취약성 대응 외부 공급업체 통합에서 취약한 항목 탐지
인스턴스에서 외부 공급업체 스캔을 통해 수집된 모든 정보를 봅니다 Now Platform® . 검사 결과를 스캐너에서 볼 때 인스턴스의 탐지 및 VI(취약한 항목) 기록에 대한 반환된 결과를 봅니다.
개요
이 애플리케이션은 취약성 대응 기업 환경에서 취약한 항목 데이터를 검색하는 타사 통합을 지원합니다. 탐지에 대한 자세한 데이터, 즉 외부 공급업체 통합의 스캐너에서 보고하는 고유한 단일 취약성 발생을 임포트하여 Now Platform 인스턴스의 탐지 및 취약한 항목 기록 모두에 표시됩니다.
외부 공급업체 통합은 취약한 항목 탐지 데이터를 검색합니다. 탐지는 스캐너에서 보고하는 취약성의 고유한 발생입니다. 탐지 데이터는 취약한 항목과 쌍을 이루며 VI 상태는 탐지 상태에 따라 업데이트됩니다. VI를 찾을 수 없으면 새 VI가 생성됩니다. 탐지는 스캐너에서 직접 찾은 데이터에 의해서만 열리거나 닫힙니다.
이전 버전의 취약성 대응에서 취약한 항목 탐지는 사용자 환경의 CI(자산)와 외부 공급업체 스캐너에서 임포트한 취약성 간의 관계로 인해 Now Platform 인스턴스에 고유한 취약한 항목이 생성되었습니다.
스캐너에서 제공하는 원본 데이터의 세분성은 유지됩니다. 탐지를 사용하면 탐지 데이터가 취약한 항목과 쌍을 이룹니다. 수집 중에 취약한 항목을 찾을 수 없으면 새 VI가 생성됩니다.
의 버전 21.1.2 취약성 대응부터 기본 시스템에 시스템 속성이 sn_vul.show_last_open_detection 제공됩니다. 기본적으로 이 속성의 값은 false로 설정되며, 초기 탐지에서 VI로 값을 집계하는 현재 동작은 변경되지 않습니다. 그러나 true로 설정된 경우 VI는 수집 후 마지막으로 오픈된 감지로 자동 업데이트됩니다. IP 주소, SSL, 포트, 프로토콜, NetBIOS 및 증명과 같은 필드가 VI 탐지에 대해 업데이트됩니다. 필요한 경우 DetectionBase 스크립트를 수정하여 업데이트해야 하는 탐지 필드를 사용자 지정할 수 있습니다.
마지막으로 오픈된 탐지 값을 보려면 VI 양식 뷰에서 마지막으로 오픈된 탐지 탭으로 이동하십시오. 작년에 오픈된 모든 VI를 마지막으로 오픈된 탐지 값으로 업데이트하려면 요청 시 예약된 작업을 Update Last Open Detection Value To VITs 실행할 수 있습니다. 이 예약된 작업은 기본 시스템에서도 제공됩니다.
지원되는 버전 취약성 대응
응용 프로그램 설치 또는 업데이트에 취약성 대응 대한 자세한 내용은 을 참조하십시오 취약성 대응 설치.
지원되는 타사 통합
- Qualys 호스트 탐지 통합
- Rapid7 데이터 웨어하우스:
- 취약한 항목 통합
- 취약한 항목 해결 통합
- Rapid7 취약한 항목 해결 통합(InsightVM)
- Insight VM 통합
- 취약한 항목 통합 - API
- Tenable Vulnerability Integration
- Microsoft Defender 위협 및 취약성 관리
이러한 외부 공급업체 통합은 ServiceNow Store. 이러한 통합에 대한 자세한 내용은 및 권리 획득에 대한 자세한 내용을 참조하십시오취약성 대응 통합.
외부 공급업체 스캐너가 임포트하도록 구성되었는지 확인하려면 보안 운영용 Rapid7 통합 애플리케이션 설치 및 구성 및 Qualys Vulnerability Integration 설치을 참조하십시오.
취약한 항목 탐지에 대한 주요 용어
- 취약성
- 내부 및 외부 소스에서 임포트한 소프트웨어, 운영 체제 및 자산의 약점에 대한 데이터입니다. 이 데이터를 임포트하여 CMDB에 나열된 기존 자산(구성 항목, CI)과 비교합니다.
- 취약한 항목
- 임포트한 취약성이 CMDB의 CI와 일치하면 취약한 항목이 생성되거나 업데이트됩니다.
- 탐지
- 스캐너에서 보고되는 분명한 한 건의 취약성 발생으로, 환경 내 Now Platform 취약한 항목 탐지라고 합니다. 탐지에는 취약성 및 해당 취약 항목에 대한 보강된 데이터가 포함됩니다. 이 데이터는 다음 세부 정보를 포함하는 검색 레코드(VID#) 및 취약한 항목 목록 뷰에 표시됩니다.
- 첫 발견(데이터)
- 마지막 발견(날짜)
- DNS 이름
- Net BIOSname
- IP 주소
- 포트
- 프로토콜
- 증명
- SSL
- 발견 시간
주:탐지 테이블에 비즈니스 규칙을 추가하면 수집 성능에 영향을 줍니다. - 탐지 키
- 취약한 항목을 식별하고 탐지를 연결하는 방법을 제공하는 해시된 필드 조합입니다. 탐지 키는 통합에 따라 다릅니다.
표 1. 탐지 키 구성 스캐너 취약성 포트 프로토콜 자산 ID 증명 NIC Qualys 예 예 예 예 아니요 해당 사항 없음 Tenable 예 예 예 예 아니요 해당 사항 없음 Rapid7 예 예 예 예 예(대소문자 구분 안 함) 예 주:- 탐지 키가 지정되지 않은 경우 또는 14.0 이전 취약성 대응 버전의 경우 탐지 키는 취약성 항목, 포트, 프로토콜, 자산 ID 및 증명의 조합입니다.
- De dup
- 데이터가 특정 하드 코딩된 기준을 충족할 때 개별 탐지를 단일 VI로 축소하는 애플리케이션에서 취약성 대응 사용하는 프로세스입니다.
- VI 외부 ID
- VI 테이블의 외부 ID 필드에 저장된 값입니다. 이 값은 VI 내의 키 조합으로 구성된 해시로, 어플리케이션 내에서 VI를 고유하게 만드는 요소를 나타냅니다. CI와 취약한 항목으로 구성됩니다.
해결된 취약 항목 다시 열기
인스턴스에서 Now Platform해결됨으로 설정되었지만 후속 통합 실행에 의해 종결됨/고정됨으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.
새로운 탐지가 생성되고 해당 VI가 새로운 취약성과 일치할 수 있으면 하위 상태가 고정 또는 부실 인 종결된 VI가 다시 열립니다.
스크립트 포함, DetectionBase메서드_shouldReOpenVI()에 따라 VIT가 이전에 하위 상태 고정, 부실 또는 CI 해제로종결된 경우 다시 열리고 탐지가 기존 VIT에 매핑됩니다.
예를 들어 VIT의 종결 날짜가 감지의 last_found 날짜보다 나중이라고 가정해 보겠습니다. 이러한 VIT 레코드는 종결된 상태로 유지될 것으로 예상됩니다. 그러나 이전에 닫힌 VIT가 다시 열린 경우 VIT가 이전 탐지에 의해 닫혔고 이후 검사에서 취약성이 다시 발견되었음을 의미합니다. VIT 구성 항목에서 동일한 취약성이 있는 종결된 VIT와 일치하는 새 탐지가 발견되면 VIT가 다시 열립니다.
탐지의 경우 Rapid7 이제 인스턴스의 Rapid7 구성 페이지에서 기간별로 확인된 VI를 다시 여는 옵션을 사용할 수 있습니다. 활성화된 경우, 해결됨 으로 설정되었지만 후속 스캔에 의해 종결/고정 으로 전환되지 않은 VI는 입력한 일수 후에 다시 오픈 으로 전환됩니다.
탐지의 경우 Qualys , 스캐너가 해결됨 으로 설정되었지만 후속 스캔에서 종결/고정 으로 전환되지 않은 VI를 계속 찾으면 마지막으로 찾은 날짜가 해결됨 날짜보다 나중일 때 이러한 VI는 다시 열기 로 이동합니다.
탐지 데이터 보기
VI 레코드의 취약한 항목 탐지에서 임포트한 데이터를 봅니다. 자세한 내용은 취약한 항목 탐지 데이터 보기 취약성 대응 및 통합 실행(VINTRUN) 기록에서 취약한 항목 탐지 데이터 검증 취약성 대응 문서를 참조하십시오.