취약성 대응 외부 공급업체 통합에서 취약한 항목 탐지
인스턴스에서 ServiceNow AI Platform® 외부 공급업체 검사로 수집되는 모든 정보를 봅니다. 인스턴스의 탐지 및 VI(취약한 항목) 기록에 대한 검사의 반환된 결과를 스캐너에서 볼 수 있도록 봅니다.
개요
이 취약성 대응 애플리케이션은 엔터프라이즈 환경에서 취약한 항목 데이터를 검색하는 타사 통합을 지원합니다. 탐지에 대한 자세한 데이터, 즉 외부 공급업체 통합의 스캐너에서 보고되는 고유한 단일 취약성 발생이 임포트되어 인스턴스의 탐지 및 취약한 항목 기록 ServiceNow AI Platform 모두에 표시됩니다.
외부 공급업체 통합은 취약한 항목 탐지 데이터를 검색합니다. 탐지는 스캐너에서 보고한 취약성의 고유한 발생입니다. 탐지 데이터가 취약 항목과 쌍을 이루고 탐지 상태에 따라 VI 상태가 업데이트됩니다. VI를 찾을 수 없으면 새 VI가 생성됩니다. 탐지는 스캐너에서 직접 찾은 데이터에 의해서만 열리거나 닫힙니다.
이전 버전의 취약성 대응에서 취약한 항목 탐지는 환경의 CI(자산)와 외부 공급업체 스캐너에서 가져온 취약성 간의 관계로 인해 인스턴스에 고유한 취약한 항목이 ServiceNow AI Platform 생성되었습니다.
스캐너에서 제공하는 원본 데이터의 세분성은 보존됩니다. 탐지를 사용하면 탐지 데이터가 취약한 항목과 쌍을 이룹니다. 수집 중에 취약한 항목을 찾을 수 없으면 새 VI가 생성됩니다.
의 버전 21.1.2 취약성 대응부터 기본 시스템에 시스템 속성 sn_vul.show_last_open_detection 이 제공됩니다. 기본적으로 이 속성의 값은 false로 설정되어 있으며 초기 검출에서 VI로 값을 집계하는 현재 동작은 변경되지 않습니다. 그러나 true로 설정하면 수집 후 마지막으로 오픈된 탐지로 VI가 자동으로 업데이트됩니다. VI 탐지를 위해 IP 주소, SSL, 포트, 프로토콜, NetBIOS 및 증명과 같은 필드가 업데이트됩니다. 필요한 경우 DetectionBase 스크립트를 수정하여 업데이트해야 하는 탐지 필드를 사용자 지정할 수 있습니다.
마지막으로 오픈된 탐지에 대한 값을 보려면 VI 양식 뷰에서 마지막으로 오픈된 탐지 탭으로 이동합니다. 작년에 열린 모든 VI를 마지막으로 오픈된 탐지 값으로 업데이트하려면 요청 시 예약된 작업을 Update Last Open Detection Value To VITs 실행하면 됩니다. 이 예약된 작업은 기본 시스템에서도 제공됩니다.
지원되는 버전 취약성 대응
애플리케이션 설치 또는 업데이트 취약성 대응 에 대한 자세한 내용은 다음 문서를 참조하십시오 취약성 대응 설치.
지원되는 타사 통합
- Qualys 호스트 탐지 통합
- Rapid7 데이터 웨어하우스:
- 취약한 항목 통합
- 취약한 항목 해결 통합
- Rapid7 취약한 항목 해결 통합(InsightVM)
- Insight VM 통합
- 취약한 항목 통합 - API
- Tenable Vulnerability Integration
- Microsoft Defender 취약성 관리
이러한 타사 통합은 에서 ServiceNow Store별도의 구독을 통해 사용할 수 있습니다. 이러한 통합에 대한 자세한 내용은 권리 획득에 대한 자세한 내용을 참조하십시오 취약성 대응 통합보안 운영 그리고 ServiceNow Store .
외부 공급업체 스캐너가 임포트하도록 구성되어 있는지 확인하려면 보안 운영용 Rapid7 통합 애플리케이션 설치 및 구성 및 Qualys Vulnerability Integration 설치을 참조하십시오.
취약한 항목 탐지에 대한 주요 용어
- 취약성
- 내부 및 외부 소스에서 임포트한 소프트웨어, 운영 체제 및 자산의 약점에 대한 데이터입니다. 이 데이터를 가져와서 CMDB에 나열된 기존 자산(구성 항목, CI)과 비교합니다.
- 취약한 항목
- 임포트한 취약성이 CMDB의 CI와 일치하는 경우 취약한 항목이 생성되거나 업데이트됩니다.
- 탐지
- 환경 내에서 ServiceNow AI Platform 취약한 항목 탐지라고 하는 스캐너가 보고하는 취약성의 고유한 단일 발생입니다. 탐지에는 취약성 및 해당하는 취약 항목에 대한 보강된 데이터가 포함됩니다. 이 데이터는 탐지 레코드(VID#) 및 다음 세부 정보를 포함하는 취약한 항목 목록 뷰에 표시됩니다.
- 첫 발견(데이터)
- 마지막 발견(날짜)
- DNS 이름
- Net BIOSname
- IP 주소
- 포트
- 프로토콜
- 증명
- SSL
- 발견 시간
주:탐지 테이블에 비즈니스 규칙을 추가하면 수집 성능에 영향을 미칩니다. - 탐지 키
- 탐지를 식별하고 취약한 항목에 연결하는 방법을 제공한 필드의 해시된 조합입니다. 탐지 키는 통합에 따라 다릅니다.
표 1. 탐지 키 구성 스캐너 취약성 포트 프로토콜 자산 ID 증명 NIC Qualys 예 예 예 예 아니요 해당 사항 없음 Tenable 예 예 예 예 아니요 해당 사항 없음 Rapid7 예 예 예 예 예(대소문자를 구분하지 않음) 예 주:- 탐지 키가 지정되지 않았거나 14.0 이전 취약성 대응 버전의 경우 탐지 키는 취약성 항목, 포트, 프로토콜, 자산 ID 및 증명의 조합입니다.
- 의 취약성 대응v19.0부터 기본적으로 활성화되는 에 대한 Rapid7 InsightVM새로운 탐지 키 NIC가 추가됩니다. NIC가 없는 기존 탐지는 페이로드 Rapid7의 첫 번째 수신 NIC로 업데이트됩니다. NIC를 포함한 탐지 시 탐지 키가 다시 계산되고 다시 채워집니다. 다른 NIC 값으로 유사한 탐지가 확인되면 새 탐지가 만들어집니다. 이 데이터는 취약한 항목 테이블로 롤업되지 않습니다. NIC 값은 sn_vul_detection_key_config 및 sn_vul_detection 테이블의 새 열에 저장됩니다.
- De dup
- 데이터가 특정 하드 코딩된 기준을 충족할 때 개별 검출을 단일 VI로 축소하는 애플리케이션에서 취약성 대응 사용하는 프로세스입니다.
- VI 외부 ID
- VI 테이블의 외부 ID 필드에 저장된 값입니다. 이 값은 VI 내의 키 조합으로 구성된 해시로, 애플리케이션 내에서 고유하게 만드는 요소를 나타냅니다. CI와 취약한 항목으로 구성됩니다.
해결된 취약 항목 다시 열기
인스턴스에서 ServiceNow AI Platform해결됨으로 설정되었지만 후속 통합 실행에서 종결됨/수정됨으로 전환되지 않은 취약한 항목은 재스캔 중에 탐지되면 다시 열립니다.
새 탐지가 생성되고 VI가 새로운 취약성과 일치할 수 있으면 하위 상태가 고정 또는 부실 인 종결된 VI가 다시 열립니다.
스크립트 포함, DetectionBase, 메서드_shouldReOpenVI()에 따라 VIT가 이전에 하위 상태가 고정,부실 또는 CI 해제됨으로 종결된 경우 다시 열리고 탐지가 기존 VIT에 매핑됩니다.
예를 들어, VIT의 종결 날짜가 탐지 last_found 날짜보다 나중이라고 가정해 보겠습니다. 이러한 VIT 기록은 종결된 상태로 유지될 것으로 예상할 수 있습니다. 그러나 이전에 닫힌 VIT가 다시 열렸다면 이전 탐지에 의해 VIT가 닫혔고 이후 검사에서 취약성이 다시 발견되었음을 의미합니다. VIT의 구성 항목에 동일한 취약성이 있는 종결된 VIT와 일치하는 새 탐지가 발견되면 VIT가 다시 열립니다.
탐지의 경우 Rapid7 , 이제 인스턴스의 Rapid7 구성 페이지에서 기간별로 해결된 VI를 다시 여는 옵션을 사용할 수 있습니다. 활성화하면 해결 됨 으로 설정되었지만 후속 스캔에서 종결됨/수정 됨으로 전환되지 않은 VI는 입력한 일수 후에 다시 오픈 으로 전환됩니다.
탐지의 경우 Qualys , 검사기가 해결됨 으로 설정되었지만 후속 검사에서 종결/수정 으로 전환되지 않은 VI를 계속 찾으면 마지막으로 발견된 날짜가 해결됨 날짜보다 나중일 때 이러한 VI는 다시 열림 으로 전환됩니다.
탐지 데이터 보기
VI 기록의 취약한 항목 탐지에서 임포트한 데이터를 볼 수 있습니다. 자세한 내용은 취약한 항목 탐지 데이터 보기 취약성 대응 및 통합 실행(VINTRUN) 기록에서 취약한 항목 탐지 데이터 확인 취약성 대응 문서를 참조하십시오.