Microsoft Threat and Vulnerability Management 취약성 통합 이해
MS TVM(Microsoft Threat and Vulnerability Management) 애플리케이션과의 통합은 취약성 대응 MS TVM에서 임포트한 데이터를 사용하여 자산의 취약성에 대한 우선순위를 지정하고 정정하는 데 도움이 됩니다. 이 애플리케이션은 에서 별도로 구독 ServiceNow Store하여 사용할 수 있습니다.
MS TVM 취약성 통합을 사용하여 자산 및 취약성에 대한 외부 공급업체 스캐너 데이터를 임포트할 수 있습니다. 그런 다음 대시보드에서 취약성 대응 취약성 및 취약한 항목에 대한 보고서를 볼 수 있습니다.
사용 가능한 버전
| 릴리스 버전 | 릴리스 정보 |
|---|---|
취약성 대응 MS TVM v2.2와 통합 |
릴리스된 버전의 Vulnerability Response 응용 프로그램, 호환성 및 스키마 변경에 대한 자세한 내용은 HI 기술 자료에서 Vulnerability Response 호환성 매트릭스 및 KB0856498(릴리스 스키마 변경) 문서를 참조하십시오. |
도메인 분리 및 MS TVM
통합을 실행할 사용자를 해당 도메인에 할당하여 취약성 통합 데이터를 지정된 도메인으로 임포트합니다. MS TVM 취약성 통합을 위해 도메인으로 구분된 임포트를 생성하려면 을 참조하십시오 통합을 위해 도메인으로 구분된 임포트 생성.
통합의 조건 및 주요 기능
- 취약한 항목 및 취약성
- 인스턴스에 취약한 항목이 생성되는 Now Platform 경우:
- 외부 공급업체 스캐너에서 임포트한 취약성이 사용자의 기존 자산(구성 항목)과 일치합니다 CMDB. MS TVM 제품은 이러한 일치 항목을 취약성이라고 합니다.
- 외부 공급업체 스캐너에서 임포트한 취약성이 의 CMDB기존 자산과 일치하지 않습니다. 이 경우 일치하지 않는 CI(구성 항목)도 취약한 항목과 함께 생성됩니다.
기존 CI를 호스트와 일치시킬 수 없는 경우 식별 및 조정 엔진(IRE)을 사용하여 두 개의 새 클래스에 CI를 생성합니다. 그렇지 않으면 일치하지 않는 CI 클래스에 일치하지 않는 CI가 작성됩니다. 자세한 내용은 식별 및 조정 엔진을 사용하기 위한 취약성 대응 CI 생성 문서를 참조하십시오.
- 타사 취약성 항목
- 타사 취약성 항목은 MS TVM과 같은 외부 공급업체 스캐너에서 임포트되며 인스턴스 Now Platform 의 외부 공급업체 취약성 항목 테이블에 나열됩니다. 또한 MS TVM에서 CVE(국가 취약성 데이터베이스) 항목을 가져옵니다. 이 두 가지 유형의 항목과 관련된 익스플로잇 정보는 MS TVM에서 제공됩니다. 이 익스플로잇 정보는 위험 계산에 사용할 수 있습니다.주:타사 취약성은 CVE가 할당되지 않은 취약성에 대해서만 검색됩니다. MS TVM은 취약성에 대한 임시 이름(예:
TVM-XXXX-XXXX)을 추가할 수 있습니다. 이 이름은 CVE ID가 할당된 후 업데이트됩니다. - CI(구성 항목)
- CI는 에 CMDB나열된 기존 자산입니다.
- 검색된 항목
- 검색된 항목은 MS TVM 머신 임포트에서 수집된 자산으로, 의 CMDB기존 CI와 일치합니다.
일치하는 항목이 없으면 의 일치하지 않는 CI 클래스 CMDB에 CI가 생성됩니다. CMDB CI Class Models 플러그인을 사용하면 IRE(식별 및 조정 엔진)에서 새 클래스를 사용하여 CI를 생성합니다. 자세한 내용은 식별 및 조정 엔진을 사용하기 위한 취약성 대응 CI 생성 문서를 참조하십시오. 일치하지 않는 원래의 CI가 재분류되면 검색된 항목 기록이 업데이트되어 상태가 반영됩니다. 검색된 항목을 통해 자산이 식별되고 .CMDB
- CI 조회 규칙
- MS TVM에서 데이터를 임포트할 때 는 취약성 대응 자동으로 머신(자산) 데이터를 사용하여 CMDB. CI 조회 규칙은 CI를 식별하고 VI가 생성될 때 VI 레코드에 추가하는 데 사용됩니다.
- 인스턴스
- 인스턴스는 MS TVM의 여러 계정을 참조합니다. 각 계정은 MS TVM 애플리케이션의 인스턴스가 될 수 있습니다.
- 통합
- 통합은 MS TVM 머신의 통합과 같은 외부 공급업체 소스에서 정보를 검색하는 예약된 작업입니다.
- 배치
- 통합이 다중 소스를 지원하는 경우 단일 통합 존재를 통합의 배포라고 합니다. 배포는 환경 전반의 통합 및 제품을 의미합니다. 예를 들어 사용자 환경에 MS TVM을 여러 개 배포할 수 있습니다.
MS TVM 통합에는 다음과 같은 주요 기능도 포함됩니다.
- 환경 전체에서 자산을 식별하고 기존 검색 항목, 취약한 항목 및 탐지 기록의 CI를 업데이트하여 취약성에 대한 자세한 정보를 제공할 수 있습니다.
- 모든 MS TVM 통합에 대해 작업을 실행할 시기를 예약할 수 있습니다. 요청 시 예약된 작업을 실행할 수도 있습니다.
- 취약한 항목을 그룹화할 수 있습니다.
- CI 조회 규칙을 구성하여 타사 소스의 자산 데이터를 사용하여 의 CI를 식별하는 방법을 정의할 수 있습니다 CMDB.
필요한 Now Platform 역할
통합 작업에는 인스턴스에서 다음 역할이 Now Platform 필요합니다.
가상 사용자 및 세분화된 역할을 사용하면 사용자와 그룹이 애플리케이션에서 취약성 대응 보고 수행할 수 있는 작업을 관리할 수 있습니다. 설정 도우미에서 가상 사용자 역할의 초기 할당에 대한 자세한 내용은 을 참조하십시오 설정 도우미를 취약성 대응 사용하여 가상 사용자 역할 할당. 세분화된 역할 관리에 대한 자세한 내용은 을 참조하십시오 의 가상 사용자 및 세분화된 역할 관리 취약성 대응.
- 관리자
- 시스템 관리자는 설정 도우미를 사용하여 MS TVM 애플리케이션을 설치합니다. 할당되지 않은 경우 관리자는 설정 도우미에서 취약성 관리자(sn_vul.vulnerability_admin) 및 기타 역할을 할당합니다.
- sn_vul.vulnerability_admin
- 할당되면 취약성 관리자는 설정 도우미에서 MS TVM 통합 구성을 완료합니다. 이 역할은 애플리케이션 및 해당 기록에 대한 취약성 대응 전체 액세스 권한을 갖습니다. 취약성 관리자는 설치된 외부 공급업체 통합을 위한 모든 취약성 대응 애플리케이션과 규칙을 구성합니다.
- sn_vul_msft_tvm.configure_integration
이 역할에는
sn_vul_msft_tvm.read_integration세분화된 역할이 포함됩니다. 이 역할이 부여된 사용자는 Microsoft Threat and Vulnerability Management 애플리케이션과 취약성 대응 통합을 구성할 수 있습니다.- sn_vul_msft_tvm.read_integration
이 역할을 가진 사용자는 Microsoft Threat and Vulnerability Management 애플리케이션 기록과 취약성 대응 통합을 확인만 할 수 있습니다.
- 취약성 대응 그룹
- 기본적으로 Vulnerability Response 그룹은 설정 도우미에서 사용할 수 있습니다. 취약성 대응 그룹에 할당된 사용자는 sn_vul.read_all 및 sn_vul.remediation_owner 역할을 자동으로 상속합니다.
MS TVM 통합
모든 MS TVM 통합에 대해 다중 소스가 지원됩니다. 의 취약성 대응설정 도우미에서 환경 전체에 걸쳐 다음 통합의 여러 인스턴스를 추가하고 배포할 수 있습니다. 또한 설정 도우미에서 취약성 대응 MS TVM 애플리케이션과의 통합을 설치하고 구성합니다.
MS TVM 통합을 보려면 다음으로 이동하십시오. . 취약성 대응 는 예약된 시간 간격에 따라 데이터를 임포트하기 위해 MS TVM 엔드포인트와의 통합을 제공합니다. 기본 시스템에는 다음과 같은 통합이 포함되어 있습니다.
| 실행 시퀀스 | 일정 | 통합 | 설명 |
|---|---|---|---|
| 1 | 일별 | Microsoft TVM 권장 사항 통합 | 취약성을 정정하기 위해 실행 가능한 모든 보안 권장 사항의 목록을 조회합니다. |
| 2 | 일별 | Microsoft TVM 취약성(CVE) 통합 | 국가 취약성 데이터베이스 항목 목록과 타사 취약성 항목, 그리고 해당 악용 정보를 조회합니다. |
| 3 | 일별 | Microsoft TVM 머신 통합 | Microsoft TVM에서 컴퓨터 태그를 포함한 모든 자산(컴퓨터) 데이터를 검색하고 인스턴스에서 처리합니다. |
| 4 | 주별 주: 설치 후 이 통합은 머신을 가져온 후 자동으로 실행됩니다. |
Microsoft TVM 머신 취약성 통합(전체 임포트) | 모든 자산의 모든 미해결 취약성을 검색합니다. |
| 5 | 일별 | Microsoft TVM 머신 취약성 통합(델타 임포트) | 신규, 고정 및 업데이트된 취약성을 포함하여 조직의 전체 취약성 임포트에서 변경된 모든 정보를 검색합니다. |
취약한 항목은 설정한 그룹 규칙에 따라 정정 작업으로 그룹화되고 할당 규칙에 따라 정정을 위해 할당됩니다. 자세한 내용은 취약성 대응 정정 작업 및 정정 작업 규칙 개요 및 취약성 대응 할당 규칙 개요 문서를 참조하십시오.
CI 조회 규칙
- MAC_ADDRESS
- FQDN
- IP
검색된 항목
머신 태그
호스트 태그라고도 하는 머신 태그는 조직의 자산을 구성하고 추적하는 데 사용됩니다. 머신에 태그를 할당합니다.
- 태그 저장은 대소문자를 구분하지 않습니다. Paris 태그가 생성되면 PARIS 태그를 머신 태그 테이블에 저장할 수 없습니다. Paris 및 PARIS 는 시스템에서 동일한 기계 태그로 간주됩니다. 가장 먼저 임포트되는 태그가 저장되고 인식되는 태그입니다.
- 정정 작업 규칙에서 컴퓨터 태그를 그룹 키로 사용하면 예기치 않은 결과가 발생할 수 있습니다. 그룹 키는 정정 작업 테이블의 열인 반면, 머신 태그는 조건 작성기에서만 사용할 수 있습니다.
- 머신 태그는 전역 시스템 속성 sn_vul.import_host_tags에 의해 제어됩니다. 이 속성은 기본적으로 true 로 설정됩니다. 태그를 비활성화하면 모든 Now Platform® 인스턴스에서 비활성화됩니다.
다음에 할 일
에서 ServiceNow® StoreMicrosoft Threat and Vulnerability Management와의 취약성 대응 통합을 다운로드한 후 의 설정 도우미취약성 대응에서 설치 및 구성을 지원합니다. 자세한 내용은 설정 도우미를 사용하여 MS TVM 애플리케이션과 취약성 대응 통합 설치 및 구성 문서를 참조하십시오.