구성 준수 계산기 및 계산기 규칙

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • 구성 준수 테스트 결과 필드의 초기 값 계산을 자동화합니다. 각 계산기의 조건을 순서대로 평가하고 첫 번째로 일치하는 계산기를 사용합니다.

    구성 준수 계산기

    구성 준수 기본 시스템에는 테스트 결과에 대한 기본 위험 점수를 설정하는 하나의 구성 준수 계산기(기본 위험 계산기)가 포함되어 있습니다. 조건 필터를 사용하여 조건에 따라 테스트 결과의 영향을 우선순위를 정하고 평가하도록 구성 준수 계산기를 작성할 수 있습니다. 취약성의 비즈니스 영향, CI(구성 항목)의 클래스 등 추가 구성 준수 계산기를 생성하여 테스트 결과에 대한 다른 필드를 설정하거나 기존 구성 준수 계산기를 사용자 지정할 수 있습니다. 계산기는 모든 우선순위 집합을 반영하도록 작성할 수 있습니다.

    각 계산기에는 규칙 적용 시기를 결정하는 조건과 함께 계산기 규칙 목록이 포함되어 있습니다. 계산기를 실행하면 각 계산기 규칙의 조건이 순서대로 평가되고 일치하는 첫 번째 계산기 규칙이 사용됩니다.

    활성화된 모든 구성 준수 계산기는 테스트 결과가 생성될 때마다, 연결된 CI 또는 구성 테스트가 변경될 때, 또는 테스트 결과의 위험 점수 계산 관련 링크가 사용될 때마다 선택한 필드를 설정합니다. 예를 들어, 임포트한 테스트 결과에서 control.criticality 값이 업데이트되면 테스트 결과 기록의 위험 점수가 자동으로 업데이트됩니다. 테스트 결과 임포트에서 테스트 결과 점수가 업데이트된 후 계산기 다시 적용 버튼을 선택하여 테스트 결과의 위험 점수를 다시 계산할 수 있습니다.

    기존 테스트 결과에서 위험 점수 계산 관련 링크를 선택하고 계산기 중 하나가 활성화되면 테스트 결과의 위험 점수 필드가 업데이트됩니다.
    주:
    • 위험 점수 계산 관련 링크는 하나 이상의 구성 준수 계산기를 활성화한 경우에만 표시됩니다.
    • 취약성 대응v22.0부터는 기록 뷰에서 위험 점수 계산 버튼을 선택하여 취약성 관리자 작업 공간 및 IT 정정 작업 공간에서 테스트 결과에 대한 위험 점수를 업데이트할 수 있습니다.
    • 구성 준수버전 14.13부터는 테스트 결과의 위험 점수가 변경될 때마다 다음 세부 정보가 테스트 결과의 메모 섹션에 문서화됩니다.
      • 계산기 그룹 이름
      • 계산기 이름: 계산기 규칙이 템플릿을 기반으로 하는지 스크립트를 기반으로 하는지에 따라 이름에 괄호 안에 세부 정보가 추가됩니다. 계산기 규칙의 기준을 수정하거나 보려면 규칙을 선택하고 고급 뷰 확인란을 선택합니다. 값 유형 드롭다운 상자에서 필요한 옵션을 선택합니다. 템플릿을 선택하면 규칙의 지정된 조건에 따라 위험 점수가 업데이트됩니다. 스크립트를 선택하면 기존 스크립트를 추가하거나 업데이트할 수 있습니다.
      • 가중치 및 위험 점수 기여도가 포함된 필드 값
      • 최종 위험 점수
      • 시스템 속성 sn_sec_cmn.risk_score_changes_add_worknotes 은 작업 메모 섹션을 채우는 데 도움이 됩니다. 의 v15.2.1 구성 준수부터 시스템 속성 sn_sec_cmn.risk_score_changes_add_worknotes 은 기본적으로 비활성 상태입니다. 이 기능을 활성화한 경우에만 작업 메모 섹션에서 테스트 결과의 위험 점수와 관련된 모든 변경 내용을 볼 수 있습니다. 또한 위험 점수가 변경된 경우에만 작업 메모가 업데이트됩니다.

    구성 준수 계산기 규칙

    기본적으로 기본 시스템 기본 위험 계산기가 제공됩니다. 이 계산기에 대한 위험 규칙을 생성하려면 기본 위험 계산기의 대상 필드를 위험 점수로 설정해야 합니다. 새 위험 규칙 버튼을 선택하여 새 위험 규칙을 생성합니다. 이렇게 하면위험 규칙이라는 특수한 테스트 결과 계산기 규칙이 생성되며, 이 규칙은 여러 값을 기반으로 위험 점수 를 계산합니다. 기본적으로 위험 점수 계산에 사용되는 값은 다음과 같습니다.
    • 비즈니스 중요도
    • 중요도
    기본 위험 규칙에서 사용할 값과 각 값에 지정할 가중치를 조정할 수 있습니다. 가중치는 기본 위험 점수를 설정할 때 각 요소의 카운트를 조정하는 데 사용됩니다.

    버전 13.0부터 구성 준수 기본 위험 규칙의 기준을 사용자 지정할 수 있습니다. 자세한 내용은 위험 규칙에 대한 필드 및 가중치 정의를 참조하십시오.

    가중치 백분율 할당

    필드 값 수준에서 가중치 백분율(0-100)을 할당할 수도 있습니다. 예를 들어, 각 심각도 수준에 가중치 백분율을 할당할 수 있습니다(없음에서 중요까지). 위험 규칙의 중요도 가중치가 50이고 다음 가중치 값이 중요도 수준에 할당되는 경우:
    표 1. 가중치 백분율 할당
    중요도 위험 점수
    심각 100
    높음 50
    보통 20
    없음 0
    중요도가 중요이면 해당 가중치는 50입니다. 중요도가 높으면 가중치는 25이고 중요도가 중간이면 가중치는 10입니다. 중요도가 없음이면 해당 가중치는 0입니다. 자세한 내용은 구성 준수에 대한 위험 점수 계산 예시를 참조하십시오.

    각 규칙에는 순서 설정이 있지만 조건과 첫 번째로 일치하는 규칙은 테스트 결과의 위험 점수 필드를 업데이트합니다. 일반적으로 스크립팅되지 않은 계산기 규칙은 스크립팅된 계산기 규칙보다 성능에 미치는 영향이 적습니다.

    기본 시스템 구성 준수 계산기에는 각 중요도 수준(없음에서 중요)에 심각도를 기준으로 위험 점수 값(0-100)을 할당하는 계산기 규칙이 포함되어 있습니다. 알 수 없는 심각도에는 위험 점수 100이 자동으로 할당됩니다. 이러한 값은 기본 위험 계산기, 새 계산기 규칙 또는 새 위험 규칙을 만들 수 있는 것처럼 조정할 수 있습니다.

    취약성 위험 점수 가중치

    모든 취약성에는 심각도, 중요도, 악용 정보 등의 요인에 따라 위험 점수와 등급이 할당됩니다. 취약한 항목 테이블의 비즈니스 규칙 Update Risk Rating from Risk Score 은 위험 등급을 계산하는 역할을 합니다. 위험 점수가 변경될 때마다 취약한 항목에 대한 위험 등급이 계산되어 채워집니다. (VR) 애플리케이션 버전 17.1 취약성 대응 이전에는 하드 코딩된 스크립트 포함 VulnerabilityUtils의 일부로 다음과 같은 위험 등급이 제공되었습니다.
    값(위험 등급) 가중치(위험 점수)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    의 18.0 버전 취약성 대응부터 ,
    • 위험 등급 유형은 기본 테이블에 cc_risk_rating 제공됩니다. 이러한 유형은 위험 등급이 계산되는 각 테이블에서 비즈니스 규칙의 일부로 전달됩니다.
    • 위험 등급 계산을 위해 위험 점수 가중치 테이블 값의 항목을 쿼리할 수 있도록 스크립트가 수정됩니다.
    • 기존 유형에 대한 항목을 추가하거나 새 유형을 생성합니다. 새 유형을 만들 때는 새 위험 등급에 대한 레이블을 추가하고 관련 스크립트 및 비즈니스 규칙도 수정해야 합니다. 또한 새 위험 점수에 대해 새 스타일을 추가해야 합니다.
    • 스크립트를 수정하여 기본 테이블의 기록을 쿼리합니다.
    필터 탐색기에 sn_sec_cmn_risk_score_weight(30.0 미만 버전의 경우) 또는 sn_sec_calculator_risk_score_weight(버전 30.0 이상)을 입력하여 위험 점수 가중치 테이블에 액세스할 수 있습니다.
    또한 다음과 같은 시나리오에서 위험 점수가 자동으로 다시 계산됩니다.
    • CI(구성 항목)가 인터넷이 아닌 연결에서 인터넷에 연결된 것으로 변경되는 경우.
    • VI(취약성 항목)에 대한 관련된 CVE(일반적인 취약성 및 노출) 또는 TPE(타사 항목)가 CVE KEV(알려진 익스플로잇 취약성)에 연결된 경우.