NVD 통합 이해

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 09월 02일
  • 소요 시간: 6분

    • NVD 통합은 NIST(National Institute of Standards and Technology) NVD(국가 취약성 데이터베이스) 제품에서 임포트한 데이터를 사용하여 코드 결함의 영향과 우선순위를 파악하는 데 도움을 줍니다. 외부 공급업체 스캐너 제품을 사용하여 취약성 데이터를 인스턴스로 임포트하기 전에 초기 설정 취약성 대응 의 일부로 이 통합을 실행합니다.

    스토어에서 앱 요청

    ServiceNow Store 웹 사이트를 방문하면 사용 가능한 모든 앱을 확인하고 스토어에 요청을 제출하는 방법에 대한 정보를 참조할 수 있습니다. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.

    NIST NVD는 CVE(Common Vulnerabilities and Exposures) 및 CPE(Common Platform Enumeration) 데이터를 모두 수집하고 해당 데이터를 ServiceNow AI Platform®. 와 취약성 대응 쉽게 통합되어 CVE 및 CPE 취약성을 매핑하여 인스턴스의 데이터를 보강합니다.
    중요사항:
    각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 시스템. 이 값은 변경하지 마십시오.
    설치가 완료되면 NIST CVE(국가 취약성 데이터베이스 통합-API) 통합이 예약된 작업으로 자동으로 호출되고 매일 실행됩니다. 예약된 개별 작업을 수동으로 실행할 수도 있습니다. 예약된 작업은 인스턴스를 다른 취약성 관리 시스템과 동기화된 상태로 유지하여 취약성 정정 수명주기를 단순화합니다.
    팁:
    프로덕션 인스턴스에서 이 플러그인을 활성화하려면 별도의 라이센스가 필요할 수 있습니다.

    사용 가능한 버전

    릴리스 버전 릴리스 정보

    취약성 대응 NVD v1.2와 통합

    NVD 및 CWE 통합을 사용하여 취약성 데이터의 초기 임포트

    1. CWE Comprehensive 2000 Integration을 사용하여 CWE 데이터의 초기 임포트를 수행합니다.

      CWE 기록을 업데이트하기 위해 예약된 작업을 구성하고 실행합니다. 문서를 참조하십시오. 기본적으로 통합 기록에서 요청 시 CWE 업데이트를 수행하며, 이를 구성해야 합니다.

      주:
      NVD 데이터베이스 업데이트 전에 실행되도록 CWE 업데이트를 예약합니다. NVD 업데이트의 기본 요일은 매주 월요일입니다.
    2. 취약성 대응 NVD와 통합 애플리케이션이 설치되었고 NIST 국가 취약성 데이터베이스 통합 API(CVE만) 또는 NIST 국가 취약성 데이터베이스 통합 API(CVE 및 CPE)에서 초기 데이터 임포트가 성공했는지 확인합니다.

      CPE의 경우 NIST 국가 취약성 데이터베이스 통합 API(CPE 한정)에서 초기 데이터 임포트가 성공했는지 확인합니다.

      프로덕션 인스턴스에서 이 플러그인을 활성화하려면 별도의 라이센스가 필요할 수 있습니다. 플러그인이 설치되면 NIST 국가 취약성 데이터베이스 통합 API(CVE만)가 기본적으로 활성화됩니다. 매일 실행됩니다. 자세한 내용은 취약성 대응 NIST 국가 취약성 데이터베이스와의 통합 설치 문서를 참조하십시오.

    3. 타사 라이브러리는 예약된 작업으로 업데이트됩니다. 외부 공급업체 통합에 대한 자세한 내용은 통합 설명서를 참조하십시오 취약성 대응 통합 .

    임포트한 취약성 데이터 및 취약한 항목 이해

    해당 ServiceNow AI Platform 인스턴스에서 임포트된 각 취약성은 예를 들어 와 같은 Qualys외부 공급업체 스캐너 제품의 소스 라이브러리에 있는 취약성 항목으로 표시됩니다. 인스턴스에서 임포트되고 업데이트되는 취약한 항목(VI)은 라이브러리와 같은 외부 공급업체 라이브러리에 대한 참조입니다 Qualys . 타사 라이브러리는 NVD를 다시 참조할 수 있습니다.

    예를 들어 와 같은 Qualys제품에서 타사 취약성 데이터를 수집하면 QID(Qualys 식별자)를 참조하는 VI를 수집하게 됩니다. 의 경우 QualysQID는 NVD 라이브러리의 CVE를 참조합니다. 애플리케이션의 정정 작업 또는 취약한 항목 기록에서 해당 QID를 취약성 대응 클릭하고 NVD 및 CWE 통합을 실행하여 데이터를 수집하면 VI와 CVE , CWE 및 CPE 간에 존재하는 관계를 볼 수 있는 현재의 보강된 취약성 데이터를 볼 수 있습니다.

    자체 라이브러리가 있는 외부 공급업체 스캐너 제품을 Qualys 실행하기 전에 먼저 최소한 NIST 국가 취약성 데이터베이스 통합 API(CVE만 해당) 통합(CISA 관련 세부 정보도 포함), CWE 통합을 설치하고 실행하여 취약성 데이터를 수집해야 합니다. 이러한 NVD 및 CWE 데이터 임포트는 타사 제품으로 데이터를 임포트하기 전에 OR 애플리케이션 취약성 대응 데이터를 보강 취약성 대응 합니다.

    NVD, CWE 및 외부 공급업체 라이브러리의 관리 및 보기에 대한 자세한 내용은 및 취약성 라이브러리 보기 취약성 대응를 참조하십시오NVD 및 CWE 통합을 통해 데이터를 임포트하고 외부 공급업체 라이브러리를 관리합니다.

    NVD 임포트가 성공했는지 확인한 후 취약성 데이터를 CWE 기록을 업데이트하기 위해 예약된 작업을 구성하고 실행합니다.더욱 보강하려면 .

    외부 공급업체 제품과 함께 취약성 데이터를 임포트하기 전에 NVD 및 CWE 임포트를 수행합니다. 타사 라이브러리는 예약된 작업으로 업데이트됩니다. 외부 공급업체 통합에 대한 자세한 내용은 통합 설명서를 참조하십시오 취약성 대응 통합 .

    NVD 통합 찾기

    NVD 통합을 보려면 다음으로 이동합니다. Vulnerability Response 또는 Application Vulnerability Response > 관리 > 통합.

    기본 시스템에는 다음과 같은 통합이 포함됩니다.
    주:
    기본적으로 NIST 국가 취약성 데이터베이스 통합 API(CVE만) 통합만 활성화되어 있습니다.
    표 1. NVD 통합
    통합 설명
    NIST 국가 취약성 데이터베이스 통합 - API(CVE만) NIST NVD 취약성 데이터(CVE)만 검색합니다. 기본적으로 이 통합은 매일 실행하도록 자동 설정됩니다.
    NIST 국가 취약성 데이터베이스 통합-API(CPE만 해당) NIST NVD에서 CPE 데이터를 검색합니다. 이 통합은 기본적으로 비활성 상태입니다.

    정식 이름 형식, 시스템에 대해 이름을 검사하는 방법, 텍스트 및 테스트를 이름에 바인딩하기 위한 설명 형식을 포함하는 CPE 데이터를 캡처하려면 이 통합을 활성화합니다. 이 정보는 취약한 소프트웨어에 저장됩니다.

    이 통합은 매일 실행되도록 설정되고 기본적으로 비활성 상태입니다. 이 통합을 활성화하려면 문서를 NIST 국가 취약성 데이터베이스–API 활성화(CPE만 해당)참조하십시오.
    NIST 국가 취약성 데이터베이스 통합-API(매핑되지 않은 CPE) NIST NVD에서 가져온 CVE와 연결된 CPE 데이터를 검색합니다. 이 통합은 기본적으로 비활성 상태입니다.

    정식 이름 형식, 시스템에 대해 이름을 검사하는 방법, 텍스트 및 테스트를 이름에 바인딩하기 위한 설명 형식을 포함하는 CPE 데이터를 캡처하려면 이 통합을 활성화합니다. 이 정보는 NVD 취약성 항목 레코드 관련 목록에 저장됩니다. 이 통합은 요청 시 실행되도록 설정되며 기본적으로 비활성 상태입니다. 이 통합을 활성화하려면 문서를 NIST 국가 취약성 데이터베이스–API(매핑되지 않은 CPE) 활성화참조하십시오.
    중요사항:
    "NIST 국가 취약성 데이터베이스 통합-API(CVE 및 CPE)" 통합은 더 이상 사용되지 않습니다.

    통합 실행 상태는 문서를 참조하십시오 (국가 취약성 데이터베이스) NVD 통합 임포트 실행 상태 보기.