노출 평가 살펴보기

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 5분

    • 노출 평가는 CVE(Common Vulnerabilities and Exposures) 시스템의 일부인 CPE(Common Platform Enumeration) 프레임워크를 사용하여 취약성 소프트웨어에 대한 자산의 취약성 노출을 평가합니다. 이 평가는 소프트웨어 검색 모델을 사용하여 수행됩니다.

    매칭 알고리즘을 사용하면 관련 CPE가 소프트웨어 검색 모델에 연결 및 매핑되어 잠재적 노출을 식별할 수 있습니다.

    CVE 또는 소프트웨어별 노출 평가를 사용하여 다음 시나리오의 잠재적 취약성에 대한 노출을 식별할 수 있습니다.
    • 기존 스캐너로 식별할 수 없는 취약성
    • 스캐너가 취약성 탐지를 위한 서명을 제공하기 전의 제로 데이 취약성
    노출 평가는 이러한 취약성을 정정하고 취약성 관리 프로그램의 성숙도를 개선하기 위한 조기 경고를 제공합니다.
    노출 평가를 위한 전제 조건
    표 1. 사용 가능한 버전
    애플리케이션 버전

    Vulnerability Crisis Management 플러그인

    		 1.0
    취약성 대응 20.0
    취약성 대응 NVD 포함 1.3
    Vulnerability Response Integration with CISA 1.2
    NVD와 취약성 대응 통합
    주:
    자세한 내용은 NVD 통합 이해 문서를 참조하십시오.
    		 1.3
    소프트웨어 자산 관리 Software Asset Management Foundation 플러그인 또는 소프트웨어 자산 관리 전문가 플러그인

    호환성 및 시스템 요구 사항

    애플리케이션은 취약성 대응ServiceNow Store. 애플리케이션(com.snc.asset_management)은 ITSM 소프트웨어 자산 관리 노출 평가 모듈에 필요합니다. 이 애플리케이션은 모든 자산과 소프트웨어 라이센스를 관리하며SAM Foundation, 이 애플리케이션의 버전은 에서 다운로드ServiceNow Store한 애플리케이션의 취약성 대응 일부입니다.
    중요사항:
    노출 평가 애플리케이션은 다음 플러그인과 함께 작동합니다.
    • Software Asset Management Foundation 플러그인(com.snc.sams)
    • 소프트웨어 자산 관리 전문가 (com.snc.pa.samp)
    • 소프트웨어 자산 관리 플러그인 (com.snc.software_asset_management)

    애플리케이션이 인스턴스에 설치되었는지 확인하려면 SAM Foundation 시스템 애플리케이션 > 모든 사용 가능 애플리케이션 > 모두 을 클릭하고 com.snc.asset_management 검색합니다. 애플리케이션이 설치되지 않은 경우 설치를 선택합니다. 취약성 노출 평가 애플리케이션에는 인스턴스의 Now Platform® 자산 데이터에 대한 액세스 권한이 필요하므로 자산 관리 애플리케이션에 참조할 데이터가 있어야 합니다. 소프트웨어 검색 모델 테이블(cmdb_sam_sw_discovery_model)과 소프트웨어 설치(cmdb_sam_sw_install)에는 데이터가 필요합니다.

    소프트웨어 검색 모델의 일치 알고리즘 필드

    소프트웨어 자산 관리 전문가 애플리케이션을 사용하면 소프트웨어 검색 모델을 편집하여 소프트웨어 검색 모델 양식에서 완전히 정규화되지 않은 검색된 소프트웨어(부분적으로 정규화됨, 게시자가 정규화됨 또는 일치하는 항목을 찾을 수 없음)를 수동으로 정규화하여 조정할 수 있습니다. 버전 20.0 취약성 대응 부터 는 에서 가져온 소프트웨어 자산 관리 전문가정규화된 검색 모델을 지원합니다. 다음 필드는 소프트웨어 검색 모델의 일치 알고리즘에 사용됩니다.
    CPE(소프트웨어 모델) SAM 기초 SAM 프로페셔널
    벤더 기본 키 기본 키
    제품 표시 이름 표시 이름
    버전 검색된 게시자 검색된 게시자
    에디션 검색된 제품 검색된 제품
    검색된 버전 검색된 버전
    표준화된 게시자
    표준화된 제품
    표준화된 버전
    주:
    SAM Professional 애플리케이션은 의 핵심 취약성 대응 제품에 ServiceNow Store 속하지 않으며 별도의 구독이 필요합니다.

    시스템 속성

    노출 평가를 위해 CISA 악용 취약성을 자동으로 처리하려면 시스템 속성을 sn_vul_analyst.enable_exposure_for_cisatrue로 설정합니다. 기본값은 false입니다.

    예약된 작업

    다음은 예약된 작업입니다.

    예약된 작업 이름 설명
    잠재적 취약성 노출 확인 델타 CVE, 소프트웨어 및 설치를 처리하여 노출을 가져옵니다.
    주:
    이 예약된 작업은 12시간마다 실행됩니다. 다른 예약된 작업보다 더 오래 실행됩니다.
    노출 구성에 CISA 악용된 CVE 삽입 온디맨드. 노출을 계산하기 위해 노출 구성 테이블에 CISA CVE를 삽입합니다.
    구성된 CVE에 대한 노출 평가 실행 온디맨드. 노출 구성 테이블의 모든 CVE 기록에 대한 노출을 계산합니다.
    소프트웨어 노출 실행 온디맨드. 노출 구성 테이블의 모든 소프트웨어 기록에 대한 노출을 계산합니다.

    주요 용어

    • 신뢰 점수: 신뢰 점수는 필드에 대한 권장 사항을 제공하는 신뢰성을 측정한 것입니다. 점수가 높을수록 권장 사항의 신뢰성이 높습니다. 샘플 계산에 대한 자세한 내용은 을 참조하십시오 신뢰 점수 계산 예.
    • 소프트웨어 설치 수: 취약성의 영향을 받는 소프트웨어 자산의 수입니다.
    • 소프트웨어 모델: 제품과 연결된 소프트웨어 모델입니다. 소프트웨어 모델 결과를 보려면 소프트웨어를 드릴다운합니다. 자세한 내용은 Software Asset Management Foundation plugin discovery models and software installations 문서를 참조하십시오.

    소프트웨어 설치 수 필드는 검색 모델의 활성 또는 비활성 상태에 관계없이 총 소프트웨어 설치 수를 제공합니다. 의 v22.0취약성 대응부터 노출 평가을 위해 비활성 소프트웨어 설치를 필터링해야 하는지 여부를 결정하기 위해 새로운 시스템 속성인 sn_vul.filter_inactive_sw_installs이(가) 도입되었습니다. 기본적으로 이 속성은 기본 시스템에서 활성화됩니다. 필터를 활성화하면 활성 설치만 표시됩니다.

    검색 모델 필드에는 특히 활성 소프트웨어 설치 수가 표시되며, 비활성 설치는 소프트웨어 검색 모델 테이블의 기본 active=true 필터를 기준으로 필터링됩니다. 이 필드의 개수는 소프트웨어 설치 개수 필드에 표시된 필터링된 개수와 일치해야 합니다. 시스템 속성을 업데이트해도 소프트웨어 설치 필드의 개수는 유지됩니다. 업데이트된 개수를 가져오려면 예약된 작업 Run exposure assessment for configured CVEsRun software exposure that updates the count.