Rapid7 취약성 통합 구성
Rapid7 취약성 통합 응용 프로그램을 설치하고 활성화한 Now Platform®후 구성합니다.
시작하기 전에
필요한 역할: 관리자 [admin]가 앱을 다운로드하여 설치합니다. sn_vul.vulnerability_admin 또는 sn_vul.admin은 구성을 감독하고 예상 결과를 확인합니다.
프로시저
- 애플리케이션이 활성화(설치)된 후 Rapid7 취약성 통합 > 관리 > 구성.
-
목록에서 통합 유형을 선택합니다.
그림 1. 통합 유형 목록 -
통합 인스턴스를 선택합니다.
기본 Rapid7 InsightVM 통합 인스턴스가 기본적으로 선택됩니다. 원하는 통합 유형인 경우 다음 단계를 수행합니다. 데이터 웨어하우스 통합 유형을 구성 Rapid7 하려면 4단계로 진행합니다.
-
표시되는 양식에서 통합 설정 탭을 선택한 상태에서 필드에 내용을 입력합니다.
표 1. InsightVM 통합 유형에 대한 통합 설정 탭 필드 설명 InsightVM 지역 사이트에서 가져온 서버 URL입니다 Rapid7 . API 키 인사이트 계정에서 획득한 API 키입니다 Rapid7 . 확인 상태 읽기 전용: 자격 증명 확인 프로세스의 상태입니다. -
자격 증명 테스트를 클릭하여 구성이 성공했는지 확인합니다.
구성 중에 오류 메시지가 표시되면 데이터를 다시 입력합니다.
- 테스트가 성공적으로 완료되면 저장을 클릭합니다.
-
구성 임포트 탭을 클릭합니다.
표시되는 양식의 필드에 내용을 입력합니다.
표 2. InsightVM에 대한 구성 임포트 탭 필드 설명 최소 CVSS 점수 임포트 중 취약한 항목을 필터링하는 데 사용되는 최소 취약한 항목 CVSS 점수입니다. 최대 CVSS 점수 임포트하는 동안 취약한 항목을 필터링하는 데 사용되는 최대 취약한 항목 CVSS 점수입니다. 사이트 필터 사이트 목록에서 선택한 사이트로 Rapid7 InsightVM 데이터를 제한합니다. 사이트별로 Rapid7 필터링 문서를 참조하십시오. 두 개 이상의 사이트를 선택할 수 있습니다. 기본값(비어 있음)은 모든 사이트를 가져옵니다. 사이트 목록을 미리 채우려면 이 필드를 설정하기 전에 Rapid7 사이트 통합 — API를 실행합니다.
사이트 필터링 사용에 대한 자세한 내용은 을 참조하십시오 사이트별로 Rapid7 필터링.
CVE 항목 자동 작성 CVE 항목을 생성하는 시스템 속성은 기본적으로 활성(true)입니다. CVE ID가 없는 경우 CVE 자리 표시자는 Rapid7 지식 수집을 통해 자동으로 생성됩니다. 이 기능을 비활성화하려면 시스템 속성 목록에서 [sn_vul_r7.create_cve_for_vulnerabilities] 속성을 비활성화합니다.
기간별로 해결된 다시 열기 이 옵션을 선택하면 취약한 항목이 해결되었지만 종결되지 않은 일수가 다음 이후 해결된 다시 열기 필드에 표시된 값과 일치할 때 자동으로 다시 열립니다. -
저장을 클릭합니다.
통합 유형을 여러 개 배포 Rapid7 InsightVM 하는 경우:
-
통합 인스턴스 필드에서 조회 목록
열고 기존 통합 인스턴스를 선택하거나 팝업 메뉴에서 신규를 클릭합니다.
-
새로 만들기의 경우 통합 인스턴스의 이름을 입력하고 제출을 클릭합니다.
통합 유형이 구성 양식에 Rapid7 나타납니다.주:기본값을 제외한 모든 통합 인스턴스를 삭제할 수 있습니다. 인스턴스를 삭제하면 다음이 삭제됩니다(VI 제외).
- 통합
- 인스턴스 매개변수
- 통합 실행
- 통합 프로세스
- VI의 인스턴스 열이 비어 있는 것으로 표시됩니다.
- 자격 증명 테스트를 클릭하여 구성이 성공했는지 확인합니다.
- 테스트가 성공적으로 완료되면 저장을 클릭합니다.
-
표시되는 양식에서 통합 설정 탭을 선택한 상태에서 필드에 내용을 입력합니다.
-
통합 유형 필드에서 목록을 확장하고 데이터 웨어하우스를 클릭합니다.
-
통합 설정 탭을 선택합니다.
표시되는 양식의 필드에 내용을 입력합니다.
표 3. 데이터 웨어하우스에 대한 통합 설정 탭 통합 유형 필드 설명 JDBC 자격 증명 이름 데이터 웨어하우스 자격 증명의 이름입니다. 사용자 이름 Rapid7 데이터 웨어하우스 사용자 이름입니다. 암호 Rapid7 데이터 웨어하우스 암호입니다. 확인 상태 읽기 전용: 자격 증명 확인 프로세스의 상태입니다. 확인 상세 정보 읽기 전용: 데이터 웨어하우스 전용입니다. 자격 증명 테스트를 한 번 이상 클릭한 후 유효성 검사에 대한 추가 정보를 표시합니다. 이는 MID Server가 잘못 구성되었거나 자격 증명이 잘못되었는지 확인하는 등 설정을 디버깅하는 데 유용할 수 있습니다. 데이터베이스 서버 DNS/IP 데이터 웨어하우스의 DNS 또는 IP 주소입니다. 데이터베이스 포트 데이터 웨어하우스 통합에 사용할 포트입니다. 데이터베이스 이름 데이터 웨어하우스의 이름입니다. 데이터 지연 오프셋(일) 데이터 지연 오프셋은 스캐너의 실시간 데이터와 Rapid7 Nexpose 데이터 웨어하우스의 데이터 간의 지연을 고려합니다. MID 서버 사용할 MID 서버입니다. 독립 실행형 MID Server만 지원됩니다. 클러스터된 MID Server는 지원되지 않습니다. MID 서버 시간 제한(분) 통합 실행 시간이 초과되기 전에 MID 서버가 응답할 때까지 대기할 시간(분)입니다. - 자격 증명 테스트를 클릭하여 구성이 성공했는지 확인합니다.
- 테스트가 성공적으로 완료되면 저장을 클릭합니다.
-
구성 임포트 탭을 클릭합니다.
표시되는 양식의 필드에 내용을 입력합니다.
표 4. 데이터 웨어하우스의 임포트 구성 탭 필드 설명 v12.0 이전: CVE 항목 생성 확인란 선택하면 아직 존재하지 않는 CVE에 대한 자리 표시자가 NVD 기록으로 생성되고 Rapid7에 대한 타사 항목에서 참조됩니다. 선택하지 않으면 이러한 CVE가 무시됩니다. 최소 CVSS 점수 임포트 중 취약한 항목을 필터링하는 데 사용되는 최소 취약한 항목 CVSS 점수입니다. 최대 CVSS 점수 임포트하는 동안 취약한 항목을 필터링하는 데 사용되는 최대 취약한 항목 CVSS 점수입니다. 사이트 필터 임포트한 사이트 통합 데이터를 선택한 사이트로 제한합니다. 둘 이상을 선택할 수 있습니다. 주:기본 설정은 모든 사이트에서 데이터를 가져오는 것이므로 모든 사이트를 원하는 경우 필터를 사용할 필요가 없습니다. 이렇게 하면 요청 속도가 느려집니다.기간별로 해결된 다시 열기 이 옵션을 선택하면 취약한 항목이 해결되었지만 종결되지 않은 일수가 다음 이후 해결된 다시 열기 필드에 표시된 값과 일치할 때 자동으로 다시 열립니다.
-
통합 설정 탭을 선택합니다.
- 저장을 클릭합니다.
- 옵션:
스캔에서 초기 임포트 Rapid7 중에 취약성 통합 - API 및 Rapid7 취약한 항목 통합 - API 통합 기록에서 시작 날짜를 Rapid7 설정하여 기록 데이터를 검색하려면 다음 단계를 수행합니다.
이 데이터를 사용하여 에서 부실 탐지 종결 취약성 대응.
-
다음으로 이동 Rapid7 취약성 통합 > 관리 > 통합.
Rapid7 통합 목록이 표시됩니다.
-
통합 기록 중 하나를 클릭하여 엽니다.
양식의 위쪽에서 여기 링크를 클릭하여 기록을 편집합니다.
취약성 통합 - API 및 Rapid7 취약한 항목 통합 - API를 제외하고 Rapid7 통합의 Rapid7임포트 날짜 필드는 기본적으로 비어 있습니다. 이러한 통합의 경우 이러한 필드는 1998-12-31 또는 1999-01-01로 설정됩니다.
스캔에서 Rapid7 초기 임포트 중에 이력 데이터를 검색하려면 적절한 통합 기록에서 시작 날짜를 설정합니다. 이 프로세스는 다음과 같은 예외를 제외하고 모든 Rapid7 통합에 대해 작동합니다.- 익스플로잇 및 맬웨어 키트 통합은 Rapid7 델타 업데이트를 수행하지 않으므로 해당 필드를 사용하지 않으므로 다음 이후 임포트 필드를 표시하지 않습니다.
- 자산 목록 통합은 Rapid7 모든 데이터를 검색하려는 의도이므로 필드를 무시합니다.
- 부실 취약 항목 자동 종결 모듈이 활성화되고 다음 이후 임포트 필드가 비어 있는 경우 포괄적인 취약한 항목 통합 - API의 초기 실행 Rapid7 InsightVM 용입니다.
자동 종결 기능을 활성화하면 Rapid7 포괄적인 취약한 항목 통합 또는 Rapid7 포괄적인 취약한 항목 통합 - API에서 성공적으로 실행해야 합니다. 이러한 통합은 기본적으로 비활성화되어 있습니다.
포괄적인 취약한 항목 통합 - API를 Rapid7 InsightVM 활성화할 때 통합 구성 페이지에서 다음 이후 임포트 필드를 비워 두면 부실 취약 항목 자동 종결 양식의 일 전 필드 값이 첫 번째 통합 실행의 임포트 날짜 에도 사용됩니다. 부실 취약한 항목 자동 종결의 기본값은 (90일)입니다.
예를 들어 부실 취약한 항목 자동 종결 양식의 일 전 필드가 90이고 Rapid7 포괄적인 취약한 항목 통합 - API 구성 페이지의 다음 이후 임포트 필드가 비어 있는 경우 첫 번째 통합 실행 시 지난 90일 동안의 데이터를 임포트합니다.
다음 이후 필드와 며칠 전 필드 간의 이러한 관계는 첫 번째 통합 실행에만 적용됩니다. 이후에는 부실 취약한 항목 자동 종결 양식에서 일 전 필드를 변경해도 Rapid7 포괄적인 취약한 항목 통합 - API 구성 페이지의 다음 이후 임포트 필드에 영향을 주지 않습니다. 필드가 첫 번째 실행의 시작 시간으로 변경되어 후속 통합 실행에서는 델타 정보만 임포트합니다.
다음 이후 임포트 필드를 편집할 수 있으며 각 통합에 대해 원하는 값을 입력할 수 있습니다.
-
다음으로 이동 Rapid7 취약성 통합 > 관리 > 통합.
-
다음으로 이동 모두 > sn_sec_int_impl.목록 > Rapid7 InsightVM.
-
import_startime_buffer_comprehensive 통합 인스턴스 매개변수는 다음 이후 임포트 필드에 지정된 시간 이전의 버퍼 시간을 24시간으로 설정하여 이 버퍼 시간에서 스캔된 자산을 Rapid7 포괄적인 취약한 항목 통합 - API 통합 실행 중에 가져옵니다.
요구 사항에 따라 이 버퍼 시간을 수정할 수 있습니다.
- 옵션: Rapid7 Comprehensive Vulnerable Item Integration - API를 통해 Rapid7 API를 통해 스캔 및 검색된 자산에 대해 더 이상 Rapid7 API를 통해 들어오지 않는 부실 탐지를 종결하려면 close_stale_detections 매개변수를 예로 설정합니다.
에 대한 설정, 설치 및 구성 단계를 성공적으로 완료했습니다 Rapid7 취약성 통합. 이제 임포트한 데이터를 검토하고 확인할 준비가 되었습니다.
-
import_startime_buffer_comprehensive 통합 인스턴스 매개변수는 다음 이후 임포트 필드에 지정된 시간 이전의 버퍼 시간을 24시간으로 설정하여 이 버퍼 시간에서 스캔된 자산을 Rapid7 포괄적인 취약한 항목 통합 - API 통합 실행 중에 가져옵니다.
다음에 수행할 작업
Rapid7 및 Qualys 스캐너는 애플리케이션에서 취약성 대응 기본적으로 비활성화되어 있습니다. 취약한 항목 또는 이러한 애플리케이션을 원본으로 하는 정정 작업에서 다시 스캔을 수행하려고 하면 다시 스캔 버튼을 사용할 수 없습니다.
이러한 스캐너를 활성화하려면 sn_vul.vulnerability_admin 역할을 가진 사용자로서 다음을 수행합니다.
- 다음으로 이동 모두 > 취약성 대응 > 취약성 스캐닝 > 스캐너.
- 활성화할 스캐너 제품을 찾아 기록을 클릭하여 엽니다.
- 활성 확인란을 선택합니다.
- 업데이트를 클릭합니다.
활성화한 제품은 다음 임포트 후 취약한 항목 및 정정 작업 기록의 소스 필드에 표시되고 UI 작업으로 다시 스캔 을 사용할 수 있습니다.
사용자 환경에 도메인 분리 가져오기가 필요한 경우 을 참조하십시오 통합을 위해 도메인으로 구분된 임포트 생성.
임포트하기 전에 조회 규칙을 작성하거나 구체화하려면 을 참조하십시오 취약성 대응 CI 조회 규칙 생성.