취약성 통합에 Rapid7 대한 재검사 시작

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 6분

    • 플랫폼에서 다시 스캔을 시작하여 예약된 Rapid7 스캔 주기 사이에 취약한 항목이 정정되었는지 확인합니다.

    시작하기 전에

    주:
    데이터 웨어하우스 취약한 항목에 대한 Rapid7 재스캔은 지원되지 않습니다.

    취약성 대응 작업 공간에서 재검색을 시작할 수 있습니다. 자세한 내용은 취약성 관리자 작업 공간에서 기록 재스캔 및 정정 작업에서 취약한 항목 및 정정 작업 다시 스캔 IT 정정 작업 공간 문서를 참조하십시오.

    필요한 역할: 필요한 역할: sn_vul.write_all 또는 sn_vul.write_assigned

    이 태스크 정보

    클래식 환경에서의 재스캔에 대해서는 다음 섹션을 참조하십시오.

    재스캔이 지원됩니다. 인스턴스의 Now Platform® 통합에서 Rapid7 InsightVM 임포트한 취약한 항목에 대해 요청 시 재검색을 시작할 수 있습니다.
    주:
    스캐너는 Rapid7 애플리케이션에서 기본적으로 비활성화되어 취약성 대응 있습니다. 애플리케이션이 원본으로 있는 Rapid7 취약한 항목 또는 정정 작업에서 다시 스캔을 수행하려고 하면 다시 스캔 버튼을 사용할 수 없습니다.

    예약된 전체 검사와 관련된 오버헤드와 볼륨을 줄이기 위해 정정 소유자, IT 전문가, 취약성 분석가 또는 취약성 관리자는 해당 환경의 자산(구성 항목)에 대한 특정 취약성에 대해 요청 시 대상 재검사를 시작할 수 있습니다. 인스턴스에서 VI(취약한 항목), RT(정정 작업), TPE(외부 공급업체 항목) 또는 검색된 항목 기록에서 다시 스캔을 Now Platform® 시작할 수 있습니다.

    재스캔을 통해 정정 활동, 패치 및 기타 작업이 구성 항목(CI)의 특정 취약성을 성공적으로 수정했는지 확인할 수 있습니다.

    예를 들어, 전체 환경은 3주에 한 번씩 검사됩니다. 가장 최근의 전체 검사는 일주일 전에 완료되었지만 어제 패치를 적용하여 치명적인 취약점을 수정했습니다. 이 취약성의 특성으로 인해 다음 예약된 검사에서 수정되었는지 확인할 때까지 2주를 기다릴 수 없습니다. 패치가 이전 검사 중에 발견된 중요한 취약성을 성공적으로 수정했는지 확인하려면 취약한 항목에 대해 Rapid7 대상 다시 검사를 Now Platform 시작할 수 있습니다. 다음 예약된 취약성 및 취약한 항목 통합 임포트를 Rapid7 InsightVM 통해 취약한 항목에 대한 업데이트된 결과를 볼 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 취약성 대응 > 취약한 항목.
    2. 다시 스캔을 트리거할 취약한 항목 기록을 찾아 엽니다.
      주:
      소스로 VI Rapid7 에 대한 재스캔을 시작합니다. VI 목록 뷰의 소스 열 또는 개별 기록의 소스 필드에 표시되는지 확인합니다Rapid7. 조건 작성기를 사용하여 소스별로 VI를 그룹화할 수 있습니다. 또는 소스 열이 VI 목록 뷰에 표시되지 않는 경우 목록의 왼쪽 상단에서 톱니바퀴 아이콘을 클릭하고 소스를사용 가능 에서 선택됨으로 이동합니다.

      다시 스캔을 시작할 때 여러 소스에서 하나의 소스 ID에 대한 스캔을 동시에 트리거하지 마십시오. 최신 스캔 요청에 오류가 발생합니다.

      예를 들어, VI 레코드에서 VI에 대한 다시 스캔을 시작하고 동일한 VI가 포함된 정정 작업 레코드에서 다른 다시 스캔을 요청하는 경우 두 번째 요청이 실패할 수 있습니다.

      VI에 강조 표시된 소스 필드
    3. 또는 다음으로 이동합니다. 취약성 대응 > 정정 작업 또는 취약성 대응 > 라이브러리 > 제삼자 각각 재스캔에 사용할 정정 작업 또는 외부 공급업체 항목 기록의 경우.

      선택에 따라 다음 기록에서 다시 스캔 단추를 사용할 수 있습니다.

      • 단일 VI 레코드에서 VI는 제품에서 생산 Rapid7 된 것이어야 하며 종결 상태가 아닌 모든 상태여야 합니다. 여러 VI 레코드의 경우 목록 뷰에서 선택하는 모든 VI는 제품에서 가져온 Rapid7 것이어야 하며 종결 상태가 아닌 다른 상태여야 합니다.
      • 정정 작업 기록에서 정정 작업은 종결 이외의 모든 상태일 수 있으며 연결된 모든 VI는 제품에서 Rapid7 온 것이어야 합니다.
      • TPE(외부 공급업체 입장) 레코드에서 레코드는 종결 상태가 아닌 제품의 연결된 VI 레코드 Rapid7 가 하나 이상 있어야 합니다.
      • 검색된 항목 레코드에서 VI는 제품에서 온 Rapid7 것이어야 하며 종결 상태가 아닌 다른 상태여야 합니다.
    4. 기록의 오른쪽 상단에서 Rescan(다시 검색)을 클릭합니다.
      목록 뷰의 경우 목록에서 다시 스캔할 VI를 선택하고 선택한 행에 대한 작업 목록에서 다시 스캔을 선택합니다.
    5. 표시되는 팝업에서 재스캔을 확인합니다.
      스캔이 처리 중(큐에 대기 중)임을 나타내는 메시지가 표시됩니다. 메시지에서 세부 정보 보기 링크를 클릭하여 다시 스캔(하위 스캔)의 상태를 확인하고 기록에서 시작된 다른 다시 스캔을 확인합니다. 모든 다시 스캔의 상태는 다시 스캔을 시작하는 데 사용하는 VI, 정정 작업, TPE 및 검색된 항목 레코드 하단의 스캔 관련 목록에서 언제든지 확인할 수 있습니다.

      스캔이 진행 중이면 상태 필드가 스캔 중으로 변경되고 상태 메시지 필드에 스캔이 진행 중으로 표시됩니다.

      주:
      각 다시 검사는 검사당 500개의 자산을 지원합니다. 요청에 500개 이상의 자산이 있는 경우 더 많은 하위 스캔이 요청됩니다.

      인스턴스는 Now Platform® 재스캔이 성공적으로 완료될 때까지, 또는 설정된 추적 기간이 시간 초과될 때까지(둘 중 먼저 발생하는 시점까지) 재스캔 상태를 추적합니다.

      그림 1. 처리 중인 다시 스캔
      상태 및 상태 메시지 필드가 강조 표시됩니다.

      제한 시간은 검색을 중지하지 않습니다. 제한 시간은 실제 다시 검색이 중지된 시점이 아니라 다시 검색 상태 추적이 Now Platform® 중지된 시점을 나타냅니다. 종결/고정으로 전환되었거나 전환될 모든 VI는 통합의 Rapid7 다음 예약된 임포트와 함께 임포트됩니다.

      그림 2. 재스캔 완료
      완료된 스캔 정보가 강조 표시됩니다.

      또는 특정 자산의 특정 취약성에 대해 요청 시 다시 검색을 시작할 수 있습니다. 스캔을 시작한 새로 고친 VI, 정정 작업, TPE 및 검색된 항목 레코드에서 스캔이 완료되면 이러한 스캔의 결과를 볼 수 있습니다.

      취약성 스캔 기록의 상태 필드 값은 에서 가져옵니다 Rapid7. 스캔이 성공적으로 완료되면 상태가 완료로 설정됩니다. 스캔이 성공적으로 완료되지 않으면 오류 값이 표시됩니다.

      자동 스캔 및 예약 스캔

      취약성 관리자 또는 분석가는 VI 및 RT에 대해 재스캔이 시작되는 시기를 지정하고 예약할 수 있습니다. 해결로 설정된 VI 및 정정 작업에 대한 자동 스캔을 활성화할 수도 있습니다.

    6. 통합 인스턴스에서 통합 매개변수를 수정하려면 다음으로 이동하십시오. Rapid7 취약성 통합 > 관리 > 구성.
    7. Rapid7 구성 기록에서 선택하지 않은 경우 통합 유형 목록에서 Rapid7 InsightVM을 선택합니다.
    8. 통합 인스턴스 필드 오른쪽에 있는 정보 아이콘을 클릭한 다음 기록 열기를 클릭합니다.
    9. 통합 인스턴스 Rapid7 InsightVM 기록에서 스캔 예약을 위한 매개변수를 찾고 필요에 따라 편집합니다.
      스캔 매개변수

      scan_on_resolved 취약성이 해결되면 스캔이 시작되는지 여부를 나타냅니다. 기본값은 false (비활성화)입니다.

      이 매개 변수를 true로 설정하면 VI 또는 RT가 해결됨으로 설정될 때마다 각 VI 및 정정 작업을 다시 스캔하는 워크플로가 자동으로 트리거됩니다.

      scan_start_time
      재스캔을 사용할 수 있는 기간의 시작 시간에 대한 UTC 시간대의 HH:mm (24시간 형식) 단위로 스캔 시작 시간을 설정합니다.

      기본값은 00:00입니다.

      scan_end_time
      사용 가능한 스캔 기간의 종료 시간에 대한 UTC 시간대의 HH:mm (24시간 형식) 단위로 스캔 종료 시간을 설정합니다.

      기본값은 23:59입니다.

      예약된 시간 내에 검사가 시작되면 즉시 시작됩니다. 검색이 창 밖에서 시작되면 예약된 다음 기간 동안 큐에 대기합니다.

      예를 들어 매개 변수 scan_end_time 에 시작 시간을 00:00scan_start_time 으로 입력하고 같은 날 아침 오전 10:00를 입력하면 자정에서 오전 10시 사이에 예약되거나 수동으로 시작된 스캔이 큐에 대기하고 다음 날 시간 창 00:00의 시작 시간에 시작됩니다.

      같은 예에서 오전 11:00에 수동으로 다시 검색을 시작하면 구성된 사용 가능한 검색 시간을 벗어나기 때문에 다시 검색이 즉시 시작되지 않습니다. 스캔 요청은 다음 날 시간 창(이 예에서는 00:00)이 시작될 때까지 큐에 대기 상태로 유지됩니다.