Rapid7 취약성 통합 이해
데이터 ServiceNow® Rapid7 취약성 통합 웨어하우스 또는 Rapid7 InsightVM 제품에서 Rapid7 임포트한 데이터를 사용하여 잠재적으로 악의적인 위협의 영향과 우선순위를 파악하는 데 도움을 줍니다.
Rapid7 Nexpose센서는 데이터를 수집하여 데이터 웨어하우스(온프레미스) 또는 Rapid7 InsightVM (클라우드 기반) 제품에 자동으로 전송 Rapid7 하여 정보를 지속적으로 분석하고 상관 관계를 지정합니다. 와 ServiceNow® 취약성 대응 쉽게 통합되어 취약성을 CI 및 서비스에 매핑합니다. 인스턴스의 Rapid7 취약성 통합 취약성 데이터를 보강합니다.
각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 시스템. 이 값은 변경하지 마십시오.
사용 가능한 버전
| 의 릴리스 버전 Zurich | 릴리스 정보 |
|---|---|
Rapid7 취약성 통합 v13.6, 13.7 |
호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오. |
역할
- sn_vul_r7.admin: 기록을 읽고, 쓰고, 삭제할 수 있습니다.
- sn_vul_r7.user: 기록을 읽고 쓸 수 있습니다.
- sn_vul_r7.read: 기록을 읽을 수 있습니다.
Rapid7 취약성 통합 통합
을(를 Rapid7 취약성 통합) 보려면 다음으로 이동하십시오. .
기본 시스템에는 다음과 같은 통합이 포함됩니다.
| 통합 | 설명 |
|---|---|
| Rapid7 취약성 통합 | 취약성 데이터를 Rapid7 Nexpose 검색하고 인스턴스에서 처리합니다. |
| Rapid7 자산 목록 통합 | 데이터 웨어하우스에서 Rapid7 Nexpose 일주일에 한 번 스캔 데이터를 검색하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 스캔 날짜를 사용하여 최근에 스캔되지 않은 자산을 식별하는 데 도움이 됩니다. 의 취약성 대응검색된 항목 목록에서 마지막 스캔 시간을 확인합니다. |
| Rapid7 범주 통합 | 에서 Rapid7 Nexpose범주 정보를 검색합니다. 범주는 취약성에 대한 높은 수준의 분류를 제공합니다. |
| Rapid7 남용 통합 | 에서 익스플로잇 정보를 조회합니다 Rapid7 Nexpose. |
| Rapid7 맬웨어 키트 통합 | 에서 Rapid7 Nexpose맬웨어 키트 정보를 검색합니다. |
| Rapid7 참조 통합 | CVE 또는 벤더별 취약성 참조와 같은 외부 권한 문서에 대한 참조를 검색합니다. |
| Rapid7 솔루션 통합 | 특정 취약성에 대한 권장 솔루션을 제공하는 에서 Rapid7 Nexpose솔루션 데이터를 검색합니다. |
| Rapid7 대체 솔루션 통합 | 다른 솔루션으로 대체되는 솔루션에 대한 정보를 검색합니다. |
| Rapid7 필수 솔루션 통합 | 다른 솔루션의 전제 조건인 솔루션에 대한 정보를 검색합니다. 이 통합이 실행되면 데이터 웨어하우스에서 Rapid7 솔루션 매핑과 필수 구성요소 솔루션을 가져옵니다. 주: 이 통합은 플러그인이 취약성 솔루션 관리 활성화된 경우에만 작동합니다. |
| Rapid7 취약성 솔루션 맵 통합 | 취약성과 솔루션을 연결하기 위해 매핑을 검색합니다. |
| Rapid7 취약한 항목 통합 | 인스턴스에서 취약한 항목 데이터를 Rapid7 Nexpose 검색하고 처리합니다. 이 통합의 출력은 취약한 항목입니다. |
| Rapid7 취약한 항목 해결 통합 | 종결 Rapid7 Nexpose 로 표시된 취약한 항목에 대한 정보를 검색하고 에서 해당 취약한 항목을 취약성 대응종결합니다. |
| Rapid7 사이트 통합 | 에서 Rapid7 Nexpose사이트 데이터를 조회합니다. 사이트는 스캔 대상인 자산의 모음입니다. |
| Rapid7 자산 목록 통합 | 데이터 웨어하우스에서 Rapid7 일주일에 한 번씩 호스트 태그와 스캔 데이터를 검색하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 스캔 날짜를 사용하여 최근에 스캔되지 않은 자산을 식별하는 데 도움이 됩니다. 의 검색된 항목 목록에서 마지막 스캔 시간 보기 취약성 대응 |
| Rapid7 포괄적인 취약한 항목 통합 | 마지막으로 성공한 통합 실행 이후 검사한 모든 구성 항목에 대한 모든 Rapid7 탐지를 임포트합니다. 가장 최근에 임포트한 데이터를 기반으로 부실 취약한 항목 자동 종결 모듈이 활성화되면 스캔 중에 최근에 발견되지 않은 취약한 항목이 자동으로 "종결"로 전환됩니다. |
| 통합 | 설명 |
|---|---|
| Rapid7 취약한 항목 통합 — API | InsightVM에서 Rapid7 취약한 항목 데이터를 검색하고 인스턴스에서 처리합니다. |
| Rapid7 취약성 통합 — API | InsightVM에서 Rapid7 참조, 범주, 익스플로잇, 맬웨어 키트 및 취약성 데이터를 검색하고 인스턴스에서 처리합니다. |
| Rapid7 자산 목록 통합 - API | 일주일에 한 번씩 Rapid7 InsightVM 호스트 태그와 스캔 데이터를 검색하여 인스턴스의 검색된 항목 모듈에 저장합니다. 마지막 스캔 날짜를 사용하여 최근에 스캔되지 않은 자산을 식별하는 데 도움이 됩니다. 의 취약성 대응검색된 항목 목록에서 마지막 스캔 시간을 확인합니다. |
| Rapid7 포괄적인 취약한 항목 통합 - API | 마지막으로 성공한 통합 실행 이후 검사한 모든 구성 항목에 대한 모든 Rapid7 탐지를 임포트합니다. 가장 최근에 임포트한 데이터를 기반으로 부실 취약한 항목 자동 종결 모듈이 활성화되면 스캔 중에 최근에 발견되지 않은 취약한 항목이 자동으로 "종결"로 전환됩니다. |
| Rapid7 사이트 통합 | 제품에서 사이트 데이터를 조회합니다 Rapid7 InsightVM . 이 통합은 매주 00:00:00에 실행되도록 설정됩니다. |
임포트하는 동안 아직 존재하지 않는 CVE 기록은 NVD 기록으로 생성되고 기본적으로 외부 공급업체 항목 Rapid7 에서 참조됩니다. 에 대한 Rapid7 템플릿 통합을 삭제할 수 없습니다. 대신 비활성화하십시오.
Rapid7용 서비스 그래프 커넥터
버전 2.0부터 Rapid7용 서비스 그래프 커넥터는 .ServiceNow® Store 자세한 내용은 Service Graph Connector for Rapid7 문서를 참조하십시오.
CI 조회 규칙
CI 조회 규칙은 취약한 항목 기록에서 구성 항목 필드를 채우는 방법을 결정합니다.
CI 조회 규칙의 작동 방식에 대한 자세한 내용은 다음 문서를 참조하십시오 외부 공급업체 취약성 통합에서 취약성 대응 구성 항목을 식별하기 위한 CI 조회 규칙.
검색된 항목
검색된 항목 모듈에 대한 자세한 내용은 을 취약성 대응 참조하십시오검색된 항목.
호스트 태그
호스트 태그는 자산 목록 통합 - 에 대한 Rapid7 InsightVMAPI 통합의 Rapid7 일부로 임포트됩니다. 의 할당 및 정정 작업 규칙Rapid7 InsightVM에서 취약성 대응 필터링하는 데 주로 사용됩니다. 검색된 항목 양식에 표시됩니다.
- 태그 스토리지는 대/소문자를 구분하지 않습니다. San Diego 태그가 생성되면 호스트 태그 테이블에 SAN DIEGO 태그를 저장할 수 없습니다. 'San Diego'와 'SAN DIEGO'는 동일한 호스트 태그로 간주됩니다. 먼저 가져온 태그가 우선합니다.
- 정정 작업 규칙에서 호스트 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 호스트 태그는 조건 작성기에서만 사용할 수 있습니다.
- 호스트 태그는 전역 시스템 속성 sn_vul.import_host_tags에 의해 제어됩니다. 이 속성은 기본적으로 true로 설정됩니다. 태그를 끄면 모든 인스턴스에서 태그가 꺼집니다.
사이트
사이트는 스캔 대상 자산의 모음입니다. 사이트는 대상 자산, 스캔 템플릿, 하나 이상의 스캔 엔진 및 기타 스캔 관련 설정(예: 일정 또는 경보)으로 구성됩니다. 사이트는 애플리케이션에 의해 Rapid7 관리됩니다.
Rapid7 취약성 통합 구성 중 사이트 필터링을 사용하면 임포트하는 동안 사이트별로 자산을 분류하고 요청할 수 있습니다. 임포트 필터링에 대한 자세한 내용은 을 참조하십시오 사이트를 기준으로 Rapid7 필터링 .
데이터 웨어하우스 및 Rapid7 InsightVM 사이트 통합은 Rapid7 사이트를 주간 예약 작업으로 임포트합니다.
목록에서 임포트한 사이트를 보려면 .
스캔으로 종결되지 않은 해결된 취약한 항목 다시 열기
인스턴스에서 "해결됨" ServiceNow AI Platform 으로 설정되었지만 후속 통합 실행에 의해 "종결/수정됨"으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.
탐지의 경우 Rapid7 , 이제 인스턴스의 Rapid7 구성 페이지에서 해결된 VI를 기간별로 다시 여는 옵션을 사용할 수 있습니다. 활성화된 경우 VI가 '해결됨'으로 설정되었지만 후속 스캔에서 '종결/수정됨'으로 전환되지 않은 경우 입력한 일수 후에 다시 '오픈'으로 전환됩니다.
IRE(식별 및 조정 엔진)를 사용하여 CI 생성
기존 CI를 외부 공급업체 스캐너에서 임포트한 호스트와 일치시킬 수 없는 경우 식별 및 조정 엔진을 사용하여 새 CI를 만들 수 있습니다. CMDB CI Class Models 플러그인을 활성화하여 새 클래스를 사용하여 CI를 생성합니다. 그렇지 않으면 일치하지 않는 CI가 일치하지 않는 CI 클래스에 생성됩니다. 자세한 내용은 식별 및 조정 엔진을 사용하기 위한 취약성 대응 CI 생성 문서를 참조하십시오. 일치하지 않는 클라우드 자원의 분류를 기본 CI 클래스로 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 일치하지 않는 클라우드 자산에 대한 CI 클래스 업데이트 중.
취약한 항목 재스캔
플랫폼에서 재스캔 Rapid7 을 시작하여 예약된 스캔 주기 사이에 취약한 항목이 정정되었는지 확인합니다. 취약성 통합에 Rapid7 대한 재스캔 시작 문서를 참조하십시오.
스토어에서 앱 요청
ServiceNow Store 웹 사이트를 방문하면 사용 가능한 모든 앱을 확인하고 스토어에 요청을 제출하는 방법에 대한 정보를 참조할 수 있습니다. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.
Rapid7 솔루션 관리
플러그인을 Rapid7 활성화하면 취약성 솔루션 관리 데이터 웨어하우스와 Rapid7 InsightVM 취약성 Rapid7 솔루션 [sn_vul_solution] 테이블에 대한 솔루션이 모두 채워집니다. 그러나 플러그인을 활성화하지 않은 경우 Rapid7 취약성 통합 해당 플러그인은 취약성 솔루션 관리 그대로 작동하며 사용자 지정 [sn_vul_r7_solution] 테이블에서 솔루션을 임포트합니다. 자세한 내용은 Rapid7 솔루션 관리 문서를 참조하십시오.