 않습니다. 그 결과, 탐지 및 관련 취약한 항목이 애플리케이션에서 취약성 대응 업데이트되지 않고 비활성 상태(부실) 상태가 됩니다.

취약한 항목 데이터가 변경되지 않은 오래된 탐지를 종결하고 다음으로 활성 VI 및 정정 작업(RT) 수를 줄이려면 부실 탐지 자동 종결을 활성화합니다. 이 기능은 검색 기준과 설정한 일수(일수)에 따라 외부 공급업체 스캐너 통합에서 최근에 발견하거나 업데이트하지 않은 취약한 항목 탐지를 자동으로 종결합니다.

예를 들어 특정 CI(구성 항목)에 여러 자산 ID가 있고 지난 90일 동안 외부 공급업체 스캐너의 탐지에서 이러한 ID 중 하나를 임포트하지 않았다고 가정합니다. 이 기능은 새로운 취약성 데이터가 없는 이 탐지를 자동으로 종결하므로 연결된 VI를 종결할 수 있습니다.

VI에는 하나 이상의 감지가 연관되어 있을 수 있으므로 이 기능은 설정한 파라미터에 의해 오래된 것으로 결정된 감지만 전환합니다. 예를 들어, VI에 4개의 탐지가 연결되어 있고 2개의 탐지가 부실한 경우, 즉 지난 90일 동안 새로운 취약성 데이터가 임포트되지 않은 경우 이 기능은 부실 탐지만 종결합니다. VI를 종결하기 전에 먼저 다른 두 개의 미해결 탐지를 정정해야 합니다.

VI에 탐지 상태 롤업

자동 종결된 탐지와 외부 공급업체 스캐너에 의해 종결된 탐지를 구분하기 위해 상태 필드에 대한 새 값인 부실이 추가되었습니다. 이 필드에 사용할 수 있는 값은 Open, Closed 및 Stale입니다. 부실은 자동 종결 탐지 기능으로 탐지가 종결되었음을 나타냅니다.

상태 우선 순위: 오픈 > 종결 > 부실.

탐지가 오픈인 경우 관련 VI 상태는 오픈으로 유지됩니다.
오픈 탐지가 없고 일부는 종결, 일부는 부실 상태인 경우 관련 VI 상태가 종결 - 고정으로 전환됩니다.
모든 탐지가 부실한 경우 관련 VI 상태가 종결 - 부실로 전환됩니다.
20.0부터 취약성 대응 탐지가 부실하고 관련 VI가 종결 상태인 경우 VI의 상태가 종결 - 부실로 전환되지 않습니다. 이는 새로운 탐지가 식별될 때 VI가 다시 열리지 않도록 하여 전체 가양성 요청 및 승인 프로세스를 거치지 않도록 하기 위한 것입니다. 이 동작을 반대로 하려면 자동 종결 구성 양식에서 종결된 VI에 대한 부실 탐지 무시 확인란의 선택을 취소하십시오. 자세한 내용은 에서 부실 탐지 자동 종결 취약성 대응 문서를 참조하십시오.

VI 상태를 정정 작업(VUL)으로 롤업

상태 우선 순위: 오픈 > 종결 - 고정 > 종결 - 부실.

VUL(정정 작업)의 VI가 오픈된 경우 VUL 상태가 변경되지 않습니다.
하나 이상의 VI가 종결 - 고정이고 나머지는 종결 - 부실 상태인 경우 VUL 상태는 종결 - 고정으로 전환됩니다.
VUL의 모든 VI가 종결 - 부실인 경우 VUL 상태가 종결 - 취소됨으로 전환됩니다.

자동 종결 탐지 및 타사 통합 요구 사항

Microsoft TVM 사용자 및 부실 탐지 자동 종결


검사 목록 항목	설명
Microsoft TVM 취약성 통합	Microsoft TVM 취약성 통합을 사용하는 경우 검색 기준으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 Microsoft TVM 머신 취약성 통합(전체 임포트)을 성공적으로 실행해야 합니다. 이 통합은 매주 실행됩니다. 부실 탐지 자동 종결이 사용하도록 설정되고 마지막으로 발견된 탐지에 대해 구성된 경우 Microsoft TVM 머신 취약성 통합이 비활성화되어 있거나 데이터 임포트가 지난 7일 이내에 성공적으로 완료되지 않은 경우 탐지를 종결하기 위한 예약된 작업이 매일 계속 실행되지만 일부 부실 탐지는 예상대로 종결되지 않을 수 있습니다. 검색 기준으로 마지막으로 검사된 자산을 선택하는 경우 Microsoft TVM 컴퓨터 취약성 통합 실행이 필요하지 않습니다. 이 통합을 활성화하려면 다음을 수행합니다. 다음으로 이동 Microsoft TVM 취약성 통합 > 관리 > 통합. Microsoft TVM 머신 취약성 통합(전체 임포트)을 찾아 활성화합니다.
(선택 사항) 환경에 Microsoft TVM 통합의 여러 인스턴스를 배포합니다.	선택적으로 환경 전체에 통합의 여러 인스턴스를 배포할 수 있습니다. 부실 탐지 자동 종결은 인스턴스에만 국한되지 않으며 사용자 환경 전체에서 활성화되거나 비활성화됩니다. 부실 탐지는 통합 실행을 성공적으로 완료한 인스턴스에서 부실로 자동 전환됩니다. 부실 탐지 자동 종결이 활성화되고 인스턴스에서 매주 실행되는 통합을 사용하지 않도록 설정하면 탐지를 종결하기 위한 예약된 작업이 여전히 매일 실행되지만 일부 탐지는 예상대로 부실 탐지로 자동 전환되지 않을 수 있습니다.

Qualys 사용자 및 부실 취약한 항목 자동 종결

탐지 데이터를 검색하는 활성화 Qualys 된 모든 외부 공급업체 통합을 이 모듈로 실행할 수 있습니다. 특정 Qualys 응용 프로그램이 필요하지 않습니다.
선택적으로 환경 전체에 통합의 Qualys 여러 인스턴스를 배포할 수 있습니다.
부실 탐지 자동 종결은 인스턴스에만 국한되지 않으며 사용자 환경 전체에서 활성화되거나 비활성화됩니다. 부실 탐지는 모든 인스턴스에서 부실로 자동 전환됩니다.

Rapid7 사용자 및 부실 항목 탐지 자동 종결


검사 목록 항목	설명
Rapid7 취약성 통합	검색 기준으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 포괄적인 취약한 항목 통합 중 Rapid7 하나를 성공적으로 실행해야 합니다. 이러한 포괄적인 통합은 매주 실행됩니다. 데이터 웨어하우스의 경우 Rapid7 Nexpose 포괄적인 취약한 항목 통합에서 Rapid7 성공적으로 실행해야 합니다. 의 경우 Rapid7 InsightVM포괄적인 취약한 항목 통합 - API에서 Rapid7 성공적으로 실행해야 합니다. 부실 탐지 자동 종결이 활성화되고 마지막으로 발견된 탐지에 대해 구성된 경우 포괄적인 취약한 항목 통합이 Rapid7 비활성화되어 있거나 데이터 임포트가 지난 7일 이내에 성공적으로 완료되지 않은 경우 탐지를 종결하기 위한 예약된 작업이 매일 계속 실행되지만 일부 부실 탐지는 예상대로 종결되지 않을 수 있습니다. 검색 기준으로 마지막으로 스캔한 자산을 선택하는 경우 포괄적인 Rapid7 통합 실행이 필요하지 않습니다. 이러한 통합을 활성화하려면 다음을 수행합니다. 다음으로 이동 Rapid7 취약성 통합 > 관리 > 통합. 필요한 포괄적인 취약한 항목 통합을 찾아 활성화 Rapid7 합니다. 주: 매주 Rapid7 NexposeRapid7 InsightVM 실행되는 이러한 통합 외에도 각각 매일 실행되는 VI 통합, Rapid7 취약한 항목 통합 및 Rapid7 취약한 항목 통합 - API가 있습니다. 매일 및 매주 Rapid7 통합이 모두 활성화된 경우 한 번에 하나의 통합만 실행됩니다. 이러한 통합 작업 중 하나가 실행 중인 경우 예약된 다음 작업까지 다른 통합에 대한 작업을 건너뜁니다.
(선택 사항) 사용자 환경에 통합의 Rapid7 여러 인스턴스를 배포합니다.	선택적으로 환경 전체에 포괄적인 통합의 여러 인스턴스를 배포할 수 있습니다. 부실 탐지 자동 종결은 인스턴스에만 국한되지 않으며 사용자 환경 전체에서 활성화되거나 비활성화됩니다. 부실 탐지는 통합 실행을 성공적으로 완료한 인스턴스에서 부실로 자동 전환됩니다. 부실 탐지 자동 종결이 활성화되고 인스턴스에서 매주 실행되는 통합을 비활성화하면 탐지를 종결하기 위한 예약된 작업이 여전히 매일 실행되지만 일부 탐지는 예상대로 부실 탐지로 자동 전환되지 않을 수 있습니다.

유지 가능한 취약성 통합 사용자 및 부실 취약한 항목 자동 종결

탐지 데이터를 검색하는 Tenable Vulnerability Integration에서 활성화된 모든 통합을 이 모듈로 실행할 수 있습니다. 특정 Tenable 취약성 통합이 필요하지 않습니다.
선택적으로 환경 전체에 Tenable Vulnerability Integration의 여러 인스턴스를 배포할 수 있습니다.
부실 탐지 자동 종결은 인스턴스에만 국한되지 않으며 사용자 환경 전체에서 활성화되거나 비활성화됩니다. 부실 탐지는 모든 인스턴스에서 부실 로 자동 전환됩니다.

통합이 올바르게 구성되었는지 확인한 후 을 참조 에서 부실 탐지 자동 종결 취약성 대응 하여 기능을 활성화하십시오.

부실 취약한 항목 자동 종결에서 부실 탐지 자동 종결로 정보 업그레이드

부실 탐지 자동 종결 모듈에서 이전에 부실 취약한 항목 자동 종결을 사용한 경우 다음과 같이 하십시오.

부실 취약한 항목 자동 종결에서 마지막으로 검사한 자산 옵션에 입력한 일 수 값은 부실 탐지 자동 종결에서 마지막으로 검사한 자산 에 대해 자동으로 보존됩니다.
부실 취약한 항목 자동 종결에서 마지막으로 발견된 취약한 항목 옵션에 입력한 일 수 값은 부실 탐지 자동 종결에서 마지막으로 발견된 탐지 에 대해 자동으로 보존됩니다.
취약한 항목이 종결 - 부실인 기존 미해결 탐지는 업그레이드 후 예약된 작업이 실행될 때 Auto-Close Stale Detections 자동 종결 종결 구성 설정에 따라 부실로 전환됩니다.

롤업 정보

취약한 항목이 업그레이드 전에 종결 - 부실이었고 업그레이드 후 모든 탐지가 부실로 표시된 경우 VI 상태는 종결 - 부실로 유지됩니다.
취약한 항목이 업그레이드 전에 종결 - 부실이었고 업그레이드 후 일부 탐지만 부실로 표시되고 나머지는 스캐너에 의해 종결된 경우 롤업 논리에 따라 취약한 항목이 종결 - 고정으로 전환됩니다.