Rapid7 취약성 통합 구성
응용 Rapid7 취약성 통합 프로그램이 설치되고 활성화된 ServiceNow AI Platform®후에 구성합니다.
시작하기 전에
필요한 역할: 관리자 [admin]가 앱을 다운로드하여 설치합니다. sn_vul.vulnerability_admin 또는 sn_vul.admin은 구성을 감독하고 예상 결과를 확인합니다.
프로시저
- 애플리케이션을 활성화(설치)한 후 Rapid7 취약성 통합 > 관리 > 구성.
-
목록에서 통합 유형을 선택합니다.
그림 1. 통합 유형 목록 -
통합 인스턴스를 선택합니다.
기본 Rapid7 InsightVM 통합 인스턴스가 기본적으로 선택됩니다. 원하는 통합 유형인 경우 다음 단계를 수행합니다. 데이터 웨어하우스 통합 유형을 구성 Rapid7 하려면 4단계로 진행합니다.
-
표시되는 양식에서 통합 설정 탭을 선택한 상태에서 필드를 입력합니다.
표 1. InsightVM 통합 유형에 대한 통합 설정 탭 필드 설명 InsightVM 지역 사이트에서 가져온 서버 URL입니다 Rapid7 . API 키 인사이트 계정에서 가져온 API 키입니다 Rapid7 . 확인 상태 읽기 전용: 자격 증명 확인 프로세스의 상태입니다. -
자격 증명 테스트를 클릭하여 구성이 성공했는지 확인합니다.
구성 중에 오류 메시지가 표시되면 데이터를 다시 입력하십시오.
- 테스트가 성공적으로 완료되면 저장을 클릭합니다.
-
구성 임포트 탭을 클릭합니다.
표시되는 양식의 필드에 내용을 입력합니다.
표 2. InsightVM에 대한 임포트 구성 탭 필드 설명 최소 CVSS 점수 임포트 중 취약 항목을 필터링하는 데 사용되는 최소 취약 항목 CVSS 점수입니다. 최대 CVSS 점수 임포트 중에 취약 항목을 필터링하는 데 사용되는 최대 취약 항목 CVSS 점수입니다. 사이트 필터 사이트 목록에서 선택한 사이트로 Rapid7 InsightVM 데이터를 제한합니다. 사이트별 Rapid7 필터링 문서를 참조하십시오. 두 개 이상의 사이트를 선택할 수 있습니다. 기본값(비어 있음)은 모든 사이트를 가져옵니다. 사이트 목록을 미리 채우려면 이 필드를 설정하기 전에 Rapid7 사이트 통합 — API를 실행합니다.
사이트 필터링 사용에 대한 자세한 내용은 다음 문서를 참조하십시오 사이트별 Rapid7 필터링.
CVE 항목 자동 생성 CVE 항목을 생성하는 시스템 속성은 기본적으로 활성(true)입니다. CVE 자리표시자는 CVE ID가 없는 경우 Rapid7 지식 수집을 통해 자동으로 생성됩니다. 이 기능을 비활성화하려면 시스템 속성 목록에서 속성 [sn_vul_r7.create_cve_for_vulnerabilities]를 비활성화합니다.
기간별로 해결된 다시 열기 이 옵션을 선택하면 취약한 항목이 해결되었지만 종결되지 않은 일 수가 해결된 후 다시 열기 필드에 표시된 값과 일치할 때 자동으로 다시 열립니다. -
저장을 클릭합니다.
통합 유형의 여러 배포 Rapid7 InsightVM 의 경우:
-
통합 인스턴스 필드에서 조회 목록 검색
열고 기존 통합 인스턴스를 선택하거나 팝업 메뉴에서 새로 만들기를 클릭합니다.
-
새로 만들기에 통합 인스턴스의 이름을 입력하고 제출을 클릭합니다.
구성 양식에 Rapid7 통합 유형이 나타납니다.주:기본값을 제외한 모든 통합 인스턴스를 삭제할 수 있습니다. 인스턴스를 삭제하면 다음(VI 제외)이 삭제됩니다.
- 통합
- 인스턴스 매개변수
- 통합 실행
- 통합 프로세스
- VI의 인스턴스 열이 비어 있음으로 표시되어 있습니다.
- 자격 증명 테스트를 클릭하여 구성이 성공했는지 확인합니다.
- 테스트가 성공적으로 완료되면 저장을 클릭합니다.
-
표시되는 양식에서 통합 설정 탭을 선택한 상태에서 필드를 입력합니다.
-
통합 유형 필드에서 목록을 확장하고 데이터 웨어하우스를 클릭합니다.
-
통합 설정 탭을 선택합니다.
표시되는 양식의 필드에 내용을 입력합니다.
표 3. 데이터 웨어하우스에 대한 통합 설정 탭 통합 유형 필드 설명 JDBC 자격 증명 이름 데이터 웨어하우스 자격 증명의 이름입니다. 사용자 이름 Rapid7 데이터 웨어하우스 사용자 이름입니다. 암호 Rapid7 데이터 웨어하우스 암호입니다. 확인 상태 읽기 전용: 자격 증명 확인 프로세스의 상태입니다. 확인 상세 정보 읽기 전용: 데이터 웨어하우스 전용입니다. 자격 증명 테스트를 한 번 이상 클릭하면 확인 검사에 대한 추가 정보가 표시됩니다. 이는 설정을 디버깅하는 데 유용할 수 있습니다(예: MID 서버가 잘못 구성되었는지 또는 자격 증명이 잘못되었는지 확인). 데이터베이스 서버 DNS/IP 데이터 웨어하우스의 DNS 또는 IP 주소입니다. 데이터베이스 포트 데이터 웨어하우스 통합에 사용할 포트입니다. 데이터베이스 이름 데이터 웨어하우스의 이름입니다. 데이터 지연 오프셋(일) 데이터 지연 오프셋은 스캐너의 Rapid7 Nexpose 실시간 데이터와 데이터 웨어하우스의 데이터 사이의 지연을 고려합니다. MID 서버 사용할 MID 서버입니다. 독립 실행형 MID Server만 지원됩니다. 클러스터된 MID 서버는 지원되지 않습니다. MID 서버 시간 제한(분) 통합 실행 시간이 초과되기 전에 MID 서버의 응답을 기다리는 시간(분)입니다. - 자격 증명 테스트를 클릭하여 구성이 성공했는지 확인합니다.
- 테스트가 성공적으로 완료되면 저장을 클릭합니다.
-
구성 임포트 탭을 클릭합니다.
표시되는 양식의 필드에 내용을 입력합니다.
표 4. 데이터 웨어하우스에 대한 임포트 구성 탭 필드 설명 v12.0 이전: CVE 항목 생성 확인란 선택하면 아직 존재하지 않는 CVE의 자리 표시자가 NVD 기록으로 생성되고 Rapid7에 대한 외부 공급업체 항목에서 참조됩니다. 선택하지 않으면 이러한 CVE는 무시됩니다. 최소 CVSS 점수 임포트 중 취약 항목을 필터링하는 데 사용되는 최소 취약 항목 CVSS 점수입니다. 최대 CVSS 점수 임포트 중에 취약 항목을 필터링하는 데 사용되는 최대 취약 항목 CVSS 점수입니다. 사이트 필터 임포트한 사이트 통합 데이터를 선택한 사이트로 제한합니다. 두 개 이상을 선택할 수 있습니다. 주:기본 설정은 모든 사이트에서 데이터를 가져오는 것이므로 모든 사이트를 원하는 경우에는 필터를 사용할 필요가 없습니다. 이렇게 하면 요청 속도가 느려집니다.기간별로 해결된 다시 열기 이 옵션을 선택하면 취약한 항목이 해결되었지만 종결되지 않은 일 수가 해결된 후 다시 열기 필드에 표시된 값과 일치할 때 자동으로 다시 열립니다.
-
통합 설정 탭을 선택합니다.
- 저장을 클릭합니다.
- 옵션:
취약성 통합 - API 및 Rapid7 취약한 항목 통합 - API 통합 기록에 Rapid7 시작 날짜를 설정하여 검사에서 Rapid7 처음 임포트하는 동안 기록 데이터를 검색하려면 다음 단계를 수행하십시오.
이 데이터를 사용하여 다음을 도 취약성 대응에서 부실 탐지 종결울 수 있습니다.
-
다음으로 이동 Rapid7 취약성 통합 > 관리 > 통합.
Rapid7 통합 목록이 표시됩니다.
-
통합 기록 중 하나를 클릭하여 엽니다.
양식 상단 근처에서 여기 링크를 클릭하여 기록을 편집합니다.
취약성 통합 - API 및 Rapid7 취약한 항목 통합 - API를 제외하고 Rapid7 통합의 Rapid7 날짜 이후 임포트 필드는 기본적으로 비어 있습니다. 이러한 통합의 경우 필드는 1998-12-31 또는 1999-01-01로 설정됩니다.
스캔에서 Rapid7 처음 임포트하는 동안 기록 데이터를 검색하려면 적절한 통합 기록에서 시작 날짜를 설정하십시오. 이 프로세스는 다음 예외를 제외하고 모든 Rapid7 통합에 대해 작동합니다.- Rapid7 익스플로잇 및 맬웨어 키트 통합은 델타 업데이트를 수행하지 않아 해당 필드를 사용하지 않기 때문에 다음 이후 임포트 필드를 표시하지 않습니다.
- 자산 목록 통합은 Rapid7 의도적으로 모든 데이터를 검색하므로 이 필드를 무시합니다.
- 부실 취약한 항목 자동 종결 모듈이 활성화되고 다음 이후 임포트 필드가 비어 있는 경우 포괄적인 취약한 항목 통합 – API의 Rapid7 InsightVM 초기 실행에 사용됩니다.
자동 닫기 기능을 활성화하면 Rapid7 종합 취약한 항목 통합 또는 Rapid7 종합 취약한 항목 통합 - API에서 성공적으로 실행해야 합니다. 이러한 통합은 기본적으로 비활성화되어 있습니다.
포괄적인 취약한 항목 통합 – API를 Rapid7 InsightVM 활성화할 때 통합 구성 페이지에서 다음 이후 임포트 필드를 비워 두면 부실 취약한 항목 자동 종결 양식의 일 전 필드 값이 첫 번째 통합 실행의 다음 날짜 임포트 에도 사용됩니다. 부실 취약한 항목 자동 종결의 기본값은 (90일)입니다.
예를 들어, 부실 취약한 항목 자동 종결 양식의 일수 전 필드가 90이고 Rapid7 포괄적인 취약한 항목 통합 - API 구성 페이지의 다음 이후 임포트 필드가 비어 있는 경우 첫 번째 통합 실행에서 지난 90일 동안의 데이터를 임포트합니다.
임 포트 이후 및 일 전 필드 간의 이 관계는 첫 번째 통합 실행에만 적용됩니다. 그 이후에는 부실 취약한 항목 자동 종결 양식에서 일 전 필드를 변경해도 Rapid7 포괄적인 취약한 항목 통합 - API 구성 페이지의 다음 이후 임포트 필드에는 영향을 주지 않습니다. 이 필드는 첫 번째 실행의 시작 시간으로 변경되므로 후속 통합 실행은 델타 정보만 임포트합니다.
다음 이후 임포트 필드는 편집 가능하며 각 통합에 대해 원하는 값을 입력할 수 있습니다.
-
다음으로 이동 Rapid7 취약성 통합 > 관리 > 통합.
-
다음으로 이동 모두 > sn_sec_int_impl.list > Rapid7 InsightVM.
-
import_startime_buffer_comprehensive 통합 인스턴스 매개변수는 다음 이후 임포트 필드에 지정된 시간 이전의 24시간의 버퍼 시간을 설정하여 이 버퍼 시간에서 스캔한 자산이 Rapid7 종합 취약한 항목 통합 - API 통합 실행 중에 가져오도록 합니다.
요구 사항에 따라 이 버퍼 시간을 수정할 수 있습니다.
- 옵션: close_stale_detections 매개변수를 예로 설정하여 Rapid7 포괄적인 취약한 항목 통합 - API를 통해 Rapid7 API를 통해 스캔 및 검색되는 자산에 대해 더 이상 Rapid7 API를 통해 들어오지 않는 부실 탐지를 종결합니다.
에 대한 Rapid7 취약성 통합설정, 설치 및 구성 단계를 성공적으로 완료했습니다. 이제 임포트한 데이터를 검토하고 검증할 준비가 되었습니다.
-
import_startime_buffer_comprehensive 통합 인스턴스 매개변수는 다음 이후 임포트 필드에 지정된 시간 이전의 24시간의 버퍼 시간을 설정하여 이 버퍼 시간에서 스캔한 자산이 Rapid7 종합 취약한 항목 통합 - API 통합 실행 중에 가져오도록 합니다.
다음에 수행할 작업
Rapid7Qualys 및 스캐너는 애플리케이션에서 취약성 대응 기본적으로 비활성화되어 있습니다. 이러한 애플리케이션을 소스로 사용하는 취약한 항목 또는 정정 작업에서 다시 스캔을 수행하려고 하면 다시 스캔 버튼을 사용할 수 없습니다.
이러한 스캐너를 활성화하려면 sn_vul.vulnerability_admin 역할을 가진 사용자가 다음을 수행합니다.
- 다음으로 이동 모두 > 취약점 대응 > 취약성 스캐닝 > 스캐너.
- 활성화할 스캐너 제품을 찾아 기록을 클릭하여 엽니다.
- 활성 확인란을 선택합니다.
- 업데이트를 클릭합니다.
활성화한 제품은 다음 임포트 후 취약한 항목 및 정정 작업 기록의 소스 필드에 표시되며 재스캔은 UI 작업으로 사용할 수 있습니다.
도메인 분리된 임포트가 필요한 환경에서는 다음 문서를 참조하십시오 통합을 위해 도메인 분리된 임포트 생성.
임포트하기 전에 조회 규칙을 생성하거나 구체화하려면 다음 문서를 참조하십시오 취약성 대응 CI 조회 규칙 만들기.