Tenable 취약성 통합 이해

표 1. 용어 변경
v14.9 이전 용어	용어 v14.9 이상
테스트 결과 그룹	정정 작업
그룹 규칙	정정 작업 규칙
정책	테스트 그룹

Tenable 취약성 통합은 세 가지 Tenable 통합과 Tenable.io, Tenable.sc를 사용하여 자산 및 취약성에 대한 외부 공급업체 스캐너 데이터를 임포트합니다. 애플리케이션은 Vulnerability Response Integration with Tenable 버전 5.13부터의 제품과 버전 5.0.1부터의 Tenable.sc 제품을 지원합니다.

Tenable.io 는 클라우드 기반 엔터프라이즈 통합입니다.
Tenable.sc는 제품과 Now Platform 인스턴스가 동일한 환경에 있는 경우 Tenable.sc MID 서버를 사용할 수 있는 옵션을 제공하는 온 프레미스 통합입니다.
제품과 Now Platform 인스턴스가 Tenable.sc 같은 환경에 있지 않으면 MID 서버를 사용해야 합니다.
는 클라우드 기반 엔터프라이즈 통합입니다.

애플리케이션은 Vulnerability Response Integration with Tenable 별도의 구독을 통해 사용할 수 ServiceNow Store 있습니다.

의 통합 Tenable Vulnerability Integration목록 및 설명은 , 및 Tenable.sc 애플리케이션과의 취약성 대응 통합문서를 참조하십시오Tenable.io및 구성 준수 애플리케이션과의 취약성 대응 통합.

Tenable 취약성 통합 워크플로우. — 그림 1. 유지 가능 취약성 통합

사용 가능한 버전 Yokohama


릴리스 버전	릴리스 정보
Vulnerability Response Integration with Tenable v3.13.1, v4.1, v5.0.1	호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오

통합의 용어 및 주요 기능

취약한 항목 및 취약성

인스턴스에 취약한 항목은 Now Platform 다음과 같은 경우에 생성됩니다.

외부 공급업체 스캐너에서 임포트한 취약성이 기존 자산(의 구성 항목)과 일치합니다.CMDB Tenable 제품은 이러한 일치를 취약성이라고 합니다.
외부 공급업체 스캐너에서 임포트한 취약성이 의 CMDB기존 자산과 일치하지 않습니다. 이 경우 일치하지 않는 CI도 취약한 항목과 함께 생성됩니다.
일치하지 않는 CI의 경우 기존 CI를 호스트와 일치시킬 수 없는 경우 IRE(식별 및 조정 엔진)를 사용하여 두 개의 새 클래스로 CI를 만들 수도 있습니다. 그렇지 않으면 일치하지 않는 CI 클래스에 일치하지 않는 CI가 작성됩니다. 자세한 내용은 문서를 참조하십시오.

타사 취약성 항목 및 플러그인

외부 공급업체 취약성 항목은 외부 공급업체 스캐너에서 임포트되어 인스턴스 Now Platform 의 외부 공급업체 취약성 항목 테이블에 나열됩니다. 의 취약성 대응v24.0부터 타사 취약성 항목 테이블의 소프트웨어 열은 타사 항목과 연결된 CPE(공통 플랫폼 열거형)를 채웁니다. Tenable의 타사 취약성 항목은 에 나열된 기존 자산에 취약성 대응 수집되고 일치됩니다.CMDB Tenable은 타사 취약성 항목을 플러그인이라고 합니다.

CI(구성 항목)

구성 항목은 에 나열된 기존 자산입니다.CMDB

검색된 항목

Tenable 자산 임포트에서 수집된 자산은 의 기존 구성 항목과 일치합니다.CMDB 임포트한 자산이 업데이트됩니다.

일치하는 것이 없으면 의 일치하지 않는 CI 클래스 CMDB에 CI가 만들어집니다. CMDB CI Class Models 플러그인이 활성화된 경우 IRE(식별 및 조정 엔진)는 새 클래스를 사용하여 CI를 만듭니다. 자세한 내용은 문서를 참조하십시오. 일치하지 않는 원본 CI가 재분류되면 검색된 항목 기록이 상태를 반영하도록 업데이트됩니다. 검색된 항목은 자산이 식별되고 CI에 매핑되는 방법에 대한 가시성을 제공합니다.CMDB

CI 조회 규칙

외부 공급업체 통합에서 데이터를 임포트하면 Vulnerability Response가 자동으로 호스트(자산) 데이터를 사용하여 구성 관리 데이터베이스(CMDB)에서 일치하는 항목을 검색합니다. CI 조회 규칙은 VIT가 생성될 때 CI를 식별하고 VI 기록에 추가하는 데 사용되어 수정을 지원합니다.

재스캔 및 정정 스캔

인스턴스의 취약한 항목, 정정 작업 및 외부 공급업체 취약성 항목 기록 Now Platform 에서 직접 특정 구성 항목, 정정 작업 또는 외부 공급업체 항목에 대해 대상 재검사 명령을 시작할 수 있습니다. Tenable은 이 재검사를 정정 검사라고 합니다.

이전 VI 자동 닫기

의 부실 취약한 항목 자동 종결 모듈 Now Platform을 사용하면 외부 공급업체 통합에서 최근에 발견되지 않은 오래되고 부실한 취약 항목(VI)을 정리할 수 있습니다. 이러한 VI를 종결됨으로 이동하면 활성 취약한 항목 및 정정 작업 CMDB의 수를 줄이고 . 과의 모든 통합 Vulnerability Response Integration with Tenable 을 사용하여 부실 VI를 자동으로 닫을 수 있습니다.

인스턴스

이 용어는 애플리케이션의 Now Platform® 고유한 발생을 나타냅니다.

통합

통합은 자산 통합 또는 플러그인 통합과 Tenable.io 같은 통합에 대한 제품별 참조입니다 Tenable.sc . 이는 인스턴스의 Tenable 취약성 통합에 있는 특정 Tenable 제품에 속하는 별도의 통합입니다.

통합 인스턴스

이 용어는 제품 Tenable.ioTenable.sc 별로 나열된 별도의 Tenable 통합을 나타냅니다.

배포

통합이 다중 소스를 지원하는 경우 고유한 단일 통합 존재를 통합의 배포라고 합니다. 이 용어는 환경 전반의 통합 및 제품을 지칭하는 데 사용됩니다. 예를 들어, 사용자 환경에 다양한 통합 Tenable.io 및 Tenable.sc 제품의 여러 배포가 있을 수 있습니다.

Tenable.io, Tenable.sc및 통합에는 다음과 같은 주요 기능도 포함됩니다.

구성 평가 결과, 즉 정책, 구성 테스트(통제) 및 신뢰할 수 있는 소스가 있는 인용과 함께 테스트 결과를 제품과 함께 애플리케이션으로 임포트 구성 준수 할 Tenable.io 수 있습니다. 이 통합이 애플리케이션과 함께 구성 준수 작동하는 방식에 대한 자세한 내용은 를 구성 준수 탐색 참조하십시오Tenable.io및 구성 준수 애플리케이션과의 취약성 대응 통합.
의 v2.1 Tenable Vulnerability Integration부터 동일한 IP 주소를 공유하는 환경의 자산에 대해 서로 다른 네트워크 파티션 식별자를 포함하는 고유한 구성 항목(CI)을 생성합니다. 환경 전반에서 고유한 자산을 식별하고 기존의 검색된 항목, 취약한 항목 및 탐지 기록의 CI를 업데이트하여 취약성에 대한 자세한 정보를 제공합니다.
모든 Tenable.io및 Tenable.sc 통합에 대해 작업을 실행할 시기를 예약할 수 있습니다. 요청 시 예약된 작업을 수동으로 실행할 수도 있습니다.
를 사용하여 Tenable.io자산을 임포트하는 경우 자산 태그를 활성화하여 환경에 나열 CMDBTenable.io 된 자산을 구성하고 추적할 수 있습니다.
Tenable.io및 Tenable.sc 통합을 통해 CI 조회 규칙을 구성하여 타사 소스의 자산 데이터를 사용하여 사용자의 CI(구성 항목)를 Now Platform CMDB식별하는 방법을 정의할 수 있습니다.
Tenable.io및 Tenable.sc 통합을 사용하면 취약성 임포트에 대한 임포트 필터를 설정하여 원하는 취약성만 Tenable에서 임포트할 수 있습니다. 의 경우 Tenable.io취약성 임포트를 사용하여 Tenable에서 수정된 취약성을 임포트할 수 있는 옵션이 있습니다.
의 경우 Tenable.sc인스턴스의 취약한 항목, 정정 작업 및 외부 공급업체 항목 기록 Now Platform 에서 직접 요청 시 재스캔을 시작할 수 있는 옵션이 있습니다. VI가 종결됨/고정됨으로 전환되었지만 인스턴스에서 아직 업데이트되지 않은 경우 특정 구성 항목의 취약성이 정정되었는지 확인할 수 있습니다. 통합을 위해 다시 검색을 시작합니다.Tenable.sc 문서를 참조하십시오.

다음 섹션에는 Tenable 통합에 대한 자세한 정보가 나열되어 있습니다.

필요한 Now Platform 역할

통합 작업에는 인스턴스에서 Now Platform 다음 역할이 필요합니다.

관리자: 시스템 관리자는 설정 도우미를 사용하여 애플리케이션을 설치합니다.Vulnerability Response Integration with Tenable 할당되지 않은 경우 관리자는 설정 도우미에서 취약성 관리자(sn_vul.vulnerability_admin) 및 기타 역할을 할당합니다.
sn_vul.vulnerability_admin: 할당이 완료되면 취약성 관리자는 설정 도우미에서 Tenable 통합 구성을 완료합니다. 이 역할은 (VR) 애플리케이션 및 해당 기록에 대한 전체 액세스 권한을 보유합니다.취약성 대응 취약성 관리자는 설치된 타사 통합에 대한 모든 VR 애플리케이션 및 규칙을 구성합니다.
sn_vul_tenable.configure_integration: 이 역할에는 sn_vul_tenable.read_integration 세분화된 역할이 포함되어 있으며 이 역할을 가진 사용자는 애플리케이션을 구성할 수 있습니다 Vulnerability Response Integration with Tenable .
sn_vul_tenable.read_integration: 이 역할을 가진 사용자는 애플리케이션의 기록을 Vulnerability Response Integration with Tenable 보거나 읽을 수 있지만 편집할 수는 없습니다.
취약성 대응 그룹: 기본적으로 취약성 대응 그룹은 설정 도우미에서 사용할 수 있습니다. 취약성 대응 그룹에 할당된 사용자는 sn_vul.read_all 및 sn_vul.remediation_owner 역할을 자동으로 상속합니다.

취약한 항목

취약한 항목은 정정 작업 규칙에 따라 정정 작업으로 그룹화되고 할당 규칙에 따라 정정을 위해 할당됩니다. 자세한 내용은 및 문서를 참조하십시오.

CI(구성 항목) 조회 규칙

CI 조회 규칙은 CI를 식별하고 취약한 항목에 추가할 시기를 결정합니다. CI 조회 규칙의 작동 방식에 대한 자세한 내용은 다음 문서를 참조하십시오 .

주:

규칙은 한 번 제거되면 복구할 수 없습니다. 기존 규칙을 제거하는 대신 기존 규칙을 만들 때 비활성화하십시오.

다음 Tenable.io 조회 규칙은 기본 시스템과 함께 제공됩니다.

MAC_ADDRESS
FQDN
NetBIOS
호스트 이름
DNS
IP

주:

CI 조회 규칙은 Tenable.io 검색된 항목에 대해 일반 FDQN, IPV4 및 MacAddress 값보다 비어 있지 않은 네트워크 인터페이스 값(FDQN, IPV4 및 MacAddress)의 우선순위를 지정하고 채웁니다. 이러한 네트워크 인터페이스 값이 비어 있으면 검색된 항목에 대해 일반 FDQN, IPV4 및 MacAddress 값이 채워집니다.

다음 Tenable.sc 조회 규칙은 기본 시스템과 함께 제공됩니다.

MAC_ADDRESS
FQDN
NetBIOS
IP

주:

ip_address, mac_address, fqdn 및 network_interfaces에 대한 여러 값이 자산에 사용됩니다. CI 조회 규칙에서는 모든 값이 일치하는 것으로 간주됩니다. 모든 값은 IRE를 사용하여 여러 네트워크 어댑터를 만드는 데 사용됩니다.

조회 규칙 클라우드 자원 ID는 기본 시스템과 함께 제공됩니다.

일치하지 않는 클라우드 자원을 선호하는 CI 클래스로 분류하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 .

무시할 새 속성 IP 주소

Tenable.io에서 CI 조회 규칙의 일부로 여러 IP 주소 또는 여러 Mac 주소를 무시하려는 경우 사용할 수 있는 두 가지 속성이 있습니다.

ignoreIPAddress 무시: CI 조회 및 CI 생성에 대해 무시할 IP 주소 목록입니다.
ignoreMacAddress: CI 조회 또는 CI 생성에 대해 무시할 MAC 주소 목록입니다.

검색된 항목

이 모듈에는 Tenable 취약한 항목 통합 및 Tenable 자산 통합에서 임포트하는 동안 탐지된 구성 항목이 나열됩니다.

주:

이 목록의 기본 필터는 일치하지 않음으로 설정됩니다. 필터를 제거하여 임포트에서 검색된 모든 항목을 볼 수 있습니다.

검색된 항목 모듈에 대한 자세한 내용은 다음 문서를 참조하십시오 .

자산 태그

자산 태그(호스트 태그라고도 함)는 조직의 자산을 구성하고 추적하는 데 사용됩니다. 자산에 태그를 할당할 수 있습니다. 그런 다음 스캔을 시작할 때 스캔할 자산과 연결된 태그를 선택할 수 있습니다. 자산 태그 모듈을 사용하면 일정에 따라 인스턴스에서 Tenable.io 자산 태그 데이터를 다운로드할 수 있습니다. 자산 태그가 포함된 자산 데이터는 Tenable.io 자산 변환 통합 변환 맵에서 Tenable.io 끌어오고 변환합니다.

모든 자산 태그는 자산 통합의 Tenable.io 일부로 임포트됩니다. 자산 태그는 담당 규칙 및 정정 작업 규칙에서 취약성 대응 필터링하는 데 사용됩니다. 태그가 검색된 항목 양식에 표시됩니다.

주:

애플리케이션에서 취약성 대응 담당 규칙 또는 정정 작업 규칙을 생성 취약성 대응 하기 전에 자산 통합을 실행 Tenable.io 하여 취약한 항목을 가져오고 그룹화하기 전에 이러한 규칙에 모든 태그를 사용할 수 있도록 합니다. 태그에 대한 다음 사항도 참고하십시오.

태그 스토리지는 대소문자를 구분하지 않습니다. 예를 들어, San Diego 위치의 자산을 설명하는 태그를 만들고 San Diego 태그를 생성하는 경우 SAN DIEGO 태그를 만들어 자산 태그 테이블에 저장할 수도 없습니다. San Diego 및 SAN DIEGO 는 시스템에서 동일한 자산 태그로 간주합니다. 먼저 임포트되는 태그는 앞으로 저장되고 인식되는 태그입니다.
정정 작업 규칙에서 자산 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 자산 태그는 조건 작성기에서만 사용할 수 있습니다.
자산 태그는 전역 시스템 속성 sn_vul.import_asset_tags에 의해 제어됩니다. 이 속성은 기본적으로 true 로 설정됩니다. 태그를 비활성화하면 모든 Now Platform® 인스턴스에서 태그가 비활성화됩니다.

데이터 검색 필터

데이터 검색 설정은 Tenable 애플리케이션에서 인스턴스로 Now Platform® 임포트할 데이터의 유형과 범위를 구체적으로 결정하는 데 도움이 됩니다. 가장 일반적으로 사용되는 설정 목록은 다음 문서를 참조하십시오 Tenable 취약성 통합에 대한 데이터 검색 설정.

취약성 우선순위 등급(VPR)

VPR(취약성 우선순위 등급)은 에서 임포트되어 새 기본 위험 계산기 취약성 대응와 함께 사용되는 Tenable 제품의 속성입니다. 접근 가능한 위험 규칙은 의 취약성 계산기에 취약성 대응있는 기본 위험 계산기의 일부로 애플리케이션과 함께 Vulnerability Response Integration with Tenable 설치됩니다.

이 위험 규칙은 기본적으로 비활성 상태입니다.

Tenable 위험 계산기 규칙을 사용하면 임포트한 VPR 값이 취약한 항목에 대한 위험 점수를 계산하는 데 사용됩니다. 이 위험 계산기의 기본 가중치 분포는 VPR = 70%, 자산 = 15%, 비즈니스 중요도=15%입니다. 이 Tenable 위험 계산기 규칙을 사용하면 데이터 수집 성능에 영향을 줄 수 있습니다. 계산기 및 Tenable 위험 계산기 규칙에 대한 취약성 대응 자세한 내용은 다음 문서를 참조하십시오 .

설치 및 구성

에서 다운로드 Vulnerability Response Integration with TenableServiceNow® Store한 후 설치 및 구성은 의 설정 도우미 취약성 대응에 의해 지원됩니다. 자세한 내용은 문서를 참조하십시오.