의 예외 관리 컨테이너 취약성 대응

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 조직이 게시된 취약성 관리 또는 보안 정책, 표준 또는 지침을 준수할 수 없는 경우 예외를 요청할 수 있습니다. 예외 관리에는 정책에 따라 정정할 수 없는 컨테이너 취약한 항목(CVIT)에 대한 예외를 요청, 검토, 승인 또는 거부하는 작업이 수반됩니다.

    일부 컨테이너 취약성(CVIT)에는 기존 패치, 수정 사항 또는 솔루션이 없을 수 있습니다. 예외가 승인되면 취약성을 수정하지 않을 경우의 결과를 인정하고 동의하기 때문에 위험을 수락한다는 의미이기도 합니다.

    예외의 수명주기

    예외의 정의
    지정된 기간 동안 CVIT 또는 RT의 수정을 연기하는 요청은 예외입니다. 예를 들어 업데이트 적용 소유자는 시스템에 패치를 사용할 수 없는 경우 예외를 요청할 수 있습니다.
    예외 요청
    정정 소유자는 예외 관리 프로세스를 사용하여 CVIT 또는 RT에 대한 면제를 요청할 수 있습니다. 예외 승인자가 이 요청을 승인하면 CVIT 또는 RT가 지연 상태로 전환됩니다.
    예외 요청 승인
    즉시 수정할 수 없는 CVIT 또는 RT는 취약성 분석가가 검토하고, 위험을 평가하고, 수정할 수 있을 때까지 지연 승인을 받습니다. 예외 요청 승인은 2단계 워크플로우가 될 수 있습니다. 첫 번째 수준 승인자만 있는 경우 예외를 요청하고 승인할 수 있습니다. 그러나 첫 번째 수준 승인자가 없으면 예외를 요청할 수 없습니다. 자세한 내용은 예외 승인자 추가 문서를 참조하십시오.
    주:

    v15.0부터 취약성 대응 VR 애플리케이션을 처음 배치하는 경우 예외 관리를 위한 Flow Designer가 기본적으로 활성화됩니다. 워크플로우를 이미 사용 중인 경우에는 Flow Designer로 업데이트할 수 있습니다. 두 경우 모두 워크플로우로 다시 변경할 수 없습니다. 예외 관리 및 긍정 오류에 대한 승인 규칙을 구성하려면 다음 문서를 참조하십시오 예외 관리에 대한 승인 규칙 구성.

    CVIT 또는 RT에 대한 예외 요청이 승인되면 다음 작업을 수행할 수 있습니다.
    • 재오픈
    • 삭제
    • 할당 대상 또는 할당 그룹 필드 업데이트
    예외 요청 추적
    예외를 발생시킨 후에는 CVIT 또는 RT의 상태 변경 승인 탭을 사용하여 상태를 추적할 수 있습니다. RT에서 작업이 수행되면 해당 RT에서 개별 CVIT의 상태를 추적할 수 없습니다.
    예외 요청 만료
    특정 CVIT 또는 RT에 대한 예외 요청이 만료되면 영향을 받는 CVIT 또는 RT가 오픈 상태로 되돌아갑니다.

    RT의 단일 CVIT 또는 모든 CVIT가 다음 스캔에서 통과하면 CVIT 및 RT 상태 필드(해당하는 경우)가 하위 상태가 고정상태로 종결됨으로 변경됩니다.

    승인 규칙 구성

    다음으로 이동하여 승인 규칙 보기 및 구성 모두 > 컨테이너 취약성 대응 > 관리 > 승인 규칙. 영향을 받는 취약성, CI(구성 항목) 또는 CVIT를 식별하여 즉시 정정하거나 연기할 수 없는 CVIT에 대한 예외를 요청합니다. CVIT 지연 프로세스를 자동화합니다. 시스템에서 이러한 CVIT를 식별할 때 이러한 규칙에 따라 일치하는 CVIT를 연기합니다.
    기본적으로 다음 승인 규칙이 제공됩니다.
    • 예외 요청에 대한 승인: 두 가지 승인 수준의 기본 구성이 기본 시스템에 제공됩니다. 취약한 항목에 대한 예외 요청이 있을 때마다 수준 1에 있는 사용자 또는 그룹으로 승인 요청이 전송됩니다. 수준 1 승인자가 승인하면 수준 2 승인자에게 전송됩니다.
      주:
      기본 수준을 변경하고 필요에 따라 편집할 수 있습니다. 컨테이너 취약성 대응 v2.0.6부터는 시스템 속성 [sys_properties] 테이블의 워크플로우를 통해 예외 승인을 위해 기본 시스템에 제공된 시스템 속성을 사용할 수 있습니다. 따라서 워크플로우를 통해 예외 또는 긍정 오류 요청이 발생하면 시스템 속성에 정의된 그룹 ID로 승인을 위해 전송됩니다. 다음으로 이동 모두 > 시스템 속성 sn_vul_container.container_exception_approver_L1을 클릭하고 , sn_vul_container.container_exception_approver_L2또는 sn_vul_container.container_false_positive_approver_group 속성을 변경합니다.
    • 예외 규칙에 대한 승인: 구성이 없지만 두 가지 승인 수준이 있습니다.
    • 긍정 오류 승인: 승인 수준이 하나인 하나의 구성이 있습니다.
    주:
    의 v2.5 컨테이너 취약성 대응부터 설정된 일 수 후에 승인자와 요청자 모두에 대한 이메일 알림과 함께 긍정 오류 및 예외를 승인하는 시간 프레임을 구성할 수 있습니다. 요청이 발생하면 컨테이너 취약한 항목이 검토 중 상태로 변경되고 상태 변경 기록이 생성됩니다. 승인자가 구성된 시간 내에 응답하지 않으면 컨테이너 취약한 항목 또는 정정 작업이 오픈 상태로 되돌아갑니다. 이전 상태는 backup_state 필드에 저장됩니다. 자세한 내용은 예외 관리에 대한 승인 규칙 구성 문서를 참조하십시오.