제로 데이 취약성 자동 생성
제로 데이 취약성 시나리오는 아직 CVE 할당을 받지 못한 취약성을 탐지하고 관리하는 방법을 TISC 보여줍니다.
필요한 역할: sn_sec_tisc.admin
이 기능을 사용하면 구성 가능한 태그 지정 규칙을 통해 제로 데이 취약성을 자동으로 탐지하고 처리할 수 있습니다. 자세한 내용은 TISC에서 태그 지정 규칙 구성 문서를 참조하십시오.
전제 조건:
제로 데이 멘션이 있는 RSS 피드 태그 지정 규칙이 활성화되어 있는지 확인합니다. 이렇게 하면 RSS 피드가 취약성 인텔리전스: ZERODAY 분류와 자동으로 연결됩니다.
제로 데이 취약성 처리 - 취약성 소스 기록 생성
제로 데이 취약성 처리 - 취약성 소스 기록 생성.
취약성 소스 기록은 다음과 같은 경우 자동으로 생성됩니다.
- RSS 피드 기록은 특정 제로 데이 분류 값과 연결됩니다.
- 제로 데이 분류와 연결된 RSS 피드가 업데이트되고 CWE ID, CVE ID, CPE 또는 제품 ID와 같은 새 엔터티가 포함됩니다.
레코드 식별: 각 취약성 소스 레코드는 RSS 피드 GUID를 사용하여 고유하게 식별되므로 원본 소스에 대한 추적이 가능합니다.
처리 계층은 취약성 기록이 존재하지 않는 경우에만 해당 취약성 소스 기록에 대해 제로 데이 취약성 기록을 생성합니다.
TISC 는 취약성 소스 및 취약성 기록의 다음 필드를 자동으로 채웁니다.
| 필드 | 설명 |
|---|---|
| 이름 | RSS 피드 GUID와 타임스탬프의 조합입니다. |
| 설명 | GUID 참조를 포함하여 RSS 피드에서 기록이 생성되었음을 나타냅니다. |
| 제로 데이 플래그 | True로 설정합니다. |
| CVE ID | 정확히 하나의 CVE가 식별되는 경우 채워집니다. |
| 추가 컨텍스트 | 추출한 CVE ID 및 제품 ID를 포함합니다. |
다음 엔터티가 RSS 피드에서 추출됩니다.
- CVE ID(취약성)
- CWE ID(약점)
- CPE 및 제품 ID(영향을 받는 제품)
추출 및 상관관계 메커니즘에 대한 자세한 내용은 KB2936701 문서를 참조하십시오.