조회 규칙을 사용하여 찾기를 구성 항목과 연결

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 통합 보안 노출 관리 는 조회 규칙을 사용하여 임포트한 외부 공급업체 노출 결과를 구성 관리 데이터베이스(CMDB)의 구성 항목(CI)과 연결합니다. 이러한 규칙은 자산 데이터를 기존 CI와 일치시켜 정확한 정정을 가능하게 합니다.

    외부 스캐너(예: QualysTenable)에서 임포트한 결과에는 Rapid7 직접적인 CI 참조가 없는 경우가 많습니다. 조회 규칙은 일치 로직을 적용하여 결과를 의 CI에 매핑함으로써 이러한 격차를 해소합니다.CMDB

    조회 규칙의 특성

    • 도메인 분리 및 소스 특이성: 조회 규칙은 도메인으로 분리될 수 있으며 각 소스마다 특정되므로 소스에 따라 여러 배포를 수행할 수 있습니다.
    • 배포 간 공유: 규칙은 스캐너 소스 통합의 모든 배포에서 공유됩니다. 모든 변경 또는 삭제는 모든 배포에 영향을 미칩니다.

    조회 규칙의 작동 방식

    조회 규칙은 3단계 프로세스를 따릅니다.
    1. 초기 조회: 자산이나 결과를 임포트하면 시스템은 먼저 타사 ID를 사용하여 검색된 항목 목록을 확인합니다. 자산 ID가 일치하면 결과 기록의 구성 항목 필드가 채워집니다.
    2. 일치 프로세스: 일치하는 자산 ID가 없으면 규칙은 다른 자산 정보를 사용하여 올바른 CI를 식별합니다. 검색된 항목 목록에서 매핑을 볼 수 있습니다.
    3. 플레이스홀더 CI 생성: 일치하는 항목이 없으면 자리표시자 CI가 생성되어 일치하지 않는 CI로 표시됩니다.
      • 일치는 소스, source_instance 및 벤더 ID에서 벤더 ID 조회로 시작됩니다.
      • 규칙은 오름차순으로 실행되고 단일 CI 일치가 발견되면 중지됩니다.
      • 일치하는 CI가 하위 수준 네트워크 요소(예: dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nic 또는 cmdb_ci_ip_address)인 경우 상위 CI가 반환됩니다.
    4. 규칙 실행: 규칙은 단일 일치 항목이 발견될 때까지 가장 낮은 우선순위에서 가장 높은 우선순위로 실행됩니다. 여러 일치 항목이 발생하는 경우 첫 번째 항목만 사용됩니다.

    특별 고려 사항

    • CI 클래스 제외: 시스템 속성을 사용하여 특정 CI 클래스를 일치에서 제외할 수 있습니다. 업그레이드 정보 및 속성 설정에 대한 지침을 참조하십시오 CI 클래스 무시 .
    • 상위 CI 반환: 하위 수준 네트워크 요소가 일치하지 않도록 일치하는 CI가 네트워크 어댑터, NIC(네트워크 인터페이스 카드) 또는 IP 주소인 경우 상위 CI가 반환됩니다.

    특정 통합에 대한 조회 규칙

    각 통합 플러그인에는 고유한 규칙 세트가 포함되어 있습니다.

    • Qualys: Qualys 호스트 ID, FQDN, NetBIOS, DNS, IP
    • Rapid7: MacAddress, FQDN, 호스트 이름, IP
    • Tenable.io: FQDN, NETBIOS, HOSTNAME, MacAddress, DNS
    • Tenable.sc: MacAddress, FQDN, NETBIOS
      주:
      Tenable.io 조회 규칙은 검색된 항목에 대해 일반 FQDN, IPV4 및 MacAddress 값보다 비어 있지 않은 네트워크 인터페이스 값(FQDN, IPV4 및 MacAddress)의 우선순위를 지정하고 채웁니다. 이러한 네트워크 인터페이스 값이 비어 있으면 검색된 항목에 대해 일반 FQDN, IPV4 및 MacAddress 값이 채워집니다.
    조회 규칙 관리
    • 사용자 지정 규칙 테스트: 성능 문제를 방지하기 위해 사용자 지정 또는 수정된 조회 규칙을 테스트합니다.
    • 삭제 대신 비활성화: 데이터 손실을 방지하기 위해 규칙을 삭제하지 않고 비활성화합니다.
    규칙을 신중하게 구성하지 않으면 노출 결과 데이터를 임포트하는 데 인스턴스에 부담이 될 수 있으며 자원과 관련된 성능 문제가 발생할 수 있습니다. 내에서 일치를 CMDB 반복하고 수행하는 데 사용되는 논리로 인해 처리 시간이 길어질 수 있습니다. 잠재적인 자원 저하 또는 성능 복잡성을 방지하려면 사용자 지정으로 작성된 조회 규칙 또는 미리 정의된 조회 규칙에 대한 수정을 테스트합니다. 중복 고아 기록 방지, 데이터 삭제 및 데이터 정리에 대한 자세한 내용을 참조하십시오 조회 규칙 실행 후 기록이 중복되거나 분리되는 것을 방지하는 단계 .
    주:
    CI 일치에 대한 자세한 내용은 KB0998706 문서를 참조하십시오.

    업데이트된 조회 규칙 다시 적용

    규칙을 업데이트한 후 다시 적용 을 사용하여 일치하지 않거나 이전에 일치했던 검색 항목에서 규칙을 다시 실행합니다. 이렇게 하면 결과 및 탐지에서 CI 정보가 업데이트됩니다. 선택한 특정 검색 항목에 대해 조회 규칙을 실행할 수도 있습니다. 자세한 내용은 선택한 검색 항목에 조회 규칙 다시 적용 문서를 참조하십시오.

    일치하지 않는 CI 및 분류되지 않은 하드웨어

    • 일치하지 않는 CI:CMDB 일치하는 항목이 없는 CI는 클래스가 일치하지 않는 CI로 설정된 검색된 항목 아래에 나열됩니다.
      주:
      검색된 각 항목에는 클래스 필드가 포함되어 있습니다. CI가 일치하지 않으면 이 필드는 일치하지 않는 CI로 설정됩니다.
    • 분류되지 않은 하드웨어: 조회 규칙으로 분류할 수 없는 자산을 분류되지 않은 하드웨어라고 합니다.

    조회 규칙을 통합 보안 노출 관리 효과적으로 관리하면 정확한 소유권을 식별하고 정정을 간소화하는 데 도움이 될 수 있습니다.