컨테이너 취약성 대응 앱과 함께 설치되는 구성요소

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 11분

    • 컨테이너 취약성 대응 애플리케이션을 활성화하면 테이블, 사용자 역할, 예약된 작업을 포함하여 여러 유형의 구성요소가 설치됩니다.

    주:
    애플리케이션 파일 테이블에는 이 애플리케이션과 함께 설치되는 구성요소가 나열됩니다. 이 테이블에 액세스하는 방법에 대한 지침은 애플리케이션과 함께 설치되는 구성요소 찾기를 참조하십시오.

    이 기능에 대한 데모 데이터를 사용할 수 있습니다.

    v2.11 of 부터 컨테이너 취약성 대응가장 자주 사용되는 시스템 속성에 애플리케이션 내에서 액세스할 수 있습니다 컨테이너 취약성 대응 . 이러한 시스템 속성을 보려면 다음으로 이동합니다. 모두컨테이너 취약성 대응속성.

    컨테이너 취약성 대응 앱과 함께 설치되는 역할

    컨테이너 취약성 대응가 활성화되면 역할이 추가됩니다.

    가상 사용자와 세분화된 역할을 사용하여 사용자와 그룹이 애플리케이션에서 보고 수행할 취약성 대응 수 있는 것을 관리할 수 있습니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 문서를 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 다음 문서를 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 취약성 대응.

    주:

    업그레이드 고객인 경우 v10.3 이전 권한인 sn_vul.vulnerability_read 및 sn_vul.vulnerability_write 권한으로 할당한 사용자 및 그룹에 대한 액세스는 변경되지 않습니다. 사용자와 그룹은 변경할 때까지 이러한 역할을 계속 할당받은 상태로 유지됩니다. 그러나 v10.3부터는 사용자 및 그룹이 애플리케이션에서 수행하고 볼 수 있는 것을 보다 세밀하게 제어하기 위해 세분화된 역할을 할당하는 취약성 대응 것을 선호할 수 있습니다. 이러한 역할을 관리하는 방법에 대한 개요 및 자세한 내용은 해당 의 가상 사용자 및 세분화된 역할 관리 취약성 대응문서를 참조하십시오취약성 대응 가상 사용자 및 세분화된 역할.

    역할 제목[name] 설명
    V2.10: sn_vul_container.delete 소스 기록을 삭제합니다. sn_vul_cmn.delete 및 sn_vul_container.delete_vi 역할을 포함합니다.
    sn_vul_container.ci_manager 일치하지 않는 구성 항목(CI)의 재분류를 관리합니다.
    sn_vul_container.configure_integrations 컨테이너 통합을 구성합니다.
    sn_vul_container.configure_vi_granularity 컨테이너 취약한 항목 세분성을 구성합니다.
    sn_vul_container.create_vi 컨테이너에 취약한 항목을 수동으로 생성할 수 있습니다.
    sn_vul_container.delete_vi 수동으로 생성된 컨테이너 취약한 항목을 삭제할 수 있습니다.
    sn_vul_container.exception_approver 컨테이너 취약한 항목의 예외, 연기 및 종결을 승인합니다.

    sn_vul.view_manager_workspace 역할을 포함합니다.

    v2.3부터 이 역할에 대한 세분화된 역할인 sn_vul_container.read_all이 제거되어 모든 컨테이너 취약한 항목 및 정정 작업 대신 사용자와 그룹에 할당된 컨테이너 취약한 항목 및 정정 작업에 액세스할 수 있습니다.
    sn_vul_container.false_positive_approver 컨테이너 취약한 항목을 긍정 오류로 종결하는 것을 승인하거나 거부합니다.

    sn_vul.view_manager_workspace 역할을 포함합니다.
    sn_vul_container.manage_assignment_rules 컨테이너 취약한 항목 담당 규칙을 정의하고 업데이트합니다.
    sn_vul_container.manage_auto_close_stale_vi 부실 컨테이너 취약 항목 자동 종결 구성
    sn_vul_container.관리_자동_예외_규칙 예외 규칙 관리(만들기/읽기/업데이트/삭제)
    sn_vul_container.manage_normalized_severity 매핑을 업데이트하여 심각도를 정규화할 수 있습니다.
    sn_vul_container.manage_permissions 사용자에게 컨테이너 취약성 대응 역할을 할당할 수 있습니다.
    sn_vul_container.manage_remediation_targ... 컨테이너 정정 대상 규칙을 정의하고 업데이트합니다.
    sn_vul_container.manage_risk_score_confi... 위험 점수 정의 및 업데이트 컨테이너 취약한 항목에 대한 계산기, 위험 규칙 및 취약성 롤업 계산기입니다.
    sn_vul_container.모두 읽기 모든 컨테이너 취약한 항목 및 관련 정보를 볼 수 있습니다.

    sn_vul.view_manager_workspace 역할 포함
    sn_vul_container.read_assigned 클래식 UI 또는 IT 정정 작업 공간에서 사용자 또는 사용자의 그룹에 할당된 컨테이너 취약한 항목을 볼 수 있습니다.

    sn_vul.view_rem_workspace 역할을 포함합니다.

    중요사항:
    취약성 대응v24.0부터 sn_vul_container.read_assigned 역할은 에 액세스할 수 있는 IT 정정 작업 공간권한이 있습니다.
    sn_vul_container.read_assignment_rules 컨테이너 취약한 항목을 볼 수 있습니다. 담당 규칙.
    sn_vul_container.read_auto_exception_rule 예외 규칙 읽기
    sn_vul_container.read_discovered_이미지 검색된 항목을 볼 수 있습니다.
    sn_vul_container.read_integrations 통합 실행의 결과를 볼 수 있습니다.
    sn_vul_container.read_normalized_severity 정규화된 심각도 매핑을 볼 수 있습니다.
    sn_vul_container.read_remediation_target... 정정 대상 규칙을 볼 수 있습니다.
    sn_vul_container.read_risk_score_configu... 컨테이너 취약한 항목에 대한 위험 점수 계산기, 위험 규칙 및 취약성 롤업 계산기를 볼 수 있습니다.
    sn_vul_container.remediation_owner 할당된 컨테이너 취약한 항목을 읽고 씁니다. 취약성 기록은 이 역할을 가진 사용자도 읽을 수 있습니다.
    sn_vul_container.update_assigned_to

    컨테이너 취약한 항목의 할당을 업데이트할 수 있습니다.

    sn_vul_container.write_all 또는 sn_vul_container.write_assigned가 필요합니다.
    sn_vul_container.update_assignment_group

    컨테이너 취약한 항목에 대한 할당 그룹을 업데이트할 수 있습니다.

    sn_vul_container.write_all 또는 sn_vul_container.write_assigned가 필요합니다.
    sn_vul_container.update_state입니다.

    취약한 항목의 상태를 업데이트할 수 있습니다.

    sn_vul_container.write_all 또는 sn_vul_container.write_assigned가 필요합니다.
    sn_vul_container.vulnerability_admin 제품에 대한 컨테이너 취약성 대응 모든 규칙, 통합 등을 구성합니다.
    sn_vul_container.vulnerability_analyst 모든 컨테이너 취약한 항목의 정정을 모니터링합니다.
    sn_vul_container.write_all 모든 컨테이너 취약한 항목 및 정정 작업을 업데이트할 수 있습니다.
    sn_vul_container.write_assigned 나 또는 내 그룹에 할당된 컨테이너 취약한 항목 또는 정정 작업을 업데이트할 수 있습니다.
    sn_vul_container.read_watch_topic 컨테이너 취약성에 대한 주시 주제를 읽을 수 있습니다.
    sn_vul_container.create_watch_topic 컨테이너 취약성에 대한 감시 주제를 생성할 수 있습니다.
    sn_vul_container.edit_watch_topic 컨테이너 취약성에 대한 감시 주제를 편집할 수 있습니다.
    sn_vul_container.관리_예외_구성 예외 관리 구성을 관리할 수 있습니다.

    컨테이너 취약성 대응 앱과 함께 설치되는 테이블

    (CVR)이 컨테이너 취약성 대응 활성화되면 테이블이 추가됩니다.

    테이블 설명
    컨테이너 이미지 찾기

    sn_vul_container_image_findings

    		 관련 취약성, 이미지 계층, Docker 이미지, 이미지 리포지토리 및 검색된 이미지에 대한 정보를 저장합니다.

    컨테이너 취약성 대응v2.11.3부터 찾은 결과가 표시되는 경로를 볼 수도 있습니다.
    컨테이너 이미지 계층

    sn_vul_container_image_layer

    		 각 이미지 레이어의 정보를 포함합니다. 이미지는 컴퓨팅 시스템에서 컨테이너를 만들 수 있는 실행 코드가 있는 정적 파일입니다.
    컨테이너 이미지 패키지

    sn_vul_container_image_package

    		 취약성이 있는 패키지에 대한 정보를 제공합니다. 이진 패키지 상세 정보도 쉼표로 구분된 값으로 제공됩니다.

    컨테이너 취약성 대응v2.11.3부터는 패키지 URL(PURL)도 볼 수 있습니다.
    컨테이너 취약한 항목

    sn_vul_container_image_vulnerable_item

    		 각 발견 사항과 해당 취약성에 대한 상세 정보를 포함합니다.

    컨테이너 취약성 대응v2.11.3부터 컨테이너로 실행되는 이미지의 마지막 스캔 날짜에 대한 정보도 볼 수 있습니다.
    취약성 항목(v2.11.3)

    sn_vul_entry

    		 CVE의 심각도에 대한 정보와 Prisma에서 보낸 추가 정보를 제공합니다.
    탐색한 컨테이너 이미지

    sn_vul_container_image

    		 이미지 ID, Docker 이미지 및 이미지 리포지토리에 대한 정보를 제공합니다. 또한 계층 정보를 저장하고 검색된 이미지와 연결합니다.

    v2.11.3 of 부터 컨테이너 취약성 대응도커 이미지의 이미지 다이제스트와 컨테이너 및 레지스트리로 실행되는 이미지의 마지막 스캔 날짜에 대한 정보도 제공합니다.
    매핑 찾기

    sn_vul_container_finding_m2m_vul_item

    		 컨테이너 이미지 결과와 컨테이너 취약한 항목(CVIT)의 M2M 관계입니다.
    취약한 항목 자동 종결

    sn_vul_container_image_auto_close_config

    		 부실 컨테이너 이미지 찾기를 종결하고 상태를 CVIT에 롤업하는 방법에 대한 정보를 포함합니다.
    컨테이너 이미지 취약성 키

    sn_vul_container_image_vulnerability_keys

    		 컨테이너 이미지 결과에서 CVIT를 생성하기 위한 세분성 구성을 포함합니다.
    Docker 관련 서비스

    sn_vul_container_m2m_ci_services

    		 컨테이너 이미지와 관련된 모든 비즈니스 서비스를 포함합니다.
    VR 컨테이너 수

    sn_vul_container_vr_container_counts

    		 지난 90일 동안 컨테이너 이미지에서 분리된 컨테이너 인스턴스의 롤링 평균을 포함합니다.
    컨테이너 정정 작업 항목

    sn_vul_container_m2m_vul_group_item

    		 CVIT와 컨테이너 정정 작업 간의 M2M 테이블입니다.
    컨테이너 정정 작업

    sn_vul_container_vulnerability

    		 컨테이너 정정 작업을 포함합니다.
    컨테이너 정정 작업 메니페스트

    sn_vul_container_rt_manifest

    		 정정 작업에 대한 업데이트는 예약된 작업에 따라 이 매니페스트 테이블을 사용하여 수행됩니다.

    컨테이너 취약성 대응 앱과 함께 설치되는 예약된 작업

    컨테이너 취약성 대응가 활성화되면 예약된 작업이 추가됩니다.

    주:
    애플리케이션 파일 테이블에는 이 애플리케이션과 함께 설치되는 구성요소가 나열됩니다. 이 테이블에 액세스하는 방법에 대한 지침은 애플리케이션과 함께 설치되는 구성요소 찾기를 참조하십시오.

    이 기능에 대한 데모 데이터를 사용할 수 있습니다.

    예약된 작업 설명
    기존 컨테이너 VI를 자동 예외 규칙과 연결 자동 예외 규칙을 기존 컨테이너 취약 항목(CVIT)과 자동으로 연결합니다.
    컨테이너 취약한 항목 연기 만료 확인 컨테이너 취약한 항목 또는 컨테이너 취약성이 만료된 경우(그리고 1주일 후 만료되는 경우) 알림을 보냅니다.
    취약성 대응 컨테이너 수(애플리케이션 - 컨테이너에 대한 취약성 대응 및 구성 준수) 매일 실행하여 컨테이너의 90일 이동 평균을 계산하는 sn_vul_container_vr_container_counts 테이블을 채웁니다.
    CVIT 자동 종결 자동 종결 구성에 정의된 조건과 일치하는 컨테이너 취약성 항목을 자동으로 종결합니다. 상태가 '수정됨'으로 변경됩니다.
    CVIT에 대한 비즈니스 중요도 계산 모든 활성 CVIT를 처리하고 CVIT의 Docker 이미지의 영향을 받는 서비스를 기반으로 비즈니스 중요도 필드를 업데이트합니다.
    Docker 이미지가 연결되지 않은 취소 CVIT 닫기 연결된 CI가 없는 CVIT를 자동으로 만료합니다. 해당 상태는 종결로 설정되고 하위 상태는 취소됨으로 설정됩니다.
    컨테이너 정정 작업에 대한 관련 VI 수 계산 컨테이너 정정 작업 기록의 개수를 계산합니다.
    컨테이너 취약한 항목 값을 취약성 및 그룹에 롤업 컨테이너 취약한 항목에 대한 취약성 및 그룹 롤업을 계산합니다.
    주:
    컨테이너 취약성 대응v2.10부터 예약된 작업이 개선되어 멀티스레딩 기능이 있는 백그라운드 작업을 생성할 수 있습니다. 이 업그레이드에는 작업을 여러 개의 더 작은 하위 작업으로 분할하는 작업이 포함되며, 이러한 작업은 병렬로 또는 동시에 실행됩니다. 이렇게 수정하면 여러 기록을 동시에 처리할 수 있으므로 전체 작업 속도가 크게 향상됩니다.