취약성 대응에서 부실 탐지 종결
부실 탐지 자동 종결 모듈을 사용하면 외부 공급업체 통합에서 최근에 발견되지 않은 오래되고 부실하고 취약한 탐지를 자동으로 정리할 수 있습니다. 이러한 탐지를 종결로 이동하면 인스턴스의 ServiceNow AI Platform 활성 취약한 항목 및 정정 작업 수가 줄어들고 CMDB에서 자산을 조정하는 데 도움이 됩니다.
개요 및 주요 용어
탐지 데이터를 취약한 항목에 보다 정확하게 롤업하기 위해 부실 탐지 자동 종결 모듈을 사용하면 외부 공급업체 통합에서 최근에 발견되지 않은 오래된 상태의 취약한 항목 탐지를 정리할 수 있습니다. 이 기능에 대한 자세한 내용은 아래 사용 사례를 참조하십시오.
이전 버전에서 취약성 대응취약한 항목 자동 종결 모듈은 외부 공급업체 스캐너 통합에서 최근에 발견되거나 업데이트되지 않은 취약한 항목을 종결됨 - 부실로 자동 전환했습니다.
부실 탐지 자동 종결 기능을 활성화하기 전에 다음 조건, 상태가 취약 항목 및 정정 작업으로 롤업되는 방식, 탐지 데이터를 임포트하는 외부 공급업체 통합의 필수 조건을 검토하십시오.
이 기능을 활성화하려면 다음 문서를 참조하십시오 취약성 대응에서 부실 탐지 자동 종결.
주요 용어
- 부실 탐지
- 오래되고 오랜 시간 동안 외부 공급업체 통합 검사를 통해 발견, 업데이트 또는 탐지되지 않은 인스턴스의 ServiceNow AI Platform® 취약한 항목과 연결된 탐지를 나타냅니다.
- 마지막으로 발견된 탐지
- 이 검색 옵션은 외부 공급업체 스캐너에서 제공한 날짜와 시간을 사용합니다. 이 용어는 스캐너에서 탐지를 다시 발견한 가장 최근 또는 최신 날짜 및 시간을 나타냅니다.
- 마지막으로 검사한 자산
- 이 검색 옵션은 외부 공급업체 스캐너에서 제공한 날짜와 시간을 사용합니다. 이 용어는 타사 스캐너에서 자산을 마지막으로 스캔한 최신 날짜 및 시간을 나타냅니다.
사용 케이스
경우에 따라 자산(구성 항목)이 사용자 환경에서 해제되거나 외부 공급업체 스캐너에 의해 제거될 수 있으며, 이와 관련된 탐지가 취약한 항목 탐지에 의해 업데이트되지 않습니다. 그 결과, 탐지 및 관련 취약한 항목이 애플리케이션에서 취약성 대응 업데이트되지 않고 비활성 상태(부실)가 됩니다.
취약한 항목 데이터가 변경되지 않은 이러한 오래된 탐지를 종결한 다음 활성 VI 및 RT(정정 작업) 수를 줄이려면 부실 탐지 자동 종결을 활성화합니다. 이 기능은 검색 기준과 설정한 기간(일수)에 따라 외부 공급업체 스캐너 통합으로 최근에 발견되거나 업데이트되지 않은 취약 항목 탐지를 자동으로 종결합니다.
예를 들어, 특정 CI(구성 항목)에 여러 개의 자산 ID가 있고 지난 90일 동안 외부 공급업체 스캐너의 탐지 시 이러한 ID 중 하나를 임포트하지 않았다고 가정해 보겠습니다. 이 기능은 연결된 VI를 종결할 수 있도록 새로운 취약성 데이터가 없는 이 탐지를 자동으로 종결합니다.
VI에는 둘 이상의 검출이 연결될 수 있으므로 이 기능은 설정한 매개변수에 의해 부실한 것으로 결정된 검출만 전환합니다. 예를 들어 VI에 4개의 탐지가 연결되어 있고 2개의 탐지가 부실한 경우, 즉 지난 90일 동안 임포트된 새 취약성 데이터가 없는 경우 이 기능은 부실 탐지만 종결합니다. VI를 닫기 전에 먼저 다른 두 개의 미해결 탐지를 정정해야 합니다.
VI에 대한 탐지 상태 롤업
자동 종결된 탐지와 외부 공급업체 스캐너에 의해 종결된 탐지를 구별하기 위해 상태 필드의 새 값인 부실이 추가되었습니다. 이 필드에 사용할 수 있는 값은 오픈, 종결 및 부실입니다. 부실은 자동 종결 탐지 기능으로 종결된 탐지를 나타냅니다.
상태 우선순위: 오픈 > 부실 > 종결.
- 탐지가 오픈 상태인 경우 연결된 VI 상태는 오픈 상태로 유지됩니다.
- 오픈 상태인 탐지가 없고 일부는 종결되며 일부는 부실 상태인 경우 연결된 VI 상태가 종결 - 고정으로 전환됩니다.
- 모든 탐지가 부실하면 연결된 VI 상태가 종결 - 부실로 전환됩니다.
20.0부터 취약성 대응 는 검출이 부실이고 관련 VI가 종결 상태인 경우 VI의 상태가 종결 - 부실로 전환되지 않습니다. 이는 새로운 탐지가 식별될 때 VI가 다시 열리지 않도록 하여 전체 가양성 요청 및 승인 프로세스를 거치지 않도록 하기 위한 것입니다. 이 동작을 취소하려면 자동 종결 구성 양식에서 종결된 VI에 대한 부실 탐지 무시 확인란의 선택을 취소합니다. 자세한 내용은 취약성 대응에서 부실 탐지 자동 종결 문서를 참조하십시오.
정정 작업에 대한 VI 상태 롤업(VUL)
상태 우선순위: 오픈 > 종결 - 고정 > 종결 - 부실.
- VUL(정정 작업)의 VI가 열려 있으면 VUL 상태가 변경되지 않습니다.
- 하나 이상의 VI가 종결 - 고정이고 나머지는 종결 - 부실 상태인 경우 VUL 상태가 종결 - 고정으로 전환됩니다.
- VUL의 모든 VI가 종결 - 부실인 경우 VUL 상태가 종결 - 취소됨으로 전환됩니다.
- VI가 종결 – 긍정 오류로 종결된 경우 VUL이 자동으로 종결되지 않습니다.
상태 롤업 및 롤다운 시나리오에 대한 자세한 내용은 을 참조하십시오 상태 롤업 및 롤다운 시나리오.
자동 종결 탐지 및 외부 공급업체 통합 요구 사항
Microsoft TVM 사용자 및 부실 탐지 자동 종결
| 검사 목록 항목 | 설명 |
|---|---|
| Microsoft TVM 취약성 통합 | Microsoft TVM 취약성 통합에서 검색의 기반으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 Microsoft TVM 머신 취약성 통합(전체 임포트)을 성공적으로 실행해야 합니다. 이 통합은 매주 실행됩니다. 마지막으로 발견된 탐지에 대해 부실 탐지 자동 종결이 활성화되고 구성되어 있고 Microsoft TVM 머신 취약성 통합이 비활성화되어 있거나 지난 7일 이내에 데이터 임포트가 성공적으로 완료되지 않은 경우 탐지를 종결하는 예약된 작업은 여전히 매일 실행되지만 일부 부실 탐지는 예상대로 종결되지 않을 수 있습니다. 검색의 기반을 위해 마지막으로 검사된 자산을 선택하면 Microsoft TVM 머신 취약성 통합 실행이 필요하지 않습니다. 이 통합을 활성화하려면:
|
| (선택 사항) 사용자 환경에 Microsoft TVM 통합의 여러 인스턴스를 배포합니다. | 필요에 따라 환경 전체에 통합의 여러 인스턴스를 배포할 수 있습니다. 부실 탐지 자동 종결은 인스턴스에 따라 다르며 사용자 환경 전체에서 사용 또는 사용 안 함으로 설정됩니다. 부실 탐지는 통합 실행을 성공적으로 완료한 인스턴스에서 자동으로 부실로 전환됩니다. 부실 탐지 자동 종결이 활성화되어 있고 인스턴스에서 매주 실행되는 통합을 비활성화하면 탐지를 종결하는 예약된 작업은 여전히 매일 실행되지만 일부 탐지는 예상대로 자동으로 부실로 전환되지 않을 수 있습니다. |
Qualys 사용자 및 부실 취약한 항목 자동 종결
- 탐지 데이터를 검색하는 활성화된 Qualys 타사 통합은 이 모듈로 실행할 수 있습니다. 특정 Qualys 애플리케이션이 필요하지 않습니다.
- 필요에 따라 환경 전체에 통합의 Qualys 여러 인스턴스를 배포할 수 있습니다.
- 부실 탐지 자동 종결은 인스턴스에 따라 다르며 사용자 환경 전체에서 사용 또는 사용 안 함으로 설정됩니다. 부실 탐지는 모든 인스턴스에서 부실로 자동 전환됩니다.
Rapid7 사용자 및 부실 탐지 자동 종결
| 검사 목록 항목 | 설명 |
|---|---|
| Rapid7 취약성 통합 | 검색의 기준으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 포괄적인 취약한 항목 통합 중 Rapid7 하나를 성공적으로 실행해야 합니다. 이러한 포괄적인 통합은 매주 실행됩니다.
마지막으로 발견된 탐지에 대해 부실 탐지 자동 종결이 활성화되고 구성되어 있고 Rapid7 포괄적인 취약한 항목 통합이 비활성화되어 있거나 지난 7일 이내에 데이터 임포트가 성공적으로 완료되지 않은 경우 탐지를 종결하는 예약된 작업은 여전히 매일 실행되지만 일부 부실 탐지는 예상대로 종결되지 않을 수 있습니다. 검색의 기반으로 마지막으로 스캔된 자산을 선택하면 포괄적인 Rapid7 통합 실행이 필요하지 않습니다. 이러한 통합을 활성화하려면 다음을 수행합니다.
주: 매주 실행되고 Rapid7 NexposeRapid7 InsightVM 각각 매일 실행되는 VI 통합이 있는 이러한 통합 외에도 Rapid7 취약한 항목 통합 및 Rapid7 취약한 항목 통합 - API가 있습니다. 일별 Rapid7 및 매주 통합이 모두 활성화된 경우 한 번에 하나의 통합만 실행됩니다. 이러한 통합 작업 중 하나가 실행 중인 경우 예약된 다음 작업까지 다른 통합에 대한 작업을 건너뜁니다. |
| (선택 사항) 사용자 환경에 통합의 Rapid7 여러 인스턴스를 배포합니다. | 필요에 따라 환경 전체에 포괄적인 통합의 여러 인스턴스를 배포할 수 있습니다. 부실 탐지 자동 종결은 인스턴스에 따라 다르며 사용자 환경 전체에서 사용 또는 사용 안 함으로 설정됩니다. 부실 탐지는 통합 실행을 성공적으로 완료한 인스턴스에서 자동으로 부실로 전환됩니다. 부실 탐지 자동 종결이 활성화되어 있고 인스턴스에서 매주 실행되는 통합을 비활성화하면 탐지를 종결하는 예약된 작업은 여전히 매일 실행되지만 일부 탐지는 예상대로 자동으로 부실로 전환되지 않을 수 있습니다. |
Tenable 취약성 통합 사용자 및 부실 취약한 항목 자동 종결
- 탐지 데이터를 검색하는 Tenable 취약성 통합에서 활성화된 모든 통합을 이 모듈로 실행할 수 있습니다. 특정 Tenable 취약성 통합은 필요하지 않습니다.
- 필요에 따라 환경 전체에 걸쳐 Tenable 취약성 통합의 여러 인스턴스를 배포할 수 있습니다.
- 부실 탐지 자동 종결은 인스턴스에 따라 다르며 사용자 환경 전체에서 사용 또는 사용 안 함으로 설정됩니다. 부실 탐지는 모든 인스턴스에서 부실로 자동 전환됩니다.
통합이 올바르게 구성되었는지 확인한 후 기능을 활성화하려면 문서를 참조하십시오 취약성 대응에서 부실 탐지 자동 종결 .
부실 취약한 항목 자동 종결에서 부실 탐지 자동 종결로 정보 업그레이드
- 부실 취약한 항목 자동 종결에서 마지막으로 검사한 자산 옵션에 입력한 일 수 값은 부실 탐지 자동 종결에서 마지막으로 검사한 자산 에 대해 자동으로 보존됩니다.
- 부실 취약한 항목 자동 종결에서 마지막으로 발견된 취 약한 항목 옵션에 입력한 일 수 값은 부실 탐지 자동 종결에서 마지막으로 발견된 탐지에 대해 자동으로 보존됩니다.
- 취약한 항목이 종결 - 부실인 기존 미해결 탐지는 업그레이드 후 예약된 작업이 실행될 때 Auto-Close Stale Detections 자동 종결 종결 구성 설정에 따라 부실로 전환됩니다.
롤업 정보
- 업그레이드 전에 취약한 항목이 종결 - 부실이고 업그레이드 후 모든 탐지가 부실로 표시된 경우 VI 상태는 종결 - 부실로 유지됩니다.
- 업그레이드 전에 취약한 항목이 종결 - 부실이고 업그레이드 후 탐지 중 일부만 부실로 표시되고 나머지는 스캐너에 의해 종결된 경우 취약한 항목은 롤업 논리에 따라 종결 - 수정됨으로 전환됩니다.