QRadar Vulnerability Managerpublic.dhe.ibm.com/software/security/products/q...제 1 장 사용자를 위한 QR adar V ulner ability Manag er V7.3.0 의 새로운 기능 ..... . 1 제

IBM Security QRadar Vulnerability Manager버전 7.3.0

사용자 안내서

IBM

참고이 정보와 이 정보가 지원하는 제품을 사용하기 전에, 165 페이지의 『주의사항』의 정보를 읽으십시오.

제품 정보

본 문서는 본 문서의 업데이트된 버전에서 달리 대체되지 않는 한, IBM QRadar Security Intelligence Platform V7.3.0및 후속 릴리스에 적용됩니다.

© Copyright IBM Corporation 2012, 2017.

목차IBM Security QRadar Vulnerability Manager 소개 . . . . . . . . . . . . . . . . . . . ix

제 1 장 사용자를 위한 QRadar Vulnerability Manager V7.3.0의 새로운 기능 . . . . . . . . . . 1

제 2 장 설치 및 배치 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3취약성 프로세서 및 스캐너 어플라이언스 정품 인증 키 . . . . . . . . . . . . . . . . . . . . 5취약성 백업 및 복구 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6QRadar와 QRadar Vulnerability Manager 관리 호스트 사이의 통신에 사용되는 포트 . . . . . . . . 6QRadar Vulnerability Manager 배치에서 취약성 프로세서를 이동하는 데 대한 옵션 . . . . . . . . . 7전용 QRadar Vulnerability Manager 프로세서 어플라이언스 배치 . . . . . . . . . . . . . . 7취약성 프로세서를 관리 호스트 또는 콘솔로 이동 . . . . . . . . . . . . . . . . . . . . . 9취약성 프로세서 배치 여부 확인 . . . . . . . . . . . . . . . . . . . . . . . . . . 10콘솔 또는 관리 호스트에서 취약성 프로세서 제거 . . . . . . . . . . . . . . . . . . . . 10

스캐너를 QRadar Vulnerability Manager 배치에 추가하는 데 대한 옵션 . . . . . . . . . . . . 10전용 QRadar Vulnerability Manager 스캐너 어플라이언스 배치. . . . . . . . . . . . . . . 12QRadar 콘솔 또는 관리 호스트에 취약성 스캐너 배치 . . . . . . . . . . . . . . . . . . 12DMZ의 자산 스캔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14외부 스캔을 위한 네트워크 및 자산 구성 . . . . . . . . . . . . . . . . . . . . . . 14외부 자산을 스캔하기 위한 QRadar Vulnerability Manager 구성 . . . . . . . . . . . . . 14

지원되는 웹 브라우저 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Internet Explorer에서 문서 모드 및 브라우저 모드 사용 . . . . . . . . . . . . . . . . . 15

QRadar Vulnerability Manager 고가용성 스캔 . . . . . . . . . . . . . . . . . . . . . . 16QRadar Vulnerability Manager 임시 라이센스 기간의 연장 . . . . . . . . . . . . . . . . . 17QRadar Vulnerability Manager 고가용성 스캔 . . . . . . . . . . . . . . . . . . . . . . 17

제 3 장 QRadar Vulnerability Manager 개요 . . . . . . . . . . . . . . . . . . . . . . 19취약성 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19QRadar Vulnerability Manager 취약성 검사 범주 . . . . . . . . . . . . . . . . . . . . . 20QRadar Vulnerability Manager에서 수행하는 검사 . . . . . . . . . . . . . . . . . . . . 21취약성 관리 대시보드 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28기본 취약성 관리 대시보드에서 취약성 데이터 검토 . . . . . . . . . . . . . . . . . . . 28사용자 정의된 취약성 관리 대시보드 작성 . . . . . . . . . . . . . . . . . . . . . . . 28패치 준수에 대한 대시보드 작성 . . . . . . . . . . . . . . . . . . . . . . . . . . 29

제 4 장 취약성 스캐닝 전략 및 우수 사례 . . . . . . . . . . . . . . . . . . . . . . . . 31스캔 정책 유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32스캔 지속 기간 및 포트 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35자산 감지 구성 튜닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37자산 감지 성능 튜닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37웹 애플리케이션 스캐닝. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38네트워크에 스캐너 배치. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39동적 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40동시 자산 스캔에 대한 네트워크 대역폭 . . . . . . . . . . . . . . . . . . . . . . . . . 40

© Copyright IBM Corp. 2012, 2017 iii

스캐너의 네트워크 인터페이스 카드 . . . . . . . . . . . . . . . . . . . . . . . . . . 41자산 소유자를 위한 취약성 관리 . . . . . . . . . . . . . . . . . . . . . . . . . . . 41취약성 스캔 알림 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42새 자산의 스캔 트리거 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43자산에 대한 환경 위험 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44외부 스캐닝 FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

제 5 장 스캔 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49스캔 프로파일 작성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49외부 스캐너 스캔 프로파일 작성 . . . . . . . . . . . . . . . . . . . . . . . . . . 51벤치마크 프로파일 작성. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52수동으로 스캔 프로파일 실행 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53마우스 오른쪽 단추 클릭 메뉴 옵션을 사용한 자산 다시 스캔 . . . . . . . . . . . . . . . . 54스캔 프로파일 세부사항. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

스캔 스케줄링 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56매월 도메인 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57스캔하지 않은 새 자산의 스캔 스케줄링 . . . . . . . . . . . . . . . . . . . . . . . . 57스케줄된 스캔을 캘린더 형식으로 검토 . . . . . . . . . . . . . . . . . . . . . . . . 59

네트워크 스캔 대상 및 제외 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59모든 스캔에서 자산 제외 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61스캔 제외 관리 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

스캔 프로토콜 및 포트 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61전체 포트 범위 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62열린 포트가 있는 자산 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

허용된 스캔 간격 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64허용된 시간 중 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65운영 창 관리 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66운영 창 연결 끊기 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

동적 취약성 스캔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66취약성 스캐너를 CIDR 범위와 연관시키기 . . . . . . . . . . . . . . . . . . . . . . . 68다른 취약성 스캐너로 CIDR 범위 스캔 . . . . . . . . . . . . . . . . . . . . . . . . 69

스캔 정책. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69치명적 취약성에 대비한 스캔 정책 자동 업데이트 . . . . . . . . . . . . . . . . . . . . 70사전 구성된 스캔 정책 수정 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71스캔 정책 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

제 6 장 False Positive 관리. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73취약성 스캔 결과 발견 방법 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75인증된 스캔에서 잠재적인 False Positive 조사 . . . . . . . . . . . . . . . . . . . . . . 76

제 7 장 인증된 패치 스캔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77중앙 신임 정보 세트 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78신임 정보 세트 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Linux 운영 체제 공개 키 인증 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Linux 또는 UNIX 운영 체제의 인증된 스캔 구성 . . . . . . . . . . . . . . . . . . . . . 81Linux 또는 UNIX 패치 스캔에 대한 권한 사용 . . . . . . . . . . . . . . . . . . . . . . 82

iv QRadar Vulnerability Manager

제 8 장 Windows 기반 자산에서 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . . 85Windows 운영 체제의 인증된 스캔 구성 . . . . . . . . . . . . . . . . . . . . . . . . 87원격 레지스트리 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Windows 운영 체제에 있는 자산에 대한 원격 레지스트리 액세스 사용 설정 . . . . . . . . . . . 89최소 원격 레지스트리 권한 지정 . . . . . . . . . . . . . . . . . . . . . . . . . . . 89WMI 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90최소 DCOM 권한 설정. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91DCOM 원격 액세스 권한 설정 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92관리 공유. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93관리 공유 사용 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93관리 공유 사용 안함 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

제 9 장 취약성 예외 룰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95취약성 예외 룰 적용 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95취약성 예외 룰 관리 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96취약성 예외 검색 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

제 10 장 스캔 조사 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99스캔 결과 검색 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99자산 검색에 컬럼 표제 포함. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100스캔 결과 관리 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101스캔 결과 재게시 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101자산 위험 레벨 및 취약성 카테고리 . . . . . . . . . . . . . . . . . . . . . . . . . . 102자산, 취약성 및 공개 서비스 데이터 . . . . . . . . . . . . . . . . . . . . . . . . . . 103자산 패치 다운로드의 상태 보기 . . . . . . . . . . . . . . . . . . . . . . . . . . . 104취약성 위험 및 PCI 심각도 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104스캔 실행 문제점 해결 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104취약성 스캔 시작 및 중지 시 자산 소유자에게 이메일 전송 . . . . . . . . . . . . . . . . . 106

제 11 장 취약성 관리 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109CVSS(Common Vulnerability Scoring System) . . . . . . . . . . . . . . . . . . . . . 109취약성 위험 점수 조사 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111위험 점수 세부사항 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

취약성 데이터 검색 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112빠른 취약성 검색 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113취약성 검색 매개변수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114취약성 검색 기준 저장 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116저장된 취약성 검색 기준 삭제 . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

취약성 인스턴스 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117네트워크 취약성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118자산 취약성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118공개 서비스 취약성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118취약성 히스토리 조사 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118False Positive 취약성의 수 감소시키기. . . . . . . . . . . . . . . . . . . . . . . . . 119고위험 자산 및 취약성 조사. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120위험 정책 적용을 통한 고위험 취약성 우선순위 지정 . . . . . . . . . . . . . . . . . . . . 121위험 점수에 대한 사용자 정의 표시 색상 구성 . . . . . . . . . . . . . . . . . . . . . . 122

목차 v

BigFix 패치가 있는 취약성 식별 . . . . . . . . . . . . . . . . . . . . . . . . . . . 123취약성의 패치 상태 식별 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123불필요한 취약성 데이터의 제거 . . . . . . . . . . . . . . . . . . . . . . . . . . . 124취약성 데이터 보존 기간의 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

제 12 장 취약성 개선 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127개별 취약성을 개선을 위해 기술 사용자에게 지정 . . . . . . . . . . . . . . . . . . . . . 127기술 사용자를 자산 그룹의 소유자로 지정. . . . . . . . . . . . . . . . . . . . . . . . 128지정된 자산의 취약성에 대한 개선 시간 구성 . . . . . . . . . . . . . . . . . . . . . . 129

제 13 장 취약성 보고서 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131기본 QRadar Vulnerability Manager 보고서 실행 . . . . . . . . . . . . . . . . . . . . 131지정된 취약성 보고서를 기술 사용자에게 이메일 전송 . . . . . . . . . . . . . . . . . . . 132PCI 준수 보고서 생성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133자산 준수 계획 및 소프트웨어 선언 업데이트 . . . . . . . . . . . . . . . . . . . . . 134PCI 준수 보고서 작성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

자산 검색에 컬럼 표제 포함. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

제 14 장 인터넷과 통신하는 새 자산 스캐닝 . . . . . . . . . . . . . . . . . . . . . . . 137새 자산에 대한 자산 저장 검색 작성 . . . . . . . . . . . . . . . . . . . . . . . . . 137요청 시 스캔 프로파일 작성. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137인터넷 통신을 테스트하기 위한 정책 모니터 질문 작성 . . . . . . . . . . . . . . . . . . . 138새 자산과 인터넷 사이의 통신 모니터링 . . . . . . . . . . . . . . . . . . . . . . . . 139스캔을 트리거할 오펜스 룰 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

제 15 장 보안 소프트웨어 통합 . . . . . . . . . . . . . . . . . . . . . . . . . . . 143QRadar Vulnerability Manager와의 통합 . . . . . . . . . . . . . . . . . . . . . . . 143

제 16 장 IBM BigFix 통합 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145IBM Security QRadar와 IBM BigFix 사이의 상호작용 . . . . . . . . . . . . . . . . . . . 148IBM BigFix와 QRadar 사이의 암호화된 통신 구성 . . . . . . . . . . . . . . . . . . . . 149취약성 데이터를 BigFix로 보내도록 QRadar Vulnerability Manager 구성 . . . . . . . . . . . . 151BigFix 및 QRadar Vulnerability Manager 통합 문제점 해결 . . . . . . . . . . . . . . . . 154

제 17 장 IBM Security SiteProtector 통합. . . . . . . . . . . . . . . . . . . . . . . 159IBM Security SiteProtector에 연결 . . . . . . . . . . . . . . . . . . . . . . . . . . 159

제 18 장 취약성 조사, 뉴스 및 권고 . . . . . . . . . . . . . . . . . . . . . . . . . 161게시된 취약성에 대한 자세한 정보 보기 . . . . . . . . . . . . . . . . . . . . . . . . 161글로벌 보안 개발 정보 파악. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161취약성 공급업체의 보안 권고 보기 . . . . . . . . . . . . . . . . . . . . . . . . . . 162취약성, 뉴스 및 권고 검색 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162뉴스 피드 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

주의사항. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165상표 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167제품 문서의 이용 약관 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167IBM 온라인 개인정보 보호정책 . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

vi QRadar Vulnerability Manager

용어집 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171가 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171사 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171아 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171자 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172차 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172카 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173U . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

색인 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

목차 vii

viii QRadar Vulnerability Manager

IBM Security QRadar Vulnerability Manager 소개이 정보는 IBM® QRadar® Vulnerability Manager와 함께 사용하도록 제작되었습니다. QRadar Vulnerability Manager는 네트워크 자산에 있는 취약성을 식별하고, 관리하고, 우선순위를 지정하는 데 사용되는 스캐닝 플랫폼입니다.

이 안내서에는 IBM Security QRadar SIEM 또는 IBM QRadar Log Manager

콘솔에서 QRadar Vulnerability Manager를 구성하고 사용하는 데 대한 지시사항이 포함되어 있습니다.

대상 독자

IBM Security QRadar Vulnerability Manager를 구성하는 시스템 관리자는 IBM

Security QRadar SIEM, 사용자의 네트워크 디바이스 및 방화벽에 대한 관리 액세스 권한을 갖고 있어야 합니다. 시스템 관리자는 사용자의 기업 네트워크와 네트워킹 기술에 대한 지식이 있어야 합니다.

기술 문서

더 많은 기술 문서, 기술 노트 및 릴리스 정보에 액세스하는 방법에 대한 정보는IBM 보안 문서 기술 노트(http://www.ibm.com/support/docview.wss?rs=0

&uid=swg21614644)를 참조하십시오.

고객 지원 문의

고객 지원 문의에 대한 정보는 지원 및 기술 노트 다운로드(http://www.ibm.com/support/docview.wss?rs=0&uid=swg21612861)를 참조하십시오.

우수 보안 관리제도에 대한 설명

IT 시스템 보안은 귀사 내/외부로부터의 부적절한 접근을 방지, 감지, 대응함으로써 시스템과 정보를 보호하는 일을 포함합니다. 부적절한 접근은 정보의 변경,

파괴 또는 유용을 초래하거나, 타 시스템에 대한 공격을 포함한 귀사 시스템에 대한 피해나 오용을 초래할 수 있습니다. 어떠한 IT 시스템이나 제품도 완벽하게 안전할 수 없으며, 단 하나의 제품이나 보안 조치만으로는 부적절한 접근을 완벽하게 방지하는 데 효과적이지 않을 수 있습니다. IBM 시스템, 제품 및 서비스는 추가적인 작동 프로시저를 필요로 하는, 보안에 대한 포괄적인 접근 방식의 일부가되도록 디자인되었으며 최대의 효율을 발휘하기 위해서는 다른 시스템, 제품 또는 서비스가 필요할 수 있습니다. IBM은 시스템, 제품 또는 서비스가 임의의 당

© Copyright IBM Corp. 2012, 2017 ix

http://www.ibm.com/support/docview.wss?rs=0&uid=swg21614644

http://www.ibm.com/support/docview.wss?rs=0&uid=swg21612861

사자의 악의적 또는 불법적 행위로부터 영향을 받지 않는다는 것을 보장하지는않습니다.

x QRadar Vulnerability Manager

제 1 장 사용자를 위한 QRadar Vulnerability Manager V7.3.0의새로운 기능

IBM Security QRadar Vulnerability Manager V7.3.0에서는 자산에서 서비스감지 성능을 튜닝하는 데 유용한 개선사항을 도입했습니다.

자산에서 서비스를 더 빠르게 감지하기 위한 감지 성능 튜닝

자산에서 감지된 서비스의 속도 및 정확성을 조정하고 최적화합니다.

자산에서 서비스 감지 튜닝에 대해 자세히 학습합니다.

© Copyright IBM Corp. 2012, 2017 1

2 QRadar Vulnerability Manager

제 2 장 설치 및 배치

설치하는 제품, 그리고 IBM Security QRadar 업그레이드 또는 새 시스템 설치여부에 따라 취약성 탭이 표시되지 않을 수 있습니다.

취약성 탭을 사용하여 IBM® Security QRadar VulnerabilityManager에 액세스합니다.

v QRadar SIEM을 설치하는 경우 취약성 탭은 임시 라이센스 키를 사용하여 기본적으로 사용으로 설정됩니다.

v QRadar Log Manager를 설치하는 경우 취약성 탭은 사용으로 설정되지 않습니다. QRadar Vulnerability Manager에 대한 라이센스를 별도로 구매하고라이센스 키를 사용하여 이를 사용으로 설정하십시오.

업그레이드에 대한 자세한 정보는 IBM Security QRadar Upgrade Guide를 참조하십시오.

QRadar Vulnerability Manager 라이센스

설치 또는 업그레이드 후 QRadar Vulnerability Manager를 사용하려면 유효한라이센스 키를 업로드하고 할당해야 합니다. 자세한 정보는 관리 안내서를 참조하십시오. QRadar Vulnerability Manager에 대한 라이센스가 적용되고 최소 하나 이상의 IP 주소를 가진 QRadar Vulnerability Manager 스캔 자산에 대해실시간으로 처리됩니다. QRadar Vulnerability Manager 스캔은 자산의 IP 주소에 대해 구성된 보존 시간 내에서 이루어져야 합니다.

1. 관리 탭에서 자산 프로파일러 구성을 클릭하십시오.

2. 자산 IP 보존(일) 행을 찾아 자산 IP 보존 값을 편집하십시오.

3. 보존 값을 변경하거나 사용자의 요구에 적합한지 확인하십시오. 기본 자산 IP

보존 값은 120일입니다.

QRadar Vulnerability Manager 및 QRadar Risk Manager 라이센스

IBM Security QRadar Vulnerability Manager 및 IBM Security QRadar Risk

Manager는 하나의 오퍼링에 결합되며, 둘 다 단일 기본 라이센스를 통해 사용가능합니다. 결합된 오퍼링에서는 통합된 네트워크 스캐닝 및 취약성 관리 워크플로우를 제공합니다. 기본 라이센스를 통해 QRadar Vulnerability Manager를사용하여 최대 256개의 자산을 스캔할 수 권한을 제공합니다. QRadar Risk

Manager를 최대 50개 표준 구성 소스에 통합할 수 있습니다 . QRadar

Vulnerability Manager 또는 QRadar Risk Manager에 대한 권한이 있는 경우


다른 제품의 기본 라이센스 허용에 대한 권한도 자동으로 부여됩니다. 50개보다많은 구성 소스와 통합하거나 256개보다 많은 자산을 스캔하려면 추가 라이센스가 필요합니다.

취약성 처리 및 스캐닝 배치

QRadar Vulnerability Manager를 설치하고 라이센스를 획득하면 취약성 프로세서가 자동으로 QRadar 콘솔에 배치됩니다. QRadar 콘솔에서 소프트웨어 정품 인증 키를 사용하는 경우에는 프로세서가 자동으로 배치되지 않습니다.

취약성 프로세서는 기본적으로 스캐닝 구성요소를 제공합니다. 필요한 경우에는전용 QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스 또는QRadar 관리 호스트에 추가 스캐너를 배치할 수 있습니다. 예를 들면, 이벤트 콜렉터 또는 QRadar QFlow Collector에 취약성 스캐너를 배치할 수 있습니다.

필요한 경우에는 취약성 프로세서를 배치 내의 다른 관리 호스트로 이동할 수 있습니다. QRadar 콘솔의 디스크 공간을 유지하기 위해 프로세서를 이동할 수도있습니다.

제한사항: 배치에는 하나의 취약성 프로세서만 둘 수 있습니다. 취약성 프로세서는 전용 QRadar Vulnerability Manager 프로세서 어플라이언스로만 이동할 수있습니다. 취약성 프로세서를 QRadar Flow Processor 1728 어플라이언스에 추가할 수 없습니다.

취약성 프로세서는 다음 QRadar 어플라이언스에 추가할 수 있습니다. 600, 700,

8099, 8024, 8000, 3124, 8026, 2100, 3199, 3126, 8021, 3100.

Java™ Runtime Environment(JRE) 버전 1.7 또는 IBM 64-bit Runtime

Environment for Java V7.0이 QRadar 제품 사용자 인터페이스에 액세스하기위해 사용하는 모든 데스크탑 시스템에 설치되어 있는지 확인하십시오.

자동 업데이트 및 취약성 정보

자동 업데이트를 실행하는 경우 사용 가능한 최신 취약성 메타데이터 및 스캔 도구를 제공합니다. 로컬 오프라인 서버에서 또는 인터넷 연결을 통해 자동 업데이트를 구성합니다. 일반적으로 취약성 메타데이터 및 스캔 도구는 매주 업데이트됩니다.

우수 사례에서는 QRadar 소프트웨어 업데이트를 설치한 후에 자동 업데이트를실행해야 합니다. 자동 업데이트 아이콘을 클릭하여 관리 탭에서 자동 업데이트를 실행하십시오.

QRadar 자동 업데이트 설치에 대한 자세한 정보는 IBM Security QRadar 관리안내서를 참조하십시오.


관련 개념:

10 페이지의 『스캐너를 QRadar Vulnerability Manager 배치에 추가하는 데대한 옵션』사용자에게 대규모 네트워크가 있으며 유연한 스캔 옵션이 필요한 경우에는 스캐너를 IBM Security QRadar Vulnerability Manager 배치에 추가할 수 있습니다.

7 페이지의 『QRadar Vulnerability Manager 배치에서 취약성 프로세서를 이동하는 데 대한 옵션』필요한 경우에는 QRadar 콘솔에서 전용 QRadar Vulnerability Manager 관리 호스트 어플라이언스로 취약성 프로세서를 이동할 수 있습니다.

취약성 프로세서 및 스캐너 어플라이언스 정품 인증 키전용 QRadar Vulnerability Manager 관리 호스트 어플라이언스를 사용하여 취약성을 스캔하고 처리할 수 있습니다.

프로세서 또는 스캐너 관리 호스트 어플라이언스를 설치할 때는 유효한 정품 인증 키를 입력해야 합니다.

관리 호스트 어플라이언스를 설치하는 데 대한 자세한 정보는 제품의 설치 안내서를 참조하십시오.

정품 인증 키는 IBM에서 제공하는, 네 부분으로 구성된 24자리의 영숫자 문자열입니다. 정품 인증 키는 각 어플라이언스 유형에 어느 소프트웨어 모듈이 적용될지 지정합니다.

v QRadar Vulnerability Manager 프로세서 어플라이언스는 취약성 처리 및 스캐닝 구성요소를 포함합니다.

v QRadar Vulnerability Manager 스캐너 어플라이언스는 취약성 스캐닝 구성요소만 포함합니다.

다음 위치에서 정품 인증 키를 얻을 수 있습니다.

v QRadar Vulnerability Manager 소프트웨어 또는 가상 어플라이언스 다운로드를 구입한 경우 정품 인증 키의 목록은 확인 이메일에 첨부된 Getting Started

문서에 포함됩니다. 이 문서를 사용하여 제공된 어플라이언스의 부품 번호를교차 참조할 수 있습니다.

v QRadar Vulnerability Manager 소프트웨어와 함께 사전 설치된 어플라이언스를 구입한 경우 정품 인증 키는 배송 상자 또는 CD에 포함되어 있습니다.

제 2 장 설치 및 배치 5

취약성 백업 및 복구IBM Security QRadar SIEM에서 백업 및 복구 기능을 사용하여 IBM Security

QRadar Vulnerability Manager 취약성 및 구성 데이터를 백업하고 복원할 수있습니다.

QRadar Vulnerability Manager를 설치할 경우, QRadar SIEM 야간 백업 또는 On Demand 백업에 QRadar Vulnerability Manager 스캔 프로파일, 스캔결과 및 구성 정보가 포함됩니다.

관리 탭을 사용하여 데이터 또는 구성 백업 및 복구를 구성할 수 있습니다.

백업 및 복구에 대한 자세한 정보는 IBM Security QRadar 관리 안내서를 참조하십시오.

QRadar와 QRadar Vulnerability Manager 관리 호스트 사이의 통신에 사용되는 포트

QRadar Vulnerability Manager에서는 관리 호스트에 연결하기 위해 보안 포트를 사용합니다.

통신에 사용되는 포트

다음 표에서는 QRadar와 QRadar Vulnerability Manager 관리 호스트 사이의안전한 통신을 위해 사용되는 포트를 설명합니다.

표 1. QRadar Vulnerability Manager 통신 포트통신 포트 프로토콜QRadar Console에서 QRadarVulnerability Manager 프로세서로

22, 9999, 8989, 8844 TCP

QRadar Console에서 QRadarVulnerability Manager 스캐너로

22 TCP

QRadar Vulnerability Manager프로세서에서 Q R a d a rConsole로

443 TCP

QRadar Vulnerability Manager스캐너에서 Q R a d a rVulnerability Manager 프로세서로

9999 TCP


QRadar Vulnerability Manager 배치에서 취약성 프로세서를 이동하는 데 대한 옵션

필요한 경우에는 QRadar 콘솔에서 전용 QRadar Vulnerability Manager 관리호스트 어플라이언스로 취약성 프로세서를 이동할 수 있습니다.

예를 들면, QRadar 콘솔에 대한 디스크 공간 영향을 최소화하기 위해 관리 호스트로 취약성 처리 기능을 이동할 수 있습니다.

제한사항: 배치에는 하나의 취약성 프로세서만 둘 수 있습니다. 또한 취약성 프로세서는 QRadar 콘솔 또는 QRadar Vulnerability Manager 관리 호스트 프로세서 어플라이언스에만 배치해야 합니다.

취약성 프로세서를 이동하려면 다음 옵션 중 하나를 선택하십시오.

옵션 1: 전용 QRadar Vulnerability Manager 프로세서 어플라이언스 배치

프로세서 어플라이언스를 배치하려면 다음 태스크를 완료해야 합니다.

1. 전용 QRadar Vulnerability Manager 프로세서 어플라이언스를 설치하십시오.

2. 관리 탭의 시스템 및 라이센스 관리 도구를 사용하여 QRadar Console에 관리 호스트 프로세서 어플라이언스를 추가하십시오.

관리 호스트 옵션을 선택하면 프로세서가 자동으로 QRadar 콘솔에서 제거됩니다.

옵션 2: 콘솔에서 관리 호스트로 취약성 프로세서 이동

취약성 프로세서가 QRadar 콘솔에 있는 경우에는 이전에 설치된 QRadar

Vulnerability Manager 관리 호스트 프로세서 어플라이언스로 취약성 프로세서를 나중에 이동할 수 있습니다.

언제든지 취약성 프로세서를 QRadar 콘솔로 다시 이동할 수 있습니다.

전용 QRadar Vulnerability Manager 프로세서 어플라이언스 배치전용 QRadar Vulnerability Manager 프로세서 어플라이언스를 관리 호스트로배치할 수 있습니다.

취약성 프로세서를 관리 호스트에 배치하면 모든 취약성이 관리 호스트에서 처리됩니다.


제한사항: 프로세서를 전용 QRadar Vulnerability Manager 관리 호스트에 배치한 후에는 QRadar 콘솔 프로세서와 연관된 스캔 프로파일 또는 스캔 결과가표시되지 않습니다. 취약성 관리 페이지에서 계속 취약성 데이터를 검색하고 볼수 있습니다.

시작하기 전에

전용 QRadar Vulnerability Manager 관리 호스트가 설치되었으며 유효한 프로세서 어플라이언스 정품 인증 키가 적용되었는지 확인하십시오. 자세한 정보는 제품의 설치 안내서를 참조하십시오.

프로시저1. QRadar Console에 관리자로 로그인하십시오.

https://IP_Address_QRadar

기본 사용자 이름은 admin입니다. 비밀번호는 설치 중에 입력한 root 사용자 계정의 비밀번호입니다.

2. 관리 탭을 클릭하십시오.

3. 시스템 구성 분할창에서 시스템 및 라이센스 관리를 클릭하십시오.

4. 호스트 테이블에서 QRadar Console 호스트를 클릭한 후 배치 조치 > 호스트 추가를 클릭하십시오.

5. 호스트의 IP 주소 및 비밀번호를 입력하십시오.

6. 포트 22에서 SSH 터널을 작성하려면 호스트 연결 암호화를 선택하십시오.

7. 호스트와의 통신에 대한 암호화 압축을 사용하려면 암호화 압축을 선택하십시오.

8. 관리 호스트에 대한 NAT를 사용하려면 NAT(Network Address

Translation)를 선택하고 다음 정보를 추가하십시오.

표 2. NAT 구성필드 설명NAT 그룹 관리 호스트가 QRadar Console과 동일한 서브

넷에 있으면 NAT 기반 네트워크에 있는QRadar Console을 선택하십시오.

관리 호스트가 QRadar Console과 동일한 서브넷에 있지 않으면 NAT 기반 네트워크에 있는 관리 호스트를 선택하십시오.

공용 IP 관리 호스트는 이 IP 주소를 사용하여 NAT를 사용하는 다른 네트워크에 있는 다른 관리 호스트와 통신합니다.

NAT 기반 네트워크에서는 정적 NAT를 사용해야 합니다.


9. 추가를 클릭하십시오.

참고: 호스트를 추가하는 프로세스를 완료할 때까지 창을 닫지 마십시오.

10. 시스템 및 라이센스 관리 창을 닫으십시오.

11. 관리 탭 도구 모음에서 고급 > 전체 구성 배치를 클릭하십시오.

12. 확인을 클릭하십시오.

관련 개념:

5 페이지의 『취약성 프로세서 및 스캐너 어플라이언스 정품 인증 키』전용 QRadar Vulnerability Manager 관리 호스트 어플라이언스를 사용하여취약성을 스캔하고 처리할 수 있습니다.

관련 태스크:

10 페이지의 『취약성 프로세서 배치 여부 확인』IBM Security QRadar Vulnerability Manager에서는 취약성 프로세서가QRadar 콘솔 또는 QRadar Vulnerability Manager 관리 호스트에 배치되었는지 확인할 수 있습니다.

취약성 프로세서를 관리 호스트 또는 콘솔로 이동필요한 경우에는 QRadar Vulnerability Manager 관리 호스트 어플라이언스와QRadar 콘솔 간에 취약성 프로세서를 이동할 수 있습니다.

시작하기 전에

전용 QRadar Vulnerability Manager 관리 호스트가 설치되었으며 유효한 프로세서 어플라이언스 정품 인증 키가 적용되었는지 확인하십시오.

프로시저1. 관리 탭에서 시스템 및 라이센스 관리 > 배치 조치 > 취약성 배치 관리를클릭하십시오.

2. 프로세서 사용을 클릭하십시오.

3. 프로세서 목록에서 관리 호스트 또는 콘솔을 선택하십시오.

프로세서가 관리 호스트에 있는 경우에는 QRadar 콘솔만 선택할 수 있습니다.

4. 저장을 클릭하십시오.

5. 관리 탭 도구 모음에서 고급 > 전체 구성 배치를 선택하십시오.


취약성 프로세서 배치를 변경한 후에는 배치가 완전히 구성될 때까지 기다려야 합니다. 스캔 프로파일 페이지에 QVM이 배치되는 중입니다. 메시지가 표시됩니다.


관련 개념:


취약성 프로세서 배치 여부 확인IBM Security QRadar Vulnerability Manager에서는 취약성 프로세서가 QRadar

콘솔 또는 QRadar Vulnerability Manager 관리 호스트에 배치되었는지 확인할수 있습니다.

프로시저1. QRadar 콘솔에 로그인하십시오.

2. 관리 탭에서 시스템 및 라이센스 관리 > 배치 조치 > 취약성 배치 관리를클릭하십시오.

3. 프로세서가 프로세서 목록에 표시되는지 확인하십시오.

콘솔 또는 관리 호스트에서 취약성 프로세서 제거필요한 경우에는 QRadar 콘솔 또는 QRadar Vulnerability Manager 관리 호스트에서 취약성 프로세서를 제거할 수 있습니다.

프로시저1. QRadar 콘솔에 로그인하십시오.

2. 관리 탭에서 시스템 및 라이센스 관리 > 배치 조치 > 취약성 배치 관리를클릭하십시오.

3. 프로세서 사용 선택란을 클릭하여 선택을 취소하십시오.

4. 제거를 클릭하십시오.





스캐너를 QRadar Vulnerability Manager 배치에 추가하는 데 대한 옵션사용자에게 대규모 네트워크가 있으며 유연한 스캔 옵션이 필요한 경우에는 스캐너를 IBM Security QRadar Vulnerability Manager 배치에 추가할 수 있습니다.


QRadar Vulnerability Manager 프로세서는 자동으로 스캐닝 구성요소와 함께배치됩니다. 추가 스캐너를 배치하면 스캐닝 조작의 유연성을 증가시킬 수 있습니다. 예를 들면, 네트워크의 특정 영역을 서로 다른 스캐너로, 서로 다른 스케줄된 시간에 스캔할 수 있습니다.

동적 취약성 스캔

사용자가 배치하는 취약성 스캐너에는 네트워크의 일부 영역에 대한 액세스 권한이 없을 수 있습니다. QRadar Vulnerability Manager에서는 네트워크 CIDR

범위에 여러 스캐너를 지정할 수 있습니다. CIDR 범위에 있는 스캔할 각 자산은스캔 중에 동적으로 올바른 스캐너와 연관됩니다.

취약성 스캐너를 추가하려면 다음 옵션 중 하나를 선택하십시오.

전용 QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스 배치전용 QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스를 사용하여 취약성을 스캔할 수 있습니다.

스캐너 어플라이언스를 배치하려면 다음 태스크를 완료해야 합니다.

1. 전용 QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스를 설치하십시오.

2. 관리 탭의 시스템 및 라이센스 관리 도구를 사용하여 QRadar Console

에 관리 호스트 스캐너 어플라이언스를 추가하십시오.

QRadar 콘솔 또는 관리 호스트에 QRadar Vulnerability Manager 스캐너 배치 QRadar 콘솔에서 QRadar Vulnerability Manager 관리 호스트로 취약

성 프로세서를 이동하는 경우에는 콘솔에 스캐너를 추가할 수 있습니다.

배치에 있는 기존의 QRadar 관리 호스트에 취약성 스캐너를 추가할 수도 있습니다. 예를 들면, 스캐너를 이벤트 콜렉터, 플로우 콜렉터 또는 이벤트 프로세서에 추가할 수 있습니다.

스캐너 또는 스캐닝 기능이 있는 다른 관리 호스트를 추가할 때 자동 업데이트를 실행하십시오. 자동 업데이트에 대한 자세한 정보는 IBM Security QRadar 관리 안내서를 참조하십시오.

IBM 호스팅 스캐너에 대한 액세스 구성 및 DMZ 스캔IBM 호스팅 스캐너에 대한 액세스를 구성하고 DMZ에 있는 자산을 스캔할 수 있습니다.

관련 개념:

66 페이지의 『동적 취약성 스캔』IBM Security QRadar Vulnerability Manager에서는 네트워크 내의 특정CIDR 범위에 대해 특정 취약성 스캐너를 사용하도록 스캔을 구성할 수 있습니다. 예를 들면, 스캐너가 네트워크의 일부에만 액세스 가능한 경우가 있습니다.


관련 태스크:

68 페이지의 『취약성 스캐너를 CIDR 범위와 연관시키기』IBM Security QRadar Vulnerability Manager에서 동적 스캐닝을 수행하려면취약성 스캐너를 네트워크 내의 여러 세그먼트와 연관시켜야 합니다.

69 페이지의 『다른 취약성 스캐너로 CIDR 범위 스캔』IBM Security QRadar Vulnerability Manager에서는 다른 취약성 스캐너로네트워크의 영역을 스캔할 수 있습니다.

전용 QRadar Vulnerability Manager 스캐너 어플라이언스 배치전용 QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스를 배치할 수 있습니다.

시작하기 전에

전용 QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스가 설치되었으며 유효한 어플라이언스 정품 인증 키가 적용되었는지 확인하십시오.

프로시저1. 관리 탭에서 시스템 및 라이센스 관리 > 배치 조치 > 관리 호스트 추가를클릭하십시오.

2. QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스의 호스트 IP 주소 및 비밀번호를 입력하십시오.

3. 추가를 클릭하십시오.

관리 호스트를 추가하는 데는 몇 분 정도 소요됩니다.




관련 개념:


QRadar 콘솔 또는 관리 호스트에 취약성 스캐너 배치QRadar Vulnerability Manager 스캐너를 QRadar 콘솔 또는 QRadar 관리 호스트에 배치할 수 있습니다. 예를 들어, 플로우 콜렉터, 플로우 프로세서, 이벤트콜렉터, 이벤트 프로세서 또는 데이터 노드에 스캐너를 배치할 수 있습니다.


시작하기 전에

QRadar 콘솔에 스캐너를 배치하려면 전용 QRadar Vulnerability Manager 관리 호스트 어플라이언스로 취약성 프로세서를 이동했는지 확인하십시오.

QRadar 관리 호스트에 스캐너를 배치하려면 배치에 기존 관리 호스트가 있는지확인하십시오. 자세한 정보는 제품의 설치 안내서를 참조하십시오.


2. 추가적인 취약성 스캐너 추가를 클릭하십시오.

3. + 아이콘을 클릭하십시오.

4. 호스트 목록에서 QRadar 관리 호스트 또는 콘솔을 선택하십시오.

제한사항: 취약성 프로세서가 콘솔에 있을 때는 스캐너를 QRadar 콘솔에 추가할 수 없습니다. 취약성 프로세서를 QRadar Vulnerability Manager 관리호스트로 이동해야 합니다.





9. 스캔 프로파일 구성 페이지의 스캔 서버 목록을 확인하여 스캐너가 추가되었는지 확인하십시오.

자세한 정보는 49 페이지의 『스캔 프로파일 작성』의 내용을 참조하십시오.

참고: 배치를 관리하기 위해 관리 탭에서 배치 편집기를 사용하지 마십시오.

이는 QRadar의 이전 버전과의 호환성을 위해서만 사용할 수 있기 때문입니다.

다음에 수행할 작업

스캐너 또는 스캐닝 기능이 있는 다른 관리 호스트를 추가한 후에 자동 업데이트를 실행하십시오. 또는 기본 매일 스케줄된 자동 업데이트가 실행된 후에 스캔할 수 있습니다. 다른 스캐너에 대한 자동 업데이트가 이전에 실행된 경우 다음번 일별 업데이트까지 모든 스캐너에 대한 자동 업데이트는 완전히 동기화되지않습니다.

관련 태스크:

9 페이지의 『취약성 프로세서를 관리 호스트 또는 콘솔로 이동』필요한 경우에는 QRadar Vulnerability Manager 관리 호스트 어플라이언스와


QRadar 콘솔 간에 취약성 프로세서를 이동할 수 있습니다.

DMZ의 자산 스캔IBM Security QRadar Vulnerability Manager에서는 외부 스캐너에 연결하여DMZ에 있는 자산에서 취약성을 스캔할 수 있습니다.

DMZ에 있는 자산에서 취약성을 스캔하기 위해 DMZ에 스캐너를 배치할 필요는 없습니다. 네트워크 밖에 위치한, 호스팅되는 IBM 스캐너로 QRadar

Vulnerability Manager를 구성해야 합니다.

발견되는 취약성은 QRadar 콘솔 또는 QRadar Vulnerability Manager 관리 호스트에 있는 프로세서에 의해 처리됩니다.

프로시저1. 외부 스캔을 위해 네트워크 및 자산을 구성하십시오.

2. 외부 자산을 스캔하기 위해 QRadar Vulnerability Manager를 구성하십시오.

외부 스캔을 위한 네트워크 및 자산 구성DMZ에 있는 자산을 스캔하려면 네트워크를 구성한 후, 스캔할 자산을 IBM에 통보해야 합니다.

프로시저1. QVM 프로세서 호스트에서 외부 스캐너로 https(포트 443) 연결을 허용하도록 방화벽을 구성하십시오. QVM 프로세서를 실행하는 호스트는 콘솔일 수도 있고 관리 호스트일 수도 있습니다.

2. 다음 정보를 [email protected]으로 발송하십시오.

v QRadar에서 인터넷에 연결하기 위해 사용하는 외부를 향한 외부 IP 주소

제한사항: 외부 스캔을 실행하려면 이 IP 주소를 먼저 구성해야 합니다.

v DMZ에 있는 자산의 IP 주소 범위

외부 자산을 스캔하기 위한 QRadar Vulnerability Manager 구성DMZ에 있는 자산을 스캔하려면 관리 탭의 시스템 및 라이센스 관리 도구를 사용하여 QRadar Vulnerability Manager를 구성해야 합니다.

프로시저1. 관리 탭을 클릭하십시오.

2. 탐색 메뉴에서 시스템 구성을 클릭하십시오.


3. 시스템 및 라이센스 관리를 클릭하십시오.

4. 표시 메뉴에서 시스템을 선택하십시오.

5. 배치 조치 > 취약성 배치 관리를 클릭하십시오.

6. 외부 스캐너 사용을 클릭하십시오.

7. 게이트웨이 IP 필드에 외부 IP 주소를 입력하십시오.

제한사항: 외부 IP 주소를 구성하기 전에는 외부 자산을 스캔할 수 없습니다. 반드시 외부 IP 주소의 세부사항을 IBM에 이메일로 전송하십시오.

8. 옵션: 네트워크가 프록시 서버를 사용하도록 구성된 경우에는 프록시 서버사용을 클릭한 후 서버의 세부사항을 입력하십시오.

9. 저장을 클릭한 후 닫기를 클릭하십시오.



참고: 인증된 스캔은 외부 스캐너에서 수행되지 않습니다.

지원되는 웹 브라우저IBM Security QRadar 제품의 기능이 올바르게 작동되게 하려면 지원되는 웹 브라우저를 사용해야 합니다.

QRadar 시스템에 액세스하는 경우 사용자 이름과 비밀번호를 입력하기 위한 프롬프트가 표시됩니다. 사용자 이름과 비밀번호는 관리자가 미리 구성해 두어야 합니다.

다음 표에는 지원되는 웹 브라우저 버전이 나열되어 있습니다.

표 3. QRadar 제품에 지원되는 웹 브라우저

웹 브라우저 지원되는 버전

Mozilla Firefox 45.2 확장 지원 릴리스Microsoft Edge 모드를 사용하는 64비트Microsoft Internet Explorer

11.0

Google Chrome 최신

Internet Explorer에서 문서 모드 및 브라우저 모드 사용Microsoft Internet Explorer를 사용하여 IBM Security QRadar 제품에 액세스하는 경우 브라우저 모드 및 문서 모드를 사용으로 설정해야 합니다.


프로시저1. Internet Explorer 웹 브라우저에서 F12를 눌러 개발자 도구 창을 여십시오.

2. 브라우저 모드를 클릭하고 사용 중인 웹 브라우저 버전을 선택하십시오.

3. 문서 모드를 클릭하고 사용 중인 Internet Explorer 릴리스에 해당하는Internet Explorer 표준을 선택하십시오.

QRadar Vulnerability Manager 고가용성 스캔QRadar 고가용성(HA) 배치를 사용하여 1차 QRadar 배치에 실패한 경우 취약성 스캐닝 스케줄을 유지보수합니다.

고가용성(HA) 버전 2는 QRadar Vulnerability Manager에서 지원됩니다.

고가용성(HA) 설정에서 동일한 소프트웨어 구성의 동일한 어플라이언스를 사용해야 합니다. 고가용성(HA) 배치 설정에 대한 정보는 IBM Security QRadar High

Availability Guide의 내용을 참조하십시오.

고가용성(HA) 스캔

다음 어플라이언스는 QRadar Vulnerability Manager 고가용성(HA) 배치에서지원됩니다.

v 콘솔v 스캐너 어플라이언스(610)

v 프로세서 어플라이언스(600)

중요한 참고사항

고가용성(HA) 취약성 스캐닝을 배치할 때 다음 정보를 참고하십시오.

v 장애 조치 중 스캔이 진행 중인 경우 장애 조치 후에 진행 중인 스캔을 취소하고 다시 시작하십시오.

v HA 스캐닝 환경에서 어플라이언스를 대체하는 경우 배치에 나타나지 않을 수도 있습니다. HA 배치에 어플라이언스를 다시 추가하고 변경사항을 배치해야합니다.

v 고가용성(HA) 설정에서 동일한 어플라이언스 및 구성을 사용하십시오.

v 장애 조치 후 자동 업데이트는 재개되지 않습니다. 무중단 활성 설정에서 자동 업데이트를 실행해야 합니다.


QRadar Vulnerability Manager 임시 라이센스 기간의 연장IBM Security QRadar SIEM를 설치하면 임시 라이센스 키 또한 설치되므로, 기본적으로 취약성 탭을 볼 수 있습니다. 임시 라이센스가 만료되면 라이센스 기간을 추가적으로 4주 연장할 수 있습니다.

프로시저1. 관리 탭에서 체험해 보기 영역의 취약성 관리자 아이콘을 클릭하십시오.

2. 일반 사용자 라이센스 계약에 동의하려면 확인을 클릭하십시오.

연장된 라이센스 기간이 완료되면 6개월 이후에 다시 임시 라이센스를 활성화할 수 있습니다. QRadar Vulnerability Manager에 대한 영구적인 액세스권한을 확보하려면 라이센스를 구매해야 합니다.

QRadar Vulnerability Manager 고가용성 스캔QRadar 고가용성(HA) 배치를 사용하여 1차 QRadar 배치에 실패한 경우 취약성 스캐닝 스케줄을 유지보수합니다.

고가용성(HA) 버전 2는 QRadar Vulnerability Manager에서 지원됩니다.

고가용성(HA) 설정에서 동일한 소프트웨어 구성의 동일한 어플라이언스를 사용해야 합니다. 고가용성(HA) 배치 설정에 대한 정보는 IBM Security QRadar High

Availability Guide의 내용을 참조하십시오.

고가용성(HA) 스캔

다음 어플라이언스는 QRadar Vulnerability Manager 고가용성(HA) 배치에서지원됩니다.

v 콘솔v 스캐너 어플라이언스(610)

v 프로세서 어플라이언스(600)

중요한 참고사항

고가용성(HA) 취약성 스캐닝을 배치할 때 다음 정보를 참고하십시오.

v 장애 조치 중 스캔이 진행 중인 경우 장애 조치 후에 진행 중인 스캔을 취소하고 다시 시작하십시오.

v HA 스캐닝 환경에서 어플라이언스를 대체하는 경우 배치에 나타나지 않을 수도 있습니다. HA 배치에 어플라이언스를 다시 추가하고 변경사항을 배치해야합니다.

v 고가용성(HA) 설정에서 동일한 어플라이언스 및 구성을 사용하십시오.


v 장애 조치 후 자동 업데이트는 재개되지 않습니다. 무중단 활성 설정에서 자동 업데이트를 실행해야 합니다.


제 3 장 QRadar Vulnerability Manager 개요

IBM Security QRadar Vulnerability Manager는 네트워크 상의 애플리케이션,

시스템 및 디바이스 내, 또는 DMZ 내의 취약성을 발견하는 네트워크 스캐닝 플랫폼입니다.

QRadar Vulnerability Manager는 보안 정보를 사용하여 네트워크 취약성을 관리하고 우선순위를 지정하는 데 도움을 줍니다. 예를 들면, QRadar Vulnerability

Manager를 사용하여 지속적으로 취약성을 모니터하고, 자원 구성을 개선하고, 소프트웨어 패치를 식별할 수 있습니다. 또한 취약성 데이터를 네트워크 플로우, 로그 데이터, 방화벽 및 IPS(Intrusion Prevention System) 데이터와 연관시켜 보안 허점의 우선순위를 지정할 수 있습니다.

내장 QRadar Vulnerability Manager 스캐너 및 기타 써드파티 스캐너에 의해발견된 취약성을 실시간으로 계속 감시할 수 있습니다. 써드파티 스캐너는 QRadar

와 통합되어 있으며, 여기에는 IBM BigFix®, Guardium®, AppScan®, Nessus,

nCircle 및 Rapid 7이 포함됩니다.

다르게 명시되지 않는 한 QRadar Vulnerability Manager는 모두 IBM Security

QRadar Vulnerability Manager를 가리킵니다. 언급되는 모든 QRadar는 IBM

Security QRadar SIEM 및 IBM QRadar Log Manager를 가리키며 언급되는모든 SiteProtector™는 IBM Security SiteProtector를 가리킵니다.

취약성 스캐닝IBM Security QRadar Vulnerability Manager에서는 스캔 프로파일을 구성하여 취약성 스캐닝을 제어합니다. 각 스캔 프로파일은 스캔할 자산과 스캔 스케줄을 지정합니다.

취약성 프로세서

QRadar Vulnerability Manager의 라이센스를 획득하면 취약성 프로세서가 자동으로 QRadar 콘솔에 배치됩니다. 이 프로세서에는 QRadar Vulnerability

Manager 스캐닝 구성요소가 포함되어 있습니다.

배치 옵션

취약성 스캐닝은 여러 방식으로 배치할 수 있습니다. 예를 들면, 스캐닝 기능을QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스 또는 QRadar

관리 호스트에 배치할 수 있습니다.


구성 옵션

관리자는 다음 방법으로 스캔을 구성할 수 있습니다.

v 사용자의 네트워크 자산에 용이한 시간에 실행하도록 스캔을 스케줄합니다.

v 스캔 실행을 허용하지 않을 시간을 지정합니다.

v 글로벌 범위 또는 각 스캔에 대해, 각 스캔에서 제외할 자산을 지정합니다.

v Linux, UNIX 또는 Windows 운영 체제에 대해 인증된 패치 스캔을 구성합니다.

v 다른 스캐닝 프로토콜을 구성하거나 스캔할 포트 범위를 지정합니다.

QRadar Vulnerability Manager 취약성 검사 범주IBM Security QRadar Vulnerability Manager에서는 네트워크에서 여러 유형의 취약성을 검사합니다.

취약성은 다음과 같은 넓은 범주로 분류됩니다.

v 위험한 기본 설정v 소프트웨어 기능v 잘못된 구성v 공급업체 결함

위험한 기본 설정

일부 기본 설정을 그대로 두면, 네트워크가 공격에 취약해질 수 있습니다. 다음상황은 네트워크가 취약해질 수 있는 예입니다.

v IIS 설치에 샘플 페이지 또는 스크립트가 남겨져 있음v 3Com 허브/스위치에서 기본 비밀번호가 변경되지 않음v SNMP 사용 디바이스에서 SNMP 커뮤니티 이름을 "public" 또는 "private"

으로 남겨둠v MS-SQL Server에서 sa 로그인 비밀번호를 설정하지 않음

소프트웨어 기능

시스템 또는 애플리케이션에 대한 일부 소프트웨어 설정은 사용성을 지원하고자설계되었지만, 이 설정은 네트워크를 위험하게 만들 수 있습니다. 예를 들어,

Microsoft NetBIOS 프로토콜은 내부 네트워크에 유용하지만, 인터넷 또는 신뢰할 수 없는 네트워크 세그먼트에 노출되면 네트워크를 위험하게 만들 수 있습니다.

다음 예제는 네트워크를 위험에 노출시키는 소프트웨어 기능 또는 명령입니다.


v ICMP 시간소인 또는 넷마스크 요청v 전송 메일 확장 또는 확인 명령v 실행 중인 프로세스의 소유자를 식별하는 Ident 프로토콜 서비스

잘못된 구성

기본 설정에서 잘못된 구성을 식별하는 것 외에도 QRadar Vulnerability Manager

에서는 다음 경우와 같이 다양한 잘못된 구성을 식별할 수 있습니다.

v SMTP 릴레이v 제한되지 않는 NetBIOS 파일 공유v DNS 구역 전송v FTP World writable 디렉토리v 비밀번호가 없는 기본 관리 계정v NFS World exportable 디렉토리

공급업체 결함

공급업체 결함은 버퍼 오버플로우, 문자열 형식 문제, 디렉토리 순회, 사이트 간스크립팅과 같은 이벤트를 포함하는 넓은 범위의 카테고리입니다. 패치 또는 업그레이드 수정사항이 필요한 취약성이 이 카테고리에 포함됩니다.

QRadar Vulnerability Manager에서 수행하는 검사QRadar Vulnerability Manager에서는 패킷 및 원격 프로브 전송, 수동 상관 검사와 관련된 활성 검사의 조합을 사용합니다. QRadar Vulnerability Manager

데이터베이스에서는 약 70,000개의 네트워크, OS, 애플리케이션 계층 취약성을 포괄합니다.

검사 창의 취약성 탭에서 CVE, 날짜 범위, 공급업체 이름, 제품 이름, 제품 버전, 공개 이름으로 전체 스캐닝 라이브러리를 검색할 수 있습니다.

QRadar Vulnerability Manager 테스트

다음 예는 QRadar Vulnerability Manager에서 테스트하는 일부 범주입니다.

v 라우터 검사v 방화벽 검사v 데이터베이스 검사v 웹 서버 검사v 웹 애플리케이션 서버 검사v 공통 웹 스크립트 검사

제 3 장 QRadar Vulnerability Manager 개요 21

v 사용자 정의 웹 애플리케이션 검사v DNS 서버 검사v 메일 서버 검사v 애플리케이션 서버 검사v 무선 액세스 포인트 검사v 공통 서비스 검사v 사용되지 않는 소프트웨어 및 시스템

다음 표는 QRadar Vulnerability Manager에서 수행하는 몇 가지 검사를 설명합니다.

표 4. QRadar Vulnerability Manager 검사 유형검사 유형 설명포트 스캔 각 활성 호스트에서 열려 있는 포트 및 서비스와 활성 호스트 스캔

호스트가 스캐너와 동일한 서브넷에 있는 경우 MAC 리턴

OS 정보 리턴


표 4. QRadar Vulnerability Manager 검사 유형 (계속)

검사 유형 설명웹 애플리케이션 스캐닝 다음 검사를 사용하여 웹 서버에서 각 웹 애플리케이션 및 웹 페이

지를 검사합니다.

파일 업로드

HTTP 디렉토리 찾아보기

CWE-22 - 제한된 디렉토리에 대한 경로 이름의 부적절한 제한사항(경로 순회)

원하는 파일/로그에 표시됨

브라우저에서 자동 완성 비밀번호

기본 파일에서 잘못된 구성

정보 공개

암호화되지 않은 로그인 양식

색인화 가능한 디렉토리: 서버 디렉토리를 찾아볼 수 있는지 검사

HTTP PUT 허용됨: 서버 디렉토리에서 PUT 옵션이 사용 가능한지 검사

사용하지 않는 파일 존재

CGI 스캐닝: 공통 웹 페이지 검사

삽입(XSS/스크립트/HTML)

원격 파일 검색(서버 측)

원격 쉘에서 명령 실행

SQL 삽입(인증 무시, 소프트웨어 식별, 원격 소스 포함)

지정된 옵션을 제외한 역튜닝 옵션참고: 인증된 웹 앱 스캐닝은 지원되지 않습니다. 예를 들어, 인증시 사이트에 액세스해야 하는 경우 웹 앱 테스트를 실행할 수 없습니다.

라우터 펌웨어에서 알려진 취약성 및 구성 문제.

약한 강도의 기본 비밀번호

기본 커뮤니티 문자열

서비스 거부

민감한 계정 정보 검색



검사 유형 설명방화벽 서비스 거부

방화벽 무시 기술

TCP 필터링 무시

보호 자산의 IP 주소 공개

트로이 목마 삽입

민감한 데이터 액세스(방화벽 룰, 사용자 이름, 비밀번호)

사이트 간 스크립팅

사용자 이름 및 비밀번호 취약점OS 사용자 이름 및 비밀번호 공개

파일 시스템에 대한 액세스

기본 사용자 이름 및 비밀번호

권한 상승

서비스 거부

원격 명령 실행

사이트 간 스크립팅(Microsoft)

데이터베이스 데이터베이스에 대한 공개 액세스 및 악용

기본 비밀번호

취약한 사용자 이름 비밀번호

서비스 거부

관리 권한웹 서버 웹 서버에서 알려진 취약성, 악용, 구성 문제.

서비스 거부

기본 관리 비밀번호

파일 시스템 보기 기능

사이트 간 스크립팅공통 웹 스크립트 CGI와 같은 일반적으로 사용되는 웹 스크립트

전자 상거래 관련 스크립트

ASP

PHP



검사 유형 설명DNS 서버 강도가 약한 비밀번호 암호화

서비스 거부

계정 이름 판별

이메일 전송

임의 이메일 및 민감한 계정 정보 읽기

관리 액세스 가져오기무선 액세스 포인트 기본 관리 계정 비밀번호

기본 SNMP 커뮤니티 이름

평문 비밀번호 저장

서비스 거부공통 서비스 DNS(Domain Name System)

FTP(File Transfer Protocol)

SMTP(Simple Mail Transfer Protocol)

애플리케이션 서버 인증 무시

서비스 거부

정보 공개

기본 사용자 이름 및 비밀번호

강도가 약한 파일 권한

사이트 간 스크립팅Oval IE, Chrome, Skype 등에서 클라이언트 측 취약성비밀번호 테스트 기본 비밀번호 테스트Windows 패치 스캐닝 레지스트리 키 항목, Windows 서비스, 설치된 Windows 애플리케

이션, 패치된 Microsoft 버그를 수집합니다.

Unix 패치 스캐닝 설치된 RPM 세부사항 수집

웹 애플리케이션 스캐닝

QRadar Vulnerability Manager에서는 코어 웹 애플리케이션 스캐닝에 대해 인증되지 않은 스캐닝을 사용합니다. 다음 목록에서는 QRadar Vulnerability

Manager 웹 취약성 검사를 설명합니다.

v SQL 삽입 취약성

SQL 삽입 취약성은 잘못 작성된 프로그램이 입력 유효성을 검증하지 않고 데이터베이스 조회에서 사용자가 제공한 데이터를 채택하는 경우 발생합니다. 동적 컨텐츠를 포함하는 웹 페이지에서 이러한 상황이 발생합니다. QRadar


Vulnerability Manager에서는 SQL 삽입 취약성을 테스트하여 이러한 점을 악용하지 않기 위해 필수 권한 부여를 제공하도록 보장합니다.

v 사이트 간 스크립팅(XSS) 취약성

사이트 간 스크립팅 취약성이 있으면 악의적인 사용자가 다른 사용자가 보는웹 페이지에 코드를 삽입할 수 있습니다. HTML 및 클라이언트 측 스크립트는 웹 페이지에 삽입할 수 있는 코드의 예입니다. 악용된 사이트 간 스크립팅취약성은 공격자가 동일한 생성자 정책과 같은 액세스 제어를 무시하는 데 사용할 수 있습니다. QRadar Vulnerability Manager에서는 웹 애플리케이션에서 이러한 위협을 방지하기 위해 다양한 지속적 및 비지속적 사이트 간 스크립팅 취약성을 테스트합니다.

v 웹 애플리케이션 인프라

QRadar Vulnerability Manager에는 기본 구성, CGI 스크립트, 설치 및 지원되는 애플리케이션, 기본 운영 체제 및 디바이스를 검사하는 수천 개의 검사가 포함됩니다.

v 웹 페이지 오류

자세한 웹 애플리케이션 스캐닝을 위해 QRadar Vulnerability Manager는 IBM

Security AppScan과 통합하여 웹 애플리케이션에 취약성에 대한 더 우수한 가시성을 제공합니다.

네트워크 디바이스 스캐닝

QRadar Vulnerability Manager에는 네트워크 디바이스의 스캐닝을 지원하는 다음 플러그인이 포함됩니다.

v SNMP

QRadar Vulnerability Manager에서는 다양한 SNMP 사용 디바이스의 알려진 커뮤니티 기본값 사전을 사용합니다. 사전은 사용자 정의할 수 있습니다.

v OVAL 스캐닝

QRadar Vulnerability Manager에서는 OVAL을 사용하여 알려진 취약성을감지 및 보고합니다. QRadar Vulnerability Manager OVAL 스캐닝 플러그인은 현재 Cisco 디바이스에서만 작동합니다.

데이터베이스 스캐닝

QRadar Vulnerability Manager에서는 대상 호스트의 인증된 스캐닝을 사용하여 주요 데이터베이스에서 취약성을 감지합니다. 또한 QRadar Vulnerability

Manager에서는 플러그인을 사용하여 여러 데이터베이스를 대상으로 지정합니다.


운영 체제 검사표 5. 운영 체제 검사운영 체제 취약성 스캐닝 패치 스캐닝 구성Windows 예 예 예AIX® Unix 예 예 아니오CentOS Linux 예 예 아니오Debian Linux 예 예 아니오Fedora Linux 예 예 아니오RedHat Linux 예 예 아니오Sun Solaris 예 예 아니오HP-UX 예 예 아니오Suse Linux 예 예 아니오Ubuntu Linux 예 예 아니오CISCO 예 예 아니오AS/400®/iSeries 아니오 아니오 아니오

OVAL 및 운영 체제

OVAL 정의는 다음 운영 체제에서 지원되지 않습니다.

v Microsoft Windows 10

v Microsoft Windows 8.1



v Microsoft Windows Vista

v Microsoft Windows Server 2012 R2

v Microsoft Windows Server 2012

v Microsoft Windows Server 2008 R2



v CentOS 버전 3 - 7

v IBM AIX 버전 4-7

v RHEL 버전 3 - 7

v SUSE 버전 10 - 11

v Ubuntu 버전 6-14

v Red Hat 9

v Solaris 버전 2.6, 7 - 10


취약성 관리 대시보드QRadar 대시보드에 취약성 정보를 표시할 수 있습니다.

IBM Security QRadar Vulnerability Manager는 조직에 대한 위험을 빠르게 검토할 수 있도록 기본 취약성 대시보드와 함께 배포됩니다.

새 대시보드를 작성하고, 기존 대시보드를 관리하고, 각 취약성 대시보드 항목의표시 설정을 수정할 수 있습니다.

대시보드에 대한 자세한 정보는 제품의 사용자 안내서를 참조하십시오.

기본 취약성 관리 대시보드에서 취약성 데이터 검토QRadar 대시보드에 기본 취약성 관리 정보를 표시할 수 있습니다.

기본 취약성 관리 대시보드에는 위험, 취약성 및 스캐닝 정보가 포함되어 있습니다.

저장된 검색과 같은 다양한 요소를 포함하도록 자신만의 대시보드를 구성할 수있습니다.

프로시저1. 대시보드 탭을 클릭하십시오.

2. 도구 모음의 대시보드 표시 목록에서 취약성 관리를 선택하십시오.

사용자 정의된 취약성 관리 대시보드 작성QRadar에서는 사용자의 요구사항으로 사용자 정의된 취약성 관리 대시보드를 작성할 수 있습니다.


2. 도구 모음에서 대시보드 작성을 클릭하십시오.

3. 취약성 대시보드의 이름 및 설명을 입력하십시오.


5. 옵션: 도구 모음에서 항목 추가 > 취약성 관리를 선택하고 다음 옵션 중 하나를 선택하십시오.

v 대시보드에 기본 저장된 검색을 표시하려는 경우에는 취약성 검색을 선택하십시오.

v 보안 및 취약성 정보에 대한 웹사이트 링크를 표시하려는 경우에는 보안뉴스, 보안 권고 또는 최신 게시된 취약성을 선택하십시오.


v 완료되거나 실행 중인 스캔에 대한 정보를 표시하려는 경우에는 완료된 스캔 또는 진행 중인 스캔을 선택하십시오.

패치 준수에 대한 대시보드 작성네트워크에서 발견되는 취약성을 개선하는 데 사용할 가장 효과적인 패치를 표시하는 대시보드를 작성합니다.


2. 도구 모음에서 대시보드 작성을 클릭하십시오.

3. 취약성 대시보드의 이름 및 설명을 입력하십시오.


5. 도구 모음에서 항목 추가 > 취약성 관리 > 취약성 검색을 선택하고 대시보드에 표시할 기본 저장된 검색을 선택하십시오.

6. 새 대시보드 항목의 헤더에서 노란색 설정 아이콘을 클릭하십시오.

7. 그룹별 목록에서 패치를 선택한 후 그래프별 목록에서 다음 옵션 중 하나를선택하십시오.

v 패치를 적용해야 할 자산 수를 보려면 자산 수를 선택하십시오.

v 패치별로 누적 위험 점수를 보려면 위험 점수를 선택하십시오.

v 패치로 커버되는 취약성 수를 보려면 취약성 수를 선택하십시오.


9. 취약성 탭의 취약성 관리 > 취약성별 분할창에서 취약성 세부사항을 보려면,

대시보드 항목의 맨 아래에 있는 취약성별 보기 링크를 클릭하십시오.



제 4 장 취약성 스캐닝 전략 및 우수 사례네트워크에서 안정적이고 효율적인 IBM Security QRadar Vulnerability Manager

스캐닝 시스템의 설정을 위해서는 적절한 계획을 세우는 것이 중요합니다.

네트워크 구조를 분석하고, 하드웨어 및 스캐닝 성능 관점 둘 다에서 사용자 네트워크에 최상인 스캐닝 구성을 판별하십시오.

QRadar Vulnerability Manager 스캐닝 배치를 설정하기 위한 우수 사례가 포함된 다음 정보를 고려하십시오.

v 스캔 정책 유형

스캐닝 요구사항을 충족하는 스캔 정책 유형을 선택하고 스캔을 완료하는 데필요한 시간 및 자원을 고려하십시오.

v 스캔 지속 기간 및 스캔할 포트

모든 TCP 및 UDP 포트를 스캔해야 하는지 여부를 결정하십시오. UDP 포트는 TCP 포트보다 스캔하는 데 더 오래 걸립니다.

v 자산 감지를 튜닝합니다.

자산 감지를 튜닝하여 자산 감지 시간 및 효과를 관리합니다.

v 자산 감지 성능을 튜닝합니다.

네트워크에서 자산을 감지하는 속도와 정확성을 조정하고 최적화합니다.

v 네트워크에 스캐너 배치

스캔 중인 자산과 가깝게 스캐너를 배치하도록 하고 스캔 시에 네트워크 대기시간의 영향도 알고 있어야 합니다.

v 웹 애플리케이션 스캐닝

이 스캔에는 오랜 시간이 걸리며 자원 집약적일 수 있습니다. 이 스캔을 전체스캔의 일부로 실행하지 않아도 되는 경우, 이 스캔을 배제할 수 있습니다.

v 동적 스캐닝

동적 스캐닝을 구현하여 시간을 절약할 수 있습니다.

v 네트워크 대역폭 설정

동시에 스캔할 수 있는 자산의 수 및 네트워크 대역폭에 따라 네트워크 대역폭 설정을 조정하십시오.

v 스캐너의 네트워크 인터페이스 카드


네트워크 스캐닝을 세그먼트로 나누려면 네트워크 인터페이스 카드를 사용하십시오.

v 자산 소유자를 위한 취약성 관리

자산에 소유자를 지정하십시오.

v 스탠 시간에 자산 소유자에게 알림

자산 소유자가 스캔 시간을 알도록 합니다.

v 새 자산의 스캔 트리거

자산 데이터베이스에 추가될 경우 새 자산의 스캔을 트리거합니다.

v 자산에 대한 환경 위험 구성

CVSS 환경 점수를 사용하여 선택한 자산에서 위험 점수를 조작하고 우선순위를 지정합니다.

v 외부 스캐닝 FAQ

외부 스캔 설정에 대해 알아야 할 사항입니다.

스캔 정책 유형IBM Security QRadar Vulnerability Manager는 여러 개의 기본 스캔 정책 유형을 제공합니다. 또한 사용자는 스캔 템플리트를 통해 고유한 스캔을 정의할 수있습니다.

가장 일반적으로 사용되는 스캔 템플리트는 다음과 같습니다.

감지 스캔 정책네트워크 자산을 감지한 후 운영 체제, 디바이스 유형 및 서비스 등의 주요 자산 특성을 식별하기 위해 포트를 스캔합니다. 취약성은 스캔되지 않습니다.

주소 공간에서 활성 IP 주소를 검색한 후 해당 포트를 스캔하는 신임 정보를 사용하지 않는 경량 스캔입니다. 이는 운영 체제, 공개 서비스 및 네트워크 이름을 감지하기 위해 DNS 및 NetBIOS 검색을 실행합니다.

가능하면 매주 이 신임 정보를 사용하지 않는 스캔을 실행하여 적절한 네트워크 가시성을 제공하십시오. 이 스캔은 이전에 스캔된 자산에 대한 변경사항 및 새 자산을 식별하는 데 가장 도움이 됩니다.

참고: 자산 탭에서 지난 14일간 표시되었지만 스캔되지 않은 자산 저장 검색을 사용하여 QRadar가 지난 14일간 수동으로 감지한 새 자산을 식별하십시오.


전체 스캔 정책빠른 스캔 포트 범위를 사용하여 네트워크 자산을 감지합니다. FTP, 웹,

SSH 및 데이터베이스 등의 감지된 서비스에 대해 인증되지 않은 스캔 및사용자가 구성 가능한 포트 스캔을 실행합니다. 인증된 스캔은 신임 정보가 제공될 때 실행됩니다.

전체 QRadar Vulnerability Manager 테스트 제품군을 실행합니다.

전체 전체 스캔은 다음의 단계로 구성되어 있습니다.

1. 감지 스캔.

2. 신임 정보를 사용하지 않는 스캔.

배너 읽기 및 버전 정보에 대한 응답, SSL 인증서 만료, 기본 계정테스트, 취약성에 대한 응답 테스트 등 신임 정보가 필요하지 않은 서비스를 검사합니다.

3. 신임 정보를 사용하는 스캔.

QRadar Vulnerability Manager는 자산에 로그온하여 설치된 애플리케이션 자원 명세 및 필요한 구성에 대한 정보를 수집한 후 취약성을 격상 또는 격하합니다. 신임 정보를 사용한 스캔은 신임 정보를 사용하지 않는 스캔보다 바람직합니다. 신임 정보를 사용하지 않는 스캔은 네트워크의 취약성 태세에 대한 유용한 개요를 제공합니다. 그러나 신임 정보를 사용한 스캐닝은 종합적이고 효과적인 취약성 관리프로그램에 필수입니다.

기본 제공 정책을 편집할 수는 없지만 이를 복사하여 사용자 고유의사용자 정의 스캔 정책을 작성할 수는 있습니다.

팁: QRadar Vulnerability Manager가 계정에 대한 다수의 기본 신임 정보를 테스트하는 경우, 때로는 전체 스캔에서 SQL 서버 등의 일부 관리 계정을 잠글 수도 있습니다. 다음 단계를 수행하여 이러한 로그온 테스트 기능을 끄십시오.

a. 취약성 탭을 클릭하십시오.

b. 스캔 정책 창에서 스캔 정책을 클릭하십시오.

c. 전체 스캔 정책을 클릭한 후 편집을 클릭하십시오.

d. 도구 탭을 클릭하십시오.

기본적으로 포함됨 목록이 표시됩니다.

e. 필터 메뉴에서 기본 로그온(Dos 위험)을 선택하십시오.

f. 목록에서 항목의 옆에 있는 선택 표시를 제거하려면 모두 제외를클릭하십시오.

g. 저장을 클릭하십시오.

제 4 장 취약성 스캐닝 설정 및 우수 사례 33

h. 기본 로그온(Dos 위험) 도구가 제외됨 목록에 있는지 확인하십시오.

사용자 네트워크에서 취약성에 대한 상세하고 정확한 평가를 위해 2-3

개월마다 전체 스캔을 실행하십시오. 전체 스캔은 자원 집약적이므로스케줄링 및 자원 할당이 최적의 성능을 위해 중요합니다.

패치 스캔 정책네트워크를 조사하여 자산을 감지한 후 자산에 대한 신임 정보를 사용한스캔 및 빠른 포트 스캔을 실행합니다.

네트워크에 어떠한 패치 및 제품이 설치되어 있거나 누락되어 있는지 판별하려면 패치 스캔을 사용하십시오.

패치 스캔은 다음과 같은 두 개의 주요 단계로 구성되어 있습니다.

1. 감지 스캔2. 신임 정보를 사용한 스캔

네트워크에 어떤 패치 및 제품이 설치되거나 누락되어 있는지 판별하기 위해 1-4주마다 이 신임 정보를 사용한 스캔을 실행하십시오. 패치 스캔은네트워크에 최소 로드만 배치하고 활성 테스트는 낮은 레벨로 유지됩니다.

PCI 스캔 정책

모든 TCP 및 UDP 포트 0-65535를 스캔합니다.

PCI 준수를 위해 모든 UDP 포트를 스캔할 필요는 없습니다. 일반적으로PCI 준수에 대한 가장 일반적인 UDP 포트를 스캔할 수 있지만 포트 목록은 PCI 보안 표준에 따라 시간이 지나면서 약간 변경될 수 있습니다.

모든 UDP 포트를 스캔할 경우, 스캔 시간이 오래 걸릴 수 있고 더 큰 네트워크 세그먼트에서는 제한시간 내에 완료되지 않을 수도 있으며, 이에따라 일부 Scan Interference Detected - Scan Potentially Incomplete

이라는 취약성 인스턴스가 발생할 수 있습니다.

이 정책을 복사하고 정책의 이름을 바꾸고 사용자 요구사항에 따라 UDP

스캔 포트를 수정하여 사용자 고유의 사용자 정의 PCI 스캔 정책을 작성할 수 있습니다.

데이터베이스 스캔 정책인기 있는 데이터베이스 서비스에 대해 데이터베이스 포트 523, 1433,

1521, 3306을 스캔합니다.

신임 정보를 사용하지 않은 데이터베이스 스캔을 사용하여 인기 있는 데이터베이스 서비스에 대해 포트 DB2(523), Microsoft SQL(1433),

MySQL(3306), Oracle(1521) 및 Informix(1526 )를 스캔하십시오.

높은 데이터베이스 활동이 있는 경우 이 스캔을 정기적으로 실행하십시오.

관련 개념:


69 페이지의 『스캔 정책』스캔 정책은 특정한 스캐닝 요구사항을 구성할 수 있는 중심적인 위치를 제공합니다.

스캔 지속 기간 및 포트 스캐닝네트워크 스캐닝 구성을 관리하는 방법은 네트워크에 있는 자산의 수, 네트워크인프라 및 스캔 완료 시간에 의해 영향을 받습니다.

대규모 네트워크를 스캔하는 데는 시간이 오래 걸릴 수 있으므로 스캐닝 자원을최적화하는 스캐닝 전략이 필요합니다.

포트 스캐닝 전략

스캐닝 전략은 스캔하려는 호스트의 수, 256개 호스트의 클래스 C 네트워크인지65,536개 호스트의 클래스 B 네트워크인지에 의해 영향을 받습니다. 스캔하려는호스트의 수를 늘릴 경우 전체 스캔 시간에 상당한 영향을 줄 수 있습니다. 전체스캔 시간이 허용 가능한 범위가 되도록 하려는 경우 호스트별로 스캔 시간을 줄일 수 있습니다.

예를 들어, 클래스 B 네트워크에서 네트워크 감지 스캔을 수행하고 TCP 포트 감지에 1초가 걸릴 경우 다음 문장은 true입니다.

v 호스트당 1초로 65536개 호스트에서 하나의 포트를 스캐닝하는 데는 18시간이 걸립니다.

v 65536개 호스트 각각에서 하나의 추가 포트를 스캔하고 호스트당 1초를 허용할 경우, 해당 추가 포트를 스캔하는 데는 추가로 18시간이 걸립니다.

예제에서 대규모 네트워크에 하나의 추가 스캐닝 포트를 추가할 경우의 영향을확인할 수 있습니다. 대량의 호스트를 스캐닝하는 경우, 감지 스캔 단계에서 적절하게 스캔 정책을 구성할 수 있도록 어떤 서비스가 중요하며 높은 위험의 취약성에 노출되어 있는지를 이해해야 합니다. 스캔 정책을 구현하기 전에 여러 가지 스캔 정책을 사용하여 테스트 스캔을 실행하고 이러한 스캔을 완료하는 데 필요한 시간 및 자원을 예상하십시오.

팁: 기본 QRadar 감지 스캔 정책은 TCP 및 UDP 포트의 Nmap 빠른 스캔을실행하며, 사용자는 이를 사용하여 더 적은 수의 호스트를 스캔할 수 있습니다.

UDP 포트 스캐닝은 TCP 포트 스캐닝보다 더 오래 걸립니다. 무연결 프로토콜이기 때문입니다. 모든 UDP 포트를 스캐닝하는 데는 오랜 시간이 걸릴 수 있으며 자원 집약적일 수 있습니다. 모든 UDP 포트를 스캔해야 하는지 또는 TCP 포트보다 이러한 포트를 덜 자주 스캔할지 여부를 고려하십시오.


다음 포트는 정기적인 스캐닝을 고려해야 하는 가장 높은 우선순위 UDP 포트 중일부입니다.

v RADIUS 및 Kerberos 같은 인증 서비스v 백도어 및 원격 액세스 애플리케이션v 백업 애플리케이션v 데이터베이스 서버v DNS(Domain Name System)

v NetBIOS 및 CIFS(Common Internet File System)

v NFS(Network File System)

v NTP(Network Time Protocol)

v 피어 투 피어(P2P) 및 대화 애플리케이션v RIP(Routing Information Protocol)를 포함한 라우팅 프로토콜v 원격 프로시저 호출(RPC) 및 RPC 엔드포인트 맵핑v SNMP(Simple Network Management Protocol) 및 SNMP 트랩v Syslog

v TFTP(Trivial File Transfer Protocol)

v ISAKMP(Internet Security Association and Key Management Protocol),

L2TP(Layer Two Tunneling Protocol) 및 NAT-T(NAT Traversal)를 포함한 VPN

v 악의적 활동과 연관된 것으로 알려진 포트

일반적인 스캔 시간

다음 표에서는 스캐닝 시간에 대한 정보를 제공합니다.

표 6. QRadar 어플라이언스의 스캐닝 시간QRadar 어플라이언스 스캔 시간QRadar 2100/3100 All-in-One 2000-4000개 자산의 기본 전체 스캔에는 203일

이 걸립니다.

다음 관리 호스트의 QRadar VulnerabilityManager:

610

1200

1300

1400

1500

2000-4000개 자산의 기본 전체 스캔에는 203일이 걸립니다.

50,000개가 넘는 자산이 정기적으로 스캔되거나QRadar Console에서 긴 기간 동안 실행 중인경우 관리 호스트(600)의 오프보드 QRadarVulnerability Manager 프로세서가 필요합니다.


자산 감지 구성 튜닝자산 감지를 튜닝하여 자산 감지 시간 및 효과를 관리합니다.

스캔 정책의 자산 감지 탭에서 자산 감지를 튜닝하십시오. 자산 감지를 위한 빠르고 효과적인 방법으로 기본 구성을 사용할 수 있습니다. ICMP ping 및 TCP

SYN 패킷은 기본적으로 사용 가능합니다.

자산 감지를 튜닝하려면 다음 옵션을 사용하십시오.

v ICMP ping을 보냅니다.

Ping이 이 스캔 정책을 사용하는 스캔 프로파일에 구성된 IP 주소로 보내집니다.

v TCP SYN 패킷을 포트에 보냅니다.

이 옵션은 사전 구성된 포트에 대해 사용되는 안전하고 빠른 옵션입니다.

v UDP 패킷을 포트에 보냅니다.

UDP 패킷을 사전 구성된 포트로 전송하려면 이 옵션을 선택하십시오. UDP는TCP보다 느립니다. UDP 패킷을 비활성 IP 주소로 보낼 경우, 재시도로 인해완료 때까지 몇 초 정도가 걸릴 수 있습니다.

v 경로 추적(traceroute) 발견을 사용으로 설정합니다.

경로 추적 발견을 위해서는 추가 자원이 필요하며 스캔 시간이 늘어납니다.

v ICMP 발견을 사용으로 설정합니다.

ICMP 발견을 위해서는 추가 자원이 필요하며 스캔 시간이 늘어납니다.

v OS 및 서비스 정보 확인(fingerprinting)

OS 및 서비스 정보에 대해 포트를 조사합니다. 이 옵션을 선택할 경우 스캔시간이 늘어납니다.

사용자 정의 감지 옵션을 구성할 수 있습니다. 선택하는 옵션은 사용자 요구사항과 네트워크 구조에 따라 다릅니다. 사용자 요구에 맞는 최적의 감지 구성을 감지하려면 다양한 옵션을 테스트하십시오.

자산 감지 성능 튜닝자산에서 감지된 서비스의 속도 및 정확성을 조정하고 최적화합니다.

스캔 정책의 감지 성능 탭에서 감지 성능을 튜닝하십시오. 자산 감지를 위한 빠르고 효과적인 방법으로 기본 구성을 사용할 수 있습니다.

자산 감지 성능을 튜닝하려면 다음 옵션을 사용하십시오.


v 최대 재시도

스캔 시간은 최대 재시도 수를 늘리는 경우 늘어나지만, 이 수를 너무 늦게 설정하면 스캔 정확도가 떨어질 수 있습니다.

v 최소 제한시간 간격

스캔 제한시간 간격은 네트워크를 신뢰할 수 있는 경우 구성된 최소 레벨로감소합니다.

v 초기 제한시간 간격

이전 프로브에 대한 응답으로 Nmap은 제한시간 값을 조정합니다. 대기 시간이 늘어나면 제한시간 값이 증가합니다. 초기 제한시간 및 최대 제한시간 간격 모두를 너무 낮게 줄이면 스캔 시간이 너무 빠를 수 있지만 재전송해야 할수도 있습니다.

v 스캔 지연

이 설정을 사용하여 스캔 프로브 사이에서 지연을 조정합니다. 디바이스가 속도 제한 기능을 사용하는 경우 스캔 지연과 속도 제한 값을 동기화하여 최적의 스캔 시간을 얻을 수 있습니다.

v 초당 최소 패킷 수

Nmap은 초당 최소 패킷 수 비율과 초당 최대 패킷 수 비율 사이에서 네트워크가 허용하는 가장 높은 속도로 패킷을 전송합니다.

v 초당 최대 패킷 수

기본적으로 이 필드는 비어 있습니다. Nmap이 네트워크에 적절한 패킷 속도를 동적으로 설정하기 때문입니다. 원하는 경우 고유한 속도를 구성할 수 있습니다.

웹 애플리케이션 스캐닝복잡한 웹 애플리케이션을 가진 경우 웹 스캔이 느려질 수 있습니다. Microsoft

HTTP RPC 포트를 포함하여 HTTP 또는 HTTPS 서비스를 실행하는 모든 포트가 스캔됩니다.

전체 스캔 또는 웹 스캔의 일부에는 웹 크롤링 또는 스파이더링과 유사한 자원집약 기술을 사용하는 단계가 포함됩니다. 스캐너가 다중 링크를 가진 다중 웹 페이지를 크롤링해야 하는 경우 스캔이 느려질 수 있고 자원이 요구될 수 있습니다. 웹 스캔은 HTTP 서버 버전이 취약성을 가졌는지 여부 판별, 만료된 SSL 인증서 또는 약한 SSL 암호 등의 웹 취약성을 검색합니다. 웹 스캔은 또한 SQL 인젝션, XSS(Cross-Site Scripting), 보안 구성 오류 등의 OWASP(Open Web

Application Security Project) 취약성을 검색합니다.


웹 애플리케이션을 스캔할 필요가 없는 경우, 사용자 정의 전체 스캔 정책을 작성하고 스캔 정책의 도구 탭에서 http – CGI 스캐너 스캔 도구를 제외시키십시오.

네트워크에 스캐너 배치라이센스에 영향을 주지 않고 갯수 제한 없이 스캐너를 네트워크에 배치할 수 있습니다. 스캔 조작은 스캐너가 스캔되고 방화벽에 의해 방해되지 않은 자산 또는스캔 데이터의 플로우에 영향을 주는 기타 장치에 잘 연결되어 있을 때 더 효율적입니다.

스캐너를 네트워크에 배치하기 전에 다음 요소를 고려하십시오.

v 다음 이유로 방화벽을 통한 자산 스캐닝을 피하십시오.

– 방화벽은 스캔을 느리게 하고 스캔 완료를 위해 필요한 일부 포트를 차단합니다.

– 방화벽을 통해 자산을 스캔하는 경우, 이벤트가 IBM Security QRadar에서 작성되고 EPS 수(초당 이벤트 수)가 늘어나며, 이는 EPS 라이센스에 영향을 줄 수 있습니다.

– Stateful 방화벽으로 인해 QRadar가 자산을 잘못 작성하게 될 수 있습니다. Stateful 방화벽은 잘못된 순서의 TCP 패킷에 응답하며 이는 호스트가 존재한다고 스캐너가 판단하도록 만들 수 있습니다.

v 저대역폭 WAN 연결을 통해 스캔하지 마십시오.

v 스캐너에서 자산으로의 ping 시간이 40ms를 넘으면 스캐너를 자산에 더 가까이 배치하십시오.

v 네트워크 트래픽이 다른 서버로 로드 밸런싱될 때 스캐너가 스캔을 관리하기가 더 어렵기 때문에 로드 밸런서를 통해 스캔하지 마십시오.

v 사용되지 않는다고 알고 있는 IP 주소 범위를 스캔하도록 스캐너를 구성하지않도록 하십시오. 스캔의 감지 단계 동안 IP 주소가 활성인지 여부를 판별하는 것보다 스캐너가 IP 주소가 사용되고 있지 않음을 판별하는 데 더 오래 걸립니다.

v 동일한 스캐너에서 여러 동시 스캔을 실행하기보다 더 많은 스캐너를 배치하십시오. 더 많은 수의 동시 스캔을 동일한 스캐너에 추가하면 자원이 확장되고 각 스캔이 훨씬 오래 걸립니다.


동적 스캐닝IBM Security QRadar Vulnerability Manager의 동적 스캐닝을 사용하여 개별스캐너를 IP 주소, CIDR 범위, IP 주소 범위 또는 스캔 프로파일에서 지정하는도메인과 연관시키십시오. 동적 스캐닝은 다수의 스캐너를 배치할 때 가장 유용합니다. 예를 들어 6개 이상의 스캐너를 배치할 경우, 동적 스캐닝을 사용하여 시간을 절약할 수 있습니다.

동적 스캐닝 구현의 이점은 사용 가능한 스캐너 수와 네트워크 인프라에 따라 달라집니다. 예를 들어 10개의 QRadar Vulnerability Manager 스캐너를 가지고있고 동적 스캐닝을 사용하지 않는 경우에는 10개의 개별적인 스캔 작업을 구성해야 합니다. QRadar Vulnerability Manager는 스캔되는 각 IP 주소에 대해 적절한 스캐너를 선택합니다.

동적 스캐닝이 스캔 프로파일에서 사용되고 2개의 스캐너를 하나의 자산과 연관시킬 경우, 가장 작은 일치 서브넷의 자산이 포함된 스캐너가 자산을 먼저 스캔하도록 우선순위 지정됩니다.

예를 들어 자산 IP 주소가 10.2.2.3이고 스캐너 A가 10.2.2.0/24 CIDR 주소 범위에 지정되고 스캐너 B는 10.2.2.3/32 CIDR 주소에 지정됩니다. 서브넷(/32)이자산에 대해 정확히 일치하므로 스캐너 B가 스캐너 A 전에 자산을 스캔하도록우선순위 지정됩니다.

동적 스캐닝을 사용으로 설정하기 전에 테스트 스캔을 실행한 후 네트워크 자원,

스캔 성능 및 스캔 시간에 대한 영향을 평가하십시오.

관련 태스크:

49 페이지의 『스캔 프로파일 작성』IBM Security QRadar Vulnerability Manager에서는 취약성 스캔 방법 및 시점을 지정하기 위해 스캔 프로파일을 구성합니다.

동시 자산 스캔에 대한 네트워크 대역폭네트워크 대역폭 설정을 조정하여 자산을 스캔하기 위해 동시에 사용될 수 있는취약성 도구의 수와 동시에 스캔될 수 있는 자산의 수를 변경합니다. 일부 스캔은 스캔을 위해 더 많은 취약성 도구를 사용하며, 이는 동시에 스캔할 수 있는자산 수에 영향을 줍니다.

네트워크 대역폭 설정의 범위는 200Kbps의 낮은 설정부터 5000Kbps의 전체 설정까지입니다. 스캔 프로파일의 세부사항 탭에서 대역폭 설정을 구성하십시오. 기본 네트워크 대역폭 설정은 중간이며, 이는 1000Kbps입니다.

다음 시나리오에 따라 대역폭을 조정하십시오.


v 네트워크 대역폭을 5000Kbps(전체)로 조정하여 최대 50개의 자산까지 동시에패치 스캔하거나 1000Kbps(중간)로 유지하여 최대 10개의 자산까지 동시에 패치 스캔하십시오.

v 네트워크가 적절한 대역폭을 가진 경우 5000Kbps(전체) 설정을 사용하십시오.

v 느린 WAN 연결에 5000Kbps 설정을 사용하지 마십시오.

v 방화벽을 통해 스캔하고 그것이 로그 소스인 경우, 스캔 트래픽이 이벤트를 작성하며 초당 이벤트 수(EPS) 라이센스 임계값을 초과하지 않도록 하기 위해네트워크 대역폭을 낮춰야 할 수 있습니다.

관련 태스크:


스캐너의 네트워크 인터페이스 카드IBM Security QRadar Vulnerability Manager에서 스캐닝은 스캐너 어플라이언스에 대해 구성된 네트워크 인터페이스 카드(NIC)와 독립적으로 실행됩니다.

다수의 NIC를 구성할 수 있지만, 일반적인 경우에는 4개에서 5개를 구성합니다.

QRadar Vulnerability Manager는 IP 주소를 갖는 디바이스를 스캔하기 위하여표준 TCP/IP 프로토콜을 사용합니다. 다수의 NIC가 정의되어 있는 경우, 스캐닝은 어플라이언스의 표준 네트워킹 구성을 따릅니다.

스캐닝 중인 대상 자산이 서로 다른 네트워크에 있는 경우, 개별 NIC가 서로 다른 네트워크에 연결되도록 구성하십시오.

NIC를 사용하여 네트워크를 세그먼트로 나누는 이러한 방식을 통해 스캐너가 서로 다른 네트워크에 직접 연결되도록 할 수 있습니다. 예를 들어 하나의 이더넷인터페이스는 10.100.85.0/24 네트워크에 연결되도록 구성하고 두 번째 이더넷 인터페이스는 192.168.0.0/24 네트워크에 연결되도록 구성할 수 있습니다.

자산 소유자를 위한 취약성 관리감지된 취약성이 자산 소유자에게 지정되도록 자산에 소유자를 지정하십시오. 지정된 취약성은 취약성의 위험 레벨을 기반으로 계산되는 만기일과 함께 지정됩니다.

다음 정보를 강조표시하여 자산 소유자에게 전송하려는 개선 보고서를 구성하십시오.

v 설치해야 하는 패치.

v 취약성을 개선하는 데 필요한 단계.


v 기한이 지난 취약성을 갖는 자산.

v 마지막 스캔 이후 감지된 새 취약성.

표준 개선 보고서는 스캔 프로파일 구성 페이지의 이메일 탭에서 사용할 수 있습니다. QRadar Vulnerability Manager 검색을 사용하면 추가적인 고객 보고서를 작성할 수 있습니다.

보고서 탭에서 취약성 보고서를 작성하고 이 보고서를 스캔 보고서 그룹에 지정할 수 있습니다. 스캔 프로파일 구성 화면에서 이메일 내용 탭의 사용 가능한 보고서 창에 표시되는 스캔 프로파일에서 이 보고서의 수신자를 구성할 수 있습니다.

검색 기준을 사용하면 특정한 비즈니스 및 준수 필요사항을 충족하는 데 필요한취약성 개선 활동에 초점을 둔 보고서를 작성할 수 있습니다.

더 쉽게 개선 보고서를 작성할 수 있도록 하려면 QRadar Vulnerability Manager

를 사용하여 하나의 보고서 정의를 통해 각 자산 소유자에 대한 자산 취약성 및취약성 보고서를 자동으로 작성하십시오.

자산이 다시 스캔되면, 개선된 취약성이 자동으로 감지되며 해당 취약성은 개선된 것으로 플래그가 지정됩니다. 다른 방법으로 명시적으로 구성되지 않는 한, 이러한 취약성은 보고서 및 보기에서 제거됩니다. 이전에 수정되었으나 다시 감지된 모든 취약성은 자동으로 다시 열립니다.

관련 태스크:

128 페이지의 『기술 사용자를 자산 그룹의 소유자로 지정』IBM Security QRadar Vulnerability Manager에서 자산 그룹을 구성하여 해당 그룹의 취약성을 자동으로 기술 사용자에게 지정할 수 있습니다.

106 페이지의 『취약성 스캔 시작 및 중지 시 자산 소유자에게 이메일 전송』구성된 자산 기술 소유자에게 이메일을 전송하여 스캔 스케줄에 대해 경보합니다. 또한 자산 소유자에게 보고서를 이메일로 보낼 수도 있습니다.

112 페이지의 『취약성 데이터 검색』IBM Security QRadar Vulnerability Manager에서는 취약성 데이터를 검색하여 중요한 취약성을 식별할 수 있습니다.

취약성 스캔 알림스캔 활동이 높을 때 false 알람을 피하려면 자산 소유자에게 스캔 시간을 알리십시오.

웹 도구와 같은 일부 QRadar Vulnerability Manager 스캔 도구는 많은 양의 트래픽을 생성할 수 있습니다. 예를 들어, 웹 스캔 한 번으로 초당 500개의 HTTP


요청을 HTTP 서버로 보낼 수 있습니다. 자산 소유자가 비정상적인 양의 트래픽을 확인할 경우, 스캔 중인 자산이 DOS 공격이나 유사 공격에 노출된 것으로 인식할 수 있습니다.

자산 소유자가 평소보다 많은 양의 네트워크 트래픽 또는 로드가 네트워크에서발생할 수 있음을 알 수 있도록 스캔 전후에 자산 소유자와 기타 관련 부서에 이메일을 보내도록 스캔 프로파일을 구성하십시오. 자산 소유자가 자산 스캔 시간을 알 수 있도록 하는 또 다른 방법은 자산 소유자와의 스캐닝 스케줄에 동의하는 것입니다.

스캔 프로파일의 이메일 탭에서 이메일 알림을 구성하십시오.

새 자산의 스캔 트리거새 IP 주소에 지정된 경우 새 자산에서의 스캔을 트리거하려면 사용자 정의 룰엔진(CRE)에 의해 처리되는 이벤트를 사용하십시오.

시작하기 전에

요청 시 스캐닝이 사용으로 설정된 스캔 프로파일을 작성하십시오.

프로시저1. 로그 보기 탭에서 룰 > 룰을 클릭하십시오. 오펜스 및 네트워크 보기 탭에서룰 메뉴에 액세스할 수도 있습니다.

2. 조치 메뉴에서 새 이벤트 룰을 클릭하십시오.

3. 이벤트를 클릭한 후 다음을 클릭하여 계속하십시오.

4. 테스트를 룰 목록에 추가하십시오.

a. 이벤트가 이러한 로그 소스 중 하나 이상에서 발견된 경우 테스트 옆의추가 아이콘(+)을 클릭하십시오.

b. 이벤트 QID가 다음 QID 중 하나인 경우 테스트 옆의 추가 아이콘(+)을클릭하십시오.

c. and(소스 IP가 다음 IP 주소 중 하나인 경우) 테스트 옆의 추가 아이콘(+)을 클릭하십시오.

5. 룰 분할창에서 각 룰 값을 편집하십시오.

a. 첫 번째 룰의 경우 이러한 로그 소스를 클릭하고 자산 프로파일러 항목을 목록에서 추가하십시오.

b. 두 번째 룰의 경우 QID를 클릭한 후 다음 표에 설명된 QID를 검색하고 이러한 QID를 사용자 룰에 추가하십시오.


표 7. 룰에 추가할 QID 이름 및 설명QID 이름 설명68750030 IP 주소가 작성됨 이 이벤트는 자산에 대한 새 IP 주소

레코드가 작성될 때 발생합니다.

68750013 자산이 작성됨 이 이벤트는 새 자산이 작성될 때 발생합니다.

c. 세 번째 룰의 경우 and NOT으로 변경되도록 and를 클릭한 후 IP 주소를 클릭하고 127.0.0.1을 추가하십시오.

다음 예제는 이 룰 구성의 출력입니다.

and NOT(소스 IP가 다음 127.0.0.1 중 하나인 경우)

6. 적용 텍스트 상자에 이 룰의 고유 이름을 입력하고 로컬은 기본 시스템 설정으로 그대로 둔 후 다음을 클릭하십시오.

7. 룰 응답 섹션에서 스캔 트리거를 클릭하십시오.

a. 템플리트로 사용될 스캔 프로파일 메뉴에서 사용하려는 스캔 프로파일을선택하십시오.

이 룰에 사용할 스캔 프로파일에서 요청 시 스캐닝 옵션을 선택해야 합니다.

b. 스캔할 로컬 IP 옵션에 대해 소스를 클릭하십시오.

c. 응답 리미터 설정의 값을 입력하십시오.

사용자 시스템에서 잠재적인 과부하를 피할 수 있도록 적절한 간격을 구성하십시오.

d. 바로 감시 이벤트를 시작하지 않으려는 경우, 룰 사용 옵션을 선택 취소한 후 완료를 클릭하십시오.

자산에 대한 환경 위험 구성CVSS 환경 점수를 사용하여 선택한 자산에서 위험 점수를 조작하고 우선순위를지정합니다. 자산에 대한 CVSS, 가중치, 준수 매개변수를 구성한 경우 가장 중요하거나 위험한 자산에 높은 위험 점수를 적용할 수 있습니다.

이 태스크 정보

중요하거나 위험한 자산과 동일한 취약성을 지닌 덜 중요한 자산이 있는 경우 중요하거나 위험한 자산에서 CVSS 환경 점수를 구성하여 덜 중요한 자산보다 더높은 위험 점수를 부과할 수 있습니다. 가장 중요한 자산에 더 높은 위험 점수를적용하여 스캔 결과에서 이 중요한 자산을 강조합니다.


프로시저1. 자산 탭을 클릭하십시오.

2. 탐색 메뉴에서 자산 프로파일을 클릭하십시오.

3. 편집하려는 자산을 두 번 클릭하고 자산 편집을 클릭하십시오.

4. 자산 프로파일 편집 창에서 CVSS, 가중치, 준수를 클릭하십시오.

5. CVSS, 가중치, 준수 분할창에서 매개변수를 구성하십시오. 다음 표에서는CVSS, 가중치, 준수 분할창에서 매개변수를 나열합니다.

매개변수 설명잠재적인 부수적 손상 가능성 생산성 또는 수익의 경제적 손실 또는 이러한 자

산의 도난이나 파손으로 인한 물리적 자산의 수명이 감소할 가능성. 예를 들어, 잠재적인 부수적손상 가능성을 낮음에서 높음으로 격상하면CVSS 점수에 대해 계산된 값이 증가합니다.

잠재적인 부수적 손상 가능성 매개변수는 가중치매개변수에 직접 링크됩니다. 하나의 매개변수를변경하면 다른 매개변수가 영향을 받습니다.

기밀성 요구사항 취약성이 악용된 경우 이 자산에 대한 기밀성에영향을 미칩니다. 예를 들어, 기밀성 요구사항을낮음에서 높음으로 격상하면 CVSS 점수에 대해계산된 값이 증가합니다.

가용성 요구사항 취약성이 악용되면 자산의 가용성에 영향을 미칩니다. 네트워크 대역폭, 프로세서 주기 또는 디스크 공간을 소모하는 공격은 자산의 가용성에 영향을 미칩니다. 예를 들어, 가용성 요구사항 설정을 낮음에서 높음으로 격상하면 CVSS 점수에대해 계산된 값이 증가합니다.

무결성 요구사항 취약성을 악용되면 자산의 무결성에 영향을 미칩니다. 무결성은 정보의 신뢰성 및 보증된 진실성을 말합니다. 예를 들어, 무결성 요구사항을 낮음에서 높음으로 격상하면 CVSS 점수에 대해 계산된 값이 증가합니다.

가중치 가중치는 잠재적인 부수적 손상 가능성 설정에링크되어 있습니다. 가중치 매개변수에 대해 10을 선택한 경우 잠재적인 부수적 손상 가능성을높음으로 변경합니다.


외부 스캐닝 FAQIBM이 호스팅하는 외부 스캐너를 사용하여 클라우드로부터 DMZ 또는 네트워크 경계에서 자산을 스캔하십시오. 외부 공격으로부터 자산을 보호하는 데 있어추가 방어를 제공하려면 네트워크 외부로부터 신임 정보를 사용하지 않는 스캔을 실행하십시오.


어떤 정보를 제공해야 합니까?

다음 정보를 포함하여 [email protected]에 이메일을 보내야 합니다.

v 조직의 외부 IP 주소v 로드 밸런서를 사용하는 경우, 로드 밸런서에 의해 사용되는 IP 주소를 제공해야 합니다.

v DMZ에 있는 자산의 IP 주소 범위

참고: QRadar Vulnerability Manager의 로컬 설치가 있어야 합니다.

QRadar 팀이 제공되는 CIDR 범위를 확인합니까?

스캐닝 시작 전에 CIDR 범위가 확인되고 소유권이 확인됩니다.

웹 서버 같은 서버에서 외부 스캔의 영향은 무엇입니까?

스캔은 방해되지는 않지만 시스템에 일부 로드가 부과됩니다. 서버 활동이 많지않을 때 스캔을 실행하십시오.

클라우드에서 QRadar Vulnerability Manager 프로세서로 스캔 결과를 보내는 방법은 무엇입니까?

외부 스캐너는 보안 연결을 통해 스캔 결과를 클라우드에서 QRadar Vulnerability

Manager 프로세서로 보냅니다.

외부 스캐너에서 앱 스캔의 역할이 무엇입니까?

앱 스캔은 웹 서버에서의 XSS(Cross-Site Scripting) 및 OWASP(Open Web

Application Security Project) 취약성을 스캔합니다. 사용자가 가상 도메인의 이름을 제공해야 합니다.

외부 스캐너 외에 DMZ를 스캔하기 위해 내부 스캐너를 사용해야 합니까?

대부분의 네트워크 공격은 외부로부터 오므로 외부 스캐너는 외부자의 관점에서모든 외부 공격 면을 대상화합니다.

방화벽이 특정 취약성, 포트, 서비스 및 호스트에 대한 액세스를 제한할 수 있기때문에 DMZ에서 외부 스캐닝 및 내부적으로 인증된 스캐닝을 실행하는 것이 좋습니다.

인바운드 트래픽에 대한 로드 밸런서를 사용하는 경우, 외부 스캐너가 로드 밸런서에 연결된 서버 중 하나에 대한 액세스만 가질 수 있습니다. 이 경우 외부 스캐너가 모든 서버를 스캔할 수 있도록 액세스 루트를 구성해야 할 수 있습니다.


또는 내부 스캐너를 사용하여 DMZ에서 이러한 서버를 스캔할 수 있습니다.



제 5 장 스캔 구성

IBM Security QRadar Vulnerability Manager에서 모든 네트워크 스캐닝은 사용자가 작성하는 스캔 프로파일에 의해 제어됩니다. 여러 스캔 프로파일을 작성하고 사용자 네트워크의 특정 요구사항에 따라 각 프로파일을 다르게 구성할 수있습니다.

스캔 프로파일

다음 태스크를 수행하기 위해 스캔 프로파일을 사용하십시오.

v 스캔할 네트워크 노드, 도메인 또는 가상 도메인을 지정합니다.

v 스캔에서 제외할 네트워크 자산을 지정합니다.

v 스캔을 실행할 수 있는 시간을 정의하는 운영 창을 작성합니다.

v 스캔 프로파일을 수동으로 실행하거나 나중에 실행하도록 스캔을 스케줄합니다.

v 하나 이상의 스캔을 실행, 일시정지, 재개, 취소 또는 삭제합니다.

v Windows, UNIX 또는 Linux 운영 체제를 실행하기 위해 중앙 신임 정보를사용합니다.

v 저장된 자산 검색에서 자산을 스캔합니다.

관련 개념:

78 페이지의 『중앙 신임 정보 세트』인증된 스캔을 실행할 때, Linux, UNIX 또는 Windows 운영 체제의 로그인신임 정보를 저장하는 중심 목록을 사용할 수 있습니다. 시스템 관리자는 신임정보의 목록을 구성해야 합니다.

스캔 프로파일 작성IBM Security QRadar Vulnerability Manager에서는 취약성 스캔 방법 및 시점을 지정하기 위해 스캔 프로파일을 구성합니다.

프로시저1. 취약성 탭을 클릭하십시오.

2. 탐색 분할창에서 관리 > 스캔 프로파일을 클릭하십시오.

3. 도구 모음에서 추가를 클릭하십시오.


스캔 프로파일을 작성할 때는 스캔 프로파일 구성 페이지의 세부사항 탭에 있는 이름 및 IP 주소 필드만 필수 필드입니다. 또한 다음과 같은 선택적 설정을 구성할 수도 있습니다.

v 더 많은 스캐너를 QRadar Vulnerability Manager 배치에 추가한 경우에는 스캔 서버 목록에서 스캐너를 선택하십시오. 동적 스캐닝을 사용하려는 경우에는 이 단계가 필요하지 않습니다.

v 요청 시 스캐닝에 대해 이 프로파일을 사용하려면 요청 시 스캐닝 사용 선택란을 클릭하십시오.

이 옵션을 선택하면, 사용자 정의 룰 이벤트에 대응하여 스캔을 트리거하기 원하는 경우에 해당 프로파일을 사용할 수 있습니다. 또한 자산 페이지에서 마우스 오른쪽 단추 메뉴를 사용하여 요청 시 취약성 스캐닝을 사용할 수 있습니다.

v 동적 서버 선택 선택란을 선택하여 사용 가능한 가장 적절한 스캐너를 선택할 수 있습니다. 관리 > 스캐너 페이지에서 스캐너를 정의하는지 확인하십시오.

보안 프로파일은 연관된 도메인으로 업데이트해야 합니다. 도메인 레벨 제한사항은 보안 프로파일이 업데이트될 때까지 적용되지 않으며, 변경사항이 배치됩니다.

v 사전정의된 스캐닝 기준 세트를 사용하여 네트워크를 스캔하려면 스캔 정책 목록에서 스캔 유형을 선택하십시오.

v 자산에 대해 중앙 신임 정보를 구성한 경우 중앙 신임 정보 선택란을 클릭하십시오. 자세한 정보는 IBM Security QRadar 관리 안내서를 참조하십시오.


관련 개념:

40 페이지의 『동시 자산 스캔에 대한 네트워크 대역폭』네트워크 대역폭 설정을 조정하여 자산을 스캔하기 위해 동시에 사용될 수 있는 취약성 도구의 수와 동시에 스캔될 수 있는 자산의 수를 변경합니다. 일부스캔은 스캔을 위해 더 많은 취약성 도구를 사용하며, 이는 동시에 스캔할 수있는 자산 수에 영향을 줍니다.

40 페이지의 『동적 스캐닝』IBM Security QRadar Vulnerability Manager의 동적 스캐닝을 사용하여 개별 스캐너를 IP 주소, CIDR 범위, IP 주소 범위 또는 스캔 프로파일에서 지정하는 도메인과 연관시키십시오. 동적 스캐닝은 다수의 스캐너를 배치할 때 가장유용합니다. 예를 들어 6개 이상의 스캐너를 배치할 경우, 동적 스캐닝을 사용하여 시간을 절약할 수 있습니다.





관련 태스크:


54 페이지의 『마우스 오른쪽 단추 클릭 메뉴 옵션을 사용한 자산 다시 스캔』IBM Security QRadar Vulnerability Manager에서는 마우스 오른쪽 단추 클릭 옵션을 사용하여 자산을 다시 빠르게 스캔할 수 있습니다.

71 페이지의 『스캔 정책 구성』IBM Security QRadar Vulnerability Manager에서는 취약성 스캔에 대한 특정 요구사항을 충족하도록 스캔 정책을 구성할 수 있습니다. 사전 구성된 스캔정책을 복사하여 이름을 바꾸거나 새 스캔 정책을 추가할 수 있습니다. 사전 구성된 스캔 정책은 편집할 수 없습니다.

외부 스캐너 스캔 프로파일 작성IBM Security QRadar Vulnerability Manager에서, 호스팅 스캐너를 사용하여DMZ의 자산을 스캔하는 스캔 프로파일을 구성할 수 있습니다.

시작하기 전에

QRadar Vulnerability Manager에는 호스팅 스캐너가 구성되어 있어야 합니다.

자세한 정보는 14 페이지의 『DMZ의 자산 스캔』의 내용을 참조하십시오.




제 5 장 스캔 구성 51

스캔 프로파일을 작성할 때는 스캔 프로파일 구성 페이지의 세부사항 탭에 있는 이름 및 IP 주소 필드만 필수 필드입니다. 외부 스캐너 프로파일을 작성하려면 이 프로시저의 나머지 단계 또한 따라야 합니다.

4. 스캔 서버 목록에서 외부 스캐너를 선택하십시오.

5. 스캔 정책 목록에서 전체 스캔 또는 웹 스캔을 선택하십시오.

6. 도메인 및 웹 앱 탭을 클릭하십시오. 가상 웹 분할창에 스캔할 웹 사이트 및애플리케이션의 도메인 및 IP 주소 정보를 입력하십시오.


참고: 인증된 스캔은 외부 스캐너에서 수행되지 않습니다.

벤치마크 프로파일 작성Center for Internet Security 준수 스캔을 작성하려면 벤치마크 프로파일을 구성해야 합니다. CIS 준수 스캔을 사용하여 Windows 및 Red Hat Enterprise

Linux CIS 벤치마크 준수 여부를 테스트합니다.



3. 도구 모음에서 벤치마크 추가를 클릭하십시오.

4. 사전정의된 중앙 신임 정보를 사용하려면 중앙 신임 정보 선택란을 선택하십시오.

Linux 운영 체제를 스캔하는 데 사용되는 신임 정보는 루트 권한이 있어야합니다. Windows 운영 체제를 스캔하는 데 사용되는 신임 정보는 관리자권한이 있어야 합니다.

5. 동적 스캐닝을 사용하지 않는 경우 , 스캔 서버 목록에서 QRadar

Vulnerability Manager 스캐너를 선택하십시오.

6. 동적 스캐닝을 사용하도록 설정하려면 동적 서버 선택 선택란을 클릭하십시오.

관리 > 도메인 관리 창에서 도메인을 구성한 경우, 도메인 목록에서 도메인을 선택할 수 있습니다. 사용자의 스캐너에 대해 구성된 CIDR 범위 및 도메인 내의 자산만 스캔됩니다.

7. 스캔 시점 탭에서 실행 스케줄, 스캔 시작 시간 및 사전정의된 운영 창을 설정하십시오.

8. 이메일 탭에서 이 스캔에 대해 전송할 정보와 전송 대상을 정의하십시오.

9. 중앙 신임 정보를 사용하지 않는 경우, 추가 신임 정보 탭에서 스캔에 필요한 신임 정보를 추가하십시오.


Linux 운영 체제를 스캔하는 데 사용되는 신임 정보는 루트 권한이 있어야합니다. Windows 운영 체제를 스캔하는 데 사용되는 신임 정보는 관리자권한이 있어야 합니다.


관련 개념:


수동으로 스캔 프로파일 실행IBM Security QRadar Vulnerability Manager에서는 하나 이상의 스캔 프로파일을 수동으로 실행할 수 있습니다.

이후의 날짜 및 시간에 실행하도록 스캔을 스케줄할 수도 있습니다. 자세한 정보는 56 페이지의 『스캔 스케줄링』의 내용을 참조하십시오.

시작하기 전에

취약성 프로세서가 배치되었는지 확인하십시오. 자세한 정보는 10 페이지의 『취약성 프로세서 배치 여부 확인』의 내용을 참조하십시오.


2. 탐색 분할창에서 관리 > 스캔 프로파일을 선택하십시오.

3. 스캔 프로파일 페이지에서, 실행할 스캔 프로파일에 지정된 행의 선택란을 선택하십시오.

참고: 실행하기 원하는 스캔 프로파일을 찾으려면 도구 모음의 이름 필드를사용하여 스캔 프로파일을 이름별로 필터링하십시오.

4. 도구 모음에서 실행을 클릭하십시오.

기본적으로 스캔은 TCP(Transmission Control Protocol) 및 UDP(User

Datagram Protocol) 프로토콜을 사용하여 빠른 스캔을 완료합니다. 빠른 스캔은 1 - 1024 범위 내에 있는 대부분의 포트를 포함합니다.

관련 개념:

55 페이지의 『스캔 프로파일 세부사항』IBM Security QRadar Vulnerability Manager에서는 스캔을 설명하고, 사용할 스캐너를 선택하고, 여러 스캔 정책 옵션 중에서 옵션을 선택할 수 있습니다.


관련 태스크:

101 페이지의 『스캔 결과 관리』IBM Security QRadar Vulnerability Manager에서는 스캔 결과 페이지에서스캔 결과 및 실행 중인 스캔을 관리할 수 있습니다.

마우스 오른쪽 단추 클릭 메뉴 옵션을 사용한 자산 다시 스캔IBM Security QRadar Vulnerability Manager에서는 마우스 오른쪽 단추 클릭옵션을 사용하여 자산을 다시 빠르게 스캔할 수 있습니다.

또한 마우스 오른쪽 단추 클릭 스캔 옵션은 QRadar 오펜스 탭 및 QRadar Risk

Manager 서브넷 자산 보기에서도 사용할 수 있습니다.


2. 탐색 분할창에서 취약성 관리 > 자산별을 선택하십시오.

3. 자산별 페이지에서 다시 스캔할 자산을 식별하십시오.

4. IP 주소를 마우스 오른쪽 단추로 클릭하고 취약성 스캔 실행을 선택하십시오.

5. 취약성 스캔 실행 창에서, 자산을 다시 스캔할 때 사용할 스캔 프로파일을 선택하십시오.

스캐닝 프로세스는 스캔 프로파일을 필요로 합니다. 스캔 프로파일은 스캔이실행될 때 사용되는 스캐닝 구성 옵션을 결정합니다.

취약성 스캔 실행 창에서 스캔 프로파일을 보려면, 스캔 프로파일 구성 페이지의 세부사항 탭에서 요청 시 스캐닝 사용 선택란을 선택해야 합니다.

중요사항: 선택하는 스캔 프로파일은 여러 스캔 대상 또는 IP 주소 범위와 연관될 수 있습니다. 그러나 마우스 오른쪽 단추 클릭 옵션을 사용할 때는 선택하는 자산만 스캔됩니다.

6. 지금 스캔을 클릭하십시오.

7. 창 닫기를 클릭하십시오.

8. 마우스 오른쪽 단추 클릭 스캔의 진행 상태를 검토하려면 탐색 분할창에서 스캔 결과를 클릭하십시오.

마우스 오른쪽 단추 클릭 스캔은 접두어 RC:로 식별됩니다.

관련 개념:

118 페이지의 『자산 취약성』IBM Security QRadar Vulnerability Manager에서는 각 스캔된 자산으로 그룹화된 요약 취약성 데이터를 표시할 수 있습니다.


스캔 프로파일 세부사항IBM Security QRadar Vulnerability Manager에서는 스캔을 설명하고, 사용할스캐너를 선택하고, 여러 스캔 정책 옵션 중에서 옵션을 선택할 수 있습니다.

스캔 프로파일 세부사항은 스캔 프로파일 구성 페이지의 세부사항 탭에서 지정됩니다.

특히 다음 옵션을 확인하십시오.

표 8. 스캔 프로파일 세부사항 구성 옵션옵션 설명중앙 신임 정보 사용 해당 프로파일이 사전정의된 신임 정보를 사용하도록 지정합니다. 중앙 신

임 정보는 관리 > 시스템 구성 > 중앙 신임 정보 창에서 정의할 수 있습니다.

스캔 서버사용자는 네트워크 구성에 따라 스캐너를 선택합니다. 예를 들어, DMZ 자산을 스캔하려는 경우에는 네트워크에서 해당 영역에 대한 액세스 권한이있는 스캐너를 선택합니다.

컨트롤러 스캔 서버는 취약성 프로세서와 함께 QRadar 콘솔 또는 QRadarVulnerability Manager 관리 호스트에 배치됩니다.

제한사항: 배치에는 하나의 취약성 프로세서만 둘 수 있습니다. 그러나 전용 QRadar Vulnerability Manager 관리 호스트 스캐너 어플라이언스 또는 QRadar 관리 호스트에는 여러 스캐너를 배치할 수 있습니다.

요청 시 스캐닝 해당 프로파일에서 요청 시 자산 스캐닝을 사용하도록 합니다. 요청 시 취약성 스캐닝을 실행하려면 자산 페이지에서 마우스 오른쪽 단추 클릭 메뉴를 사용하십시오. 또한 이 옵션을 선택하면, 사용자 정의 룰 이벤트에 대응하여 스캔을 트리거하기 원하는 경우에 해당 프로파일을 사용할 수 있습니다.

요청 시 스캔을 사용하도록 설정하면, 동적 스캐닝 또한 사용하도록 설정됩니다.

동적 서버 선택스캔하는 각 CIDR 범위에 대해 별도의 취약성 스캐너를 사용할지 지정합니다.

스캔 중에 QRadar Vulnerability Manager는 지정한 각 CIDR 범위에 대해 적합한 스캐너에 스캐닝 활동을 분배합니다.

관리 탭의 도메인 관리 창에서 도메인을 구성한 경우, 스캔할 도메인 또한선택할 수 있습니다.

대역폭 한계스캐닝 대역폭입니다. 기본 설정은 중간입니다.

중요사항: 1000kbps보다 큰 값을 선택할 경우 네트워크 성능에 영향을 줄수 있습니다.

스캔 정책포트 및 프로토콜에 대한 사전 구성된 스캐닝 기준입니다. 자세한 정보는 69페이지의 『스캔 정책』의 내용을 참조하십시오.

관련 개념:




관련 태스크:

137 페이지의 『요청 시 스캔 프로파일 작성』사용자 정의 룰 이벤트에 대한 응답으로 스캔을 트리거하려면 요청 시 스캔 프로파일을 구성하고 동적 스캐닝을 사용으로 설정하십시오.

스캔 스케줄링IBM Security QRadar Vulnerability Manager에서는 알려진 취약성에 대해 네트워크 자산을 스캔하기 위한 날짜 및 시간을 스케줄할 수 있습니다.

스캔 프로파일 구성 페이지의 스캔 시점 분할창을 사용하여 스캔 스케줄링을 제어합니다. 수동 설정으로 구성된 스캔 프로파일은 수동으로 실행해야 합니다. 그러나 수동 스캔으로 구성되지 않은 스캔 프로파일도 수동으로 실행할 수 있습니다. 스캔 스케줄을 선택할 경우 허용된 스캔 시간을 구성하도록 운영 창을 사용하여 스케줄을 세분화할 수 있습니다.

다음 스케줄링 옵션 중 하나를 선택하십시오.

v 수동v 한 번 실행v 매일v 매주v 매월v 고급

cron 표현식을 사용하여 스케줄을 작성하십시오(예: 매주 월 - 금요일 오전 9:00

또는 매월 첫 번째 금요일 오전 3:30). cron 표현식을 통해 불규칙 스캔 스케줄을 작성할 수 있습니다. 하루 최대 하나의 스캔을 스케줄링하십시오.

한 번 실행, 매일, 매주 및 매월 스캔 스케줄에서 일광 절약 시간의 변경 영향을고려하십시오. 예를 들어 2016년 3월 27일에 영국의 시계는 오전 1시에 1시간 앞서가므로 2016년 3월 27일 오전 1시에서 1시 59분 사이에 실행하도록 구성된 스캔은 오전 2시에서 2시 59분 사이에 실행됩니다.


2016년 3월 27일 오전 1시에서 1시 59분 사이에 실행하도록 구성된 고급 스캔스케줄은 건너뛰게 되며 실행되지 않습니다. 모든 후속 스캔은 스케줄링된 시간에 실행됩니다.

관련 태스크:

64 페이지의 『허용된 스캔 간격 구성』IBM Security QRadar Vulnerability Manager에서는 운영 창을 작성하여 스캔을 실행할 수 있는 시간을 지정할 수 있습니다.

59 페이지의 『스케줄된 스캔을 캘린더 형식으로 검토』IBM Security QRadar Vulnerability Manager에서 스케줄된 스캔 캘린더는스케줄된 스캔에 대한 정보를 검토할 수 있는 중심 위치를 제공합니다.

매월 도메인 스캐닝IBM Security QRadar Vulnerability Manager에서는 네트워크 상의 도메인을매월 스캔하도록 스캔 프로파일을 구성할 수 있습니다.




스캔 프로파일을 작성할 때는 스캔 프로파일 구성 페이지의 세부사항 탭에있는 이름 및 IP 주소 필드만 필수 필드입니다. 매월 실행되는 스캔을 설정하려면 이 프로시저의 나머지 단계 또한 따라야 합니다.

4. 스캔 시점 분할창을 클릭하십시오.

5. 실행 스케줄 목록에서 매월을 선택하십시오.

6. 시작 시간 필드에서 스캔의 시작 날짜 및 시간을 선택하십시오.

7. 월별 날짜 필드에서 매월 스캔을 실행할 날을 선택하십시오.

8. 도메인 및 웹 앱 탭을 클릭하십시오.

9. 도메인 필드에, 스캔할 자산의 URL을 입력하고 (>)를 클릭하십시오.


11. 옵션: 스캔 동안, 그리고 스캔 후에는 스캔 진행상황을 모니터하고 완료된스캔을 검토할 수 있습니다.

스캔하지 않은 새 자산의 스캔 스케줄링IBM Security QRadar Vulnerability Manager에서는 새로 감지된, 스캔하지 않은 네트워크 자산의 스케줄된 스캔을 구성할 수 있습니다.



2. 탐색 분할창에서 자산 프로파일을 클릭한 후 도구 모음에서 검색 > 새 검색을 클릭하십시오.

3. 새로 감지된, 스캔하지 않은 자산을 지정하려면 검색 매개변수 분할창에서다음 단계를 완료하십시오.

a. 자산이 발견된 이후 일 수, 1일 이하를 선택한 후 필터 추가를 클릭하십시오.

b. 자산 스캔 후 경과된 일 수, 3일 이상을 선택한 후 필터 추가를 클릭하십시오.

c. Search를 클릭하십시오.

4. 도구 모음에서 기준 저장을 클릭하고 다음 단계를 완료하십시오.

a. 이 검색의 이름 입력 필드에 자산 검색의 이름을 입력하십시오.

b. 내 빠른 검색에 포함을 클릭하십시오.

c. 모든 사용자와 공유를 클릭하십시오.

d. 확인을 클릭하십시오.

5. 취약성 탭을 클릭하십시오.



스캔 프로파일을 작성할 때는 스캔 프로파일 구성 페이지의 세부사항 탭에있는 이름 및 IP 주소 필드만 필수 필드입니다. 스캔되지 않은 자산에 대한스캔을 스케줄링하려면 이 프로시저의 나머지 단계 또한 따라야 합니다.

8. 저장된 검색 포함 분할창의 사용 가능한 저장된 검색 목록에서 저장된 자산을 선택한 후 (>)를 클릭하십시오.

9. 스캔 시점을 클릭하고 실행 스케줄 목록에서 매주를 선택하십시오.

10. 시작 시간 필드에서, 선택한 각 요일에서 스캔을 실행할 날짜 및 시간을 입력하거나 선택하십시오.

11. 스캔을 실행할 요일의 선택란을 선택하십시오.


자산 탭 사용 및 자산 검색 저장에 대한 자세한 정보는 제품의 사용자 안내서를 참조하십시오.

관련 태스크:



스케줄된 스캔을 캘린더 형식으로 검토IBM Security QRadar Vulnerability Manager에서 스케줄된 스캔 캘린더는 스케줄된 스캔에 대한 정보를 검토할 수 있는 중심 위치를 제공합니다.


2. 탐색 분할창에서 관리 > 스케줄된 스캔을 클릭하십시오.

3. 옵션: 스케줄된 스캔에 대한 정보를 표시하려면 스케줄된 스캔 위로 마우스를 이동하십시오.

예를 들면, 스캔이 완료되는 데 소요된 시간을 표시할 수 있습니다.

4. 옵션: 스캔 프로파일을 편집하려면 스케줄된 스캔을 두 번 클릭하십시오.

네트워크 스캔 대상 및 제외IBM Security QRadar Vulnerability Manager에서는 네트워크에 있는 스캔할자산, 도메인 또는 가상 웹에 대한 정보를 제공할 수 있습니다.

스캔 프로파일 구성 페이지에 있는 세부사항 탭을 사용하여, 스캔할 네트워크 자산을 지정하십시오.

절대 스캔하지 않아야 하는 특정 호스트 또는 호스트 범위를 제외할 수 있습니다. 예를 들면, 프로덕션 애플리케이션을 호스팅하는 중요 서버에서는 스캔을 실행하지 않도록 제한할 수 있습니다. 또한 네트워크의 특정 영역만 대상으로 삼도록 스캔을 구성할 수도 있습니다.

QRadar는 저장된 자산 검색의 일부를 구성하는 자산을 스캔하는 옵션을 제공하여 QRadar Vulnerability Manager와 통합됩니다.

스캔 대상

CIDR 범위, IP 주소, IP 주소 범위를 정의하거나 이 세 가지를 모두 결합하여스캔 대상을 지정할 수 있습니다.

도메인 스캐닝

스캔 프로파일에 도메인을 추가하여 지정하는 각 도메인에서의 DNS 구역 전송을 테스트할 수 있습니다.

호스트는 도메인에 대한 전체 구역 전송을 요구하고 수신하기 위해 DNS 구역 전송을 사용할 수 있습니다. DNS 데이터가 네트워크의 토폴로지를 해독하는 데 사용되므로 구역 전송은 보안 문제점입니다. DNS 구역 전송에 포함되는 데이터는중요 데이터이므로 이 데이터의 노출은 취약성으로 인식될 수 있습니다. 여기서


얻게 되는 정보는 DNS 변조 또는 위조와 같은 악의적인 용도로 사용될 수 있습니다.

저장된 자산 검색을 사용한 스캔

QRadar 저장된 자산 검색과 연관된 자산 및 IP 주소를 스캔할 수 있습니다.

저장된 검색은 세부사항 탭의 저장된 자산 검색 섹션에 표시됩니다.

자산 검색 저장에 대한 자세한 정보는 제품의 사용자 안내서를 참조하십시오.

네트워크 스캔 대상 제외

도메인 및 웹 앱 탭의 제외되는 자산 섹션에서는 스캔되지 않아야 하는 자산의IP 주소, IP 주소 범위 또는 CIDR 범위를 지정할 수 있습니다. 예를 들어, 로드가 많거나, 불안정하거나, 기밀 정보가 있는 서버를 스캔하지 않도록 하려면 이러한 자산을 제외하십시오.

스캔 프로파일 구성에서 스캔 제외를 구성할 때 제외는 스캔 프로파일에만 적용됩니다.

가상 웹

같은 IP 주소에서 호스팅되는 다른 URL을 스캔하도록 스캔 프로파일을 구성할수 있습니다.

가상 웹을 스캔할 때 QRadar Vulnerability Manager는 각 웹 페이지에서 SQL

인젝션 및 교차 사이트 스크립팅 취약성을 검사합니다.

관련 태스크:


61 페이지의 『모든 스캔에서 자산 제외』IBM Security QRadar Vulnerability Manager에서 스캔 제외는 네트워크에서스캔하지 않을 자산을 지정합니다.

57 페이지의 『스캔하지 않은 새 자산의 스캔 스케줄링』IBM Security QRadar Vulnerability Manager에서는 새로 감지된, 스캔하지않은 네트워크 자산의 스케줄된 스캔을 구성할 수 있습니다.

57 페이지의 『매월 도메인 스캐닝』IBM Security QRadar Vulnerability Manager에서는 네트워크 상의 도메인을매월 스캔하도록 스캔 프로파일을 구성할 수 있습니다.


모든 스캔에서 자산 제외IBM Security QRadar Vulnerability Manager에서 스캔 제외는 네트워크에서스캔하지 않을 자산을 지정합니다.


스캔 제외는 모든 스캔 프로파일 구성에 적용되며 스캔 활동을 불안정하거나 기밀 정보가 있는 서버에서 제외하는 데 사용할 수 있습니다. 스캔 제외 페이지의IP 주소 필드를 사용하여, 모든 스캐닝에서 제외할 IP 주소, IP 주소 범위 또는CIDR 범위를 입력하십시오. 스캔 제외 페이지에 액세스하려면 다음을 실행하십시오.


2. 탐색 분할창에서 관리 > 스캔 제외를 클릭하십시오.

3. 도구 모음에서 조치 > 추가를 선택하십시오.

참고: 또한 취약성 > 관리 > 스캔 프로파일 > 추가 > 도메인 및 웹 앱 탭의제외된 자산 섹션을 사용하여 각 스캔 프로파일에서 자산을 제외할 수 있습니다.

스캔 제외 관리IBM Security QRadar Vulnerability Manager에서는 스캔 제외를 업데이트하거나, 삭제하거나 인쇄할 수 있습니다.


2. 탐색 분할창에서 관리 > 스캔 제외를 클릭하십시오.

3. 스캔 제외 페이지에 있는 목록에서 수정할 스캔 제외를 클릭하십시오.

4. 도구 모음의 조치 메뉴에서 옵션을 선택하십시오.

5. 선택사항에 따라, 이 태스크를 완료하기 위한 화면 상의 지시사항을 따르십시오.

스캔 프로토콜 및 포트IBM Security QRadar Vulnerability Manager에서는 다양한 스캔 프로토콜을선택하고 여러 포트 범위를 스캔할 수 있습니다.

TCP 및 UDP 스캔 옵션을 사용하여 스캔 프로파일 포트 프로토콜을 구성할 수있습니다.


기존 또는 새 스캔 정책 구성 창의 포트 스캔 탭에서 스캔하려는 포트 및 스캐닝프로토콜을 구성하십시오.

참고: 또한 스캔 프로파일 구성 창의 스캔 방법 탭에서도 포트 스캐닝을 구성할수 있지만 이 옵션은 역호환성에만 사용 가능합니다. 스캔 방법 탭을 사용하여 새포트 스캔을 구성하지 마십시오.

전체 포트 범위 스캐닝IBM Security QRadar Vulnerability Manager에서는 지정한 자산에서 전체 포트 범위를 스캔할 수 있습니다.


스캔 정책을 작성하여 스캔하려는 포트를 지정한 후 이 스캔 정책을 스캔을 실행하는 데 사용하는 스캔 프로파일에 추가하십시오.


2. 탐색 분할창에서 관리 > 스캔 정책을 선택하십시오.

3. 도구 모음에서 추가를 클릭하여 새 스캔 정책을 작성하거나 편집을 클릭하여 기존 정책을 편집하십시오.

4. 설정 탭을 클릭하십시오.

a. 스캔 정책에 대한 이름 및 설명을 입력하십시오.

b. 스캔 유형을 선택하십시오.

5. 포트 스캔 탭을 클릭하십시오.

6. 프로토콜 필드에서 프로토콜을 선택하십시오. 기본값은 TCP & UDP입니다.

참고: UDP가 작동하는 방식으로 인해 UDP 포트 스캔은 TCP 포트 스캔보다 훨씬 느립니다. UDP 포트 스캔은 자산의 모든 포트(1-65535)를 스캔하는 데 최대 24시간이 걸릴 수 있습니다.

7. 범위 필드에 1-65535를 입력하십시오.

제한사항: 포트 범위는 대시로 연결하거나 쉼표로 구분해야 하며, 연속적이며 겹치지 않는 오름차순으로 구성해야 합니다. 여러 포트 범위는 쉼표로 분리해야 합니다. 예를 들어, 1-1024, 1055, 2000-65535와 같은 예제는 포트범위를 입력하는 데 사용되는 구분 기호를 보여줍니다.

8. 제한시간(분) 필드에 해당 시간이 지난 후 스캔 결과가 감지되지 않으면 스캔을 취소할 시간을 분 단위로 입력하십시오.


중요사항: 1 - 500 범위의 값을 입력할 수 있습니다. 너무 짧은 시간을 입력하면 포트 스캔에서 실행 중인 모든 포트를 발견하지 못할 수 있으므로주의하십시오. 제한시간이 지나기 전에 감지된 스캔 결과가 표시됩니다.

9. 옵션: 추가 태스크를 완료하기 위해 스캔 정책을 사용하려는 경우 다른 탭에서 추가 옵션을 구성하십시오.


11. 스캔 프로파일 페이지에서 새 스캔 프로파일을 작성하십시오.

a. 저장한 스캔 정책을 추가하십시오.

b. 스캔 프로파일의 나머지 매개변수를 구성하고 저장하십시오.

c. 스캔 프로파일 페이지에서 새 스캔 프로파일을 선택한 후 도구 모음에서 실행을 클릭하여 스캔을 실행하십시오.

스캔 프로파일 작성에 대한 자세한 정보는 49 페이지의 『스캔 프로파일 작성』의 내용을 참조하십시오.

참고: 또한 스캔 프로파일 구성 창의 스캔 방법 탭에서도 포트 스캐닝을 구성할 수 있지만 이 옵션은 역호환성에만 사용 가능합니다. 스캔 방법 탭을사용하여 새 포트 스캔을 구성하지 마십시오.

열린 포트가 있는 자산 스캐닝IBM Security QRadar Vulnerability Manager에서는 열린 포트가 있는 자산을스캔하기 위해 스캔 프로파일을 구성할 수 있습니다.



3. 열린 포트가 있는 자산을 지정하려면 검색 매개변수 분할창에서 다음 옵션을 구성하십시오.

a. 열린 포트가 있는 자산, 일부 같음 80을 선택하고 필터 추가를 클릭하십시오.

b. 열린 포트가 있는 자산, 일부 같음 8080을 선택하고 필터 추가를 클릭하십시오.

c. Search를 클릭하십시오.

4. 도구 모음에서 기준 저장을 클릭하고 다음 옵션을 구성하십시오.

a. 이 검색의 이름 입력 필드에 자산 검색의 이름을 입력하십시오.

b. 내 빠른 검색에 포함을 클릭하십시오.

c. 모든 사용자와 공유를 클릭하고 확인을 클릭하십시오.





스캔 프로파일을 작성할 때는 스캔 프로파일 구성 페이지의 세부사항 탭에있는 이름 및 IP 주소 필드만 필수 필드입니다. 공개 포트를 사용하여 자산을 스캔하려면 이 프로시저의 나머지 단계 또한 따라야 합니다.

8. 세부사항 탭의 사용 가능한 저장된 검색 목록에서 저장된 자산 검색을 선택한 후 >를 클릭하십시오.

저장된 자산 검색을 스캔 프로파일에 포함시키면 해당 저장된 검색과 연관된 자산 및 IP 주소가 스캔됩니다.

9. 스캔 시점을 클릭하고 실행 스케줄 목록에서 수동을 선택하십시오.

10. 스캔 대상 분할창을 클릭하십시오.




53 페이지의 『수동으로 스캔 프로파일 실행』 프로시저에 있는 단계를 수행하십시오.

허용된 스캔 간격 구성IBM Security QRadar Vulnerability Manager에서는 운영 창을 작성하여 스캔을 실행할 수 있는 시간을 지정할 수 있습니다.


운영 창 내에 스캔이 완료되지 않으면 스캔이 일시정지된 후 운영 창이 다시 열릴 때 스캔이 계속됩니다. 운영 창을 구성하는 방법은 다음과 같습니다.


2. 탐색 분할창에서 관리 > 운영 창을 클릭하십시오.

3. 도구 모음에서 조치 > 추가를 클릭하십시오.

4. 이름 필드에 운영 창의 이름을 입력하십시오.

5. 스케줄 목록에서 운영 창 스케줄을 선택하십시오.

6. 옵션: 스캔을 허용할 시간을 선택하십시오.


7. 옵션: 시간대를 선택하십시오.

8. 스케줄 목록에서 매주를 선택한 경우 매주 영역에서 원하는 요일 선택란을클릭하십시오.

9. 스케줄 목록에서 매월을 선택한 경우에는 월별 날짜 분할창에서 날짜를 선택하십시오.


스캔 프로파일 구성 페이지의 스캔 시점 탭을 사용하여 운영 창을 스캔 프로파일과 연관시킬 수 있습니다.

스캔 프로파일에 두 개의 겹치는 운영 창을 지정하는 경우, 스캔 프로파일이 가장 이른 운영 창의 시작부터 나중 운영 창의 끝까지 실행됩니다. 예를들어 매일 오전 1시 - 오전 6시와 오전 5시 - 오전 9시의 기간 동안 두 개의 일일 운영 창을 구성할 경우, 스캔은 오전 1시에서 오전 9시 사이에 스캔을 실행합니다.

겹치지 않는 운영 창의 경우, 스캔이 가장 이른 운영 창에서 시작하며 운영창 사이에 시간 간격이 있는 경우 일시정지했다가 다음 운영 창 시작 시 재개합니다.

허용된 시간 중 스캐닝IBM Security QRadar Vulnerability Manager에서는 운영 창을 사용하여 허용된 시간에 네트워크 자산의 스캔을 스케줄할 수 있습니다.


2. 탐색 분할창에서 관리 > 운영 창을 선택하십시오.

3. 도구 모음에서 조치 > 추가를 선택하십시오.

4. 운영 창의 이름을 입력한 후 허용된 시간 간격을 구성하고 저장을 클릭하십시오.



스캔 프로파일을 작성할 때는 스캔 프로파일 구성 페이지의 세부사항 탭에있는 이름 및 IP 주소 필드만 필수 필드입니다. 허용된 시간 동안의 스캐닝을 구성하려면 이 프로시저의 나머지 단계 또한 따라야 합니다.

7. 스캔 시점 탭을 클릭하십시오.

8. 실행 스케줄 목록에서 매일을 선택하십시오.

9. 시작 시간 필드에서 매일 스캔을 실행할 날짜 및 시간을 입력하거나 선택하십시오.


10. 운영 창 분할창의 목록에서 운영 창을 선택한 후 (>)를 클릭하십시오.


운영 창 관리IBM Security QRadar Vulnerability Manager에서는 운영 창을 편집하고, 삭제하고 인쇄할 수 있습니다.

알아두기: 스캔 프로파일과 연관된 운영 창을 편집할 수 있습니다.


2. 탐색 분할창에서 관리 > 운영 창을 선택하십시오.

3. 편집할 운영 창을 선택하십시오.


5. 사용자 인터페이스의 지시사항을 따르십시오.

제한사항: 스캔 프로파일과 연관된 운영 창은 삭제할 수 없습니다. 우선 운영 창과 스캔 프로파일 간에 연결을 끊어야 합니다.

운영 창 연결 끊기스캔 프로파일과 연관된 운영 창을 삭제하려는 경우에는 스캔 프로파일과 운영창의 연결을 끊어야 합니다.



3. 편집할 스캔 프로파일을 선택하십시오.

4. 도구 모음에서 편집을 클릭하십시오.


6. 실행 스케줄 목록에서 필요에 따라 관련 옵션을 선택하십시오.

7. 이름 필드에서, 연결을 끊을 운영 창을 선택한 후 (<)를 클릭하십시오.


동적 취약성 스캔IBM Security QRadar Vulnerability Manager에서는 네트워크 내의 특정 CIDR

범위에 대해 특정 취약성 스캐너를 사용하도록 스캔을 구성할 수 있습니다. 예를들면, 스캐너가 네트워크의 일부에만 액세스 가능한 경우가 있습니다.


스캔 중에 QRadar Vulnerability Manager는 스캔 프로파일에 지정한 각 CIDR,

IP 주소 또는 IP 범위에 대해 어떤 스캐너를 사용할지 결정합니다.

동적 스캐닝 및 도메인

관리 탭의 도메인 관리 창에서 도메인을 구성한 경우, 사용자가 추가한 도메인에스캐너를 연관시킬 수 있습니다.

예를 들면, 서로 다른 스캐너를 각각 다른 도메인에 연관시키거나, 동일한 도메인 내의 다른 CIDR 범위에 연관시킬 수 있습니다. QRadar는 시스템의 스캐너와 연관된 모든 도메인에 대해 사용자가 지정한 IP 주소가 포함되도록 구성된CIDR 범위를 동적으로 스캔합니다. 복수의 자산이 서로 다른 도메인에서 동일한IP 주소를 갖는 경우, 각 도메인의 CIDR 범위에 해당 IP 주소가 포함되어 있으면 해당 자산은 개별적으로 스캔됩니다. 스캐너 도메인에 대해 구성된 CIDR 범위에 IP 주소가 포함되지 않은 경우, QRadar는 해당 자산의 컨트롤러 스캐너에대해 구성된 도메인을 스캔합니다.

동적 스캐닝 설정

동적 스캐닝을 사용하려면 다음 조치를 수행해야 합니다.

1. 취약성 스캐너를 QRadar Vulnerability Manager 배치에 추가하십시오. 자세한 정보는 10 페이지의 『스캐너를 QRadar Vulnerability Manager 배치에 추가하는 데 대한 옵션』의 내용을 참조하십시오.

2. 취약성 스캐너를 CIDR 범위 및 도메인과 연관시키십시오.

3. 여러 CIDR 범위의 스캔을 구성하고 스캔 프로파일 구성 페이지의 세부사항탭에 있는 동적 서버 선택을 사용으로 설정하십시오.

관련 개념:



관련 태스크:



취약성 스캐너를 CIDR 범위와 연관시키기IBM Security QRadar Vulnerability Manager에서 동적 스캐닝을 수행하려면취약성 스캐너를 네트워크 내의 여러 세그먼트와 연관시켜야 합니다.

시작하기 전에

배치에 여분의 취약성 스캐너를 추가해야 합니다. 자세한 정보는 10 페이지의 『스캐너를 QRadar Vulnerability Manager 배치에 추가하는 데 대한 옵션』의 내용을 참조하십시오.


2. 탐색 분할창에서 관리 > 스캐너를 선택하십시오.

주의: 기본적으로 컨트롤러 스캐너가 표시됩니다. 컨트롤러 스캐너는 QRadar

Console 또는 전용 QRadar Vulnerability Manager 처리 어플라이언스에 배치된 QRadar Vulnerability Manager 프로세서의 일부입니다. CIDR 범위를 컨트롤러 스캐너에 지정할 수 있으나 동적 스캐닝을 사용하려면 추가 스캐너를 배치해야 합니다.

3. 스캐너 페이지에서 스캐너를 클릭하십시오.


제한사항: 스캐너의 이름은 편집할 수 없습니다. 스캐너의 이름을 편집하려면관리 > 시스템 및 라이센스 관리 > 배치 조치 > 취약성 배치 관리를 클릭하십시오.

5. CIDR 필드에 CIDR 범위 또는 쉼표로 구분된 여러 CIDR 범위를 입력하십시오.


관련 개념:


관련 태스크:



다른 취약성 스캐너로 CIDR 범위 스캔IBM Security QRadar Vulnerability Manager에서는 다른 취약성 스캐너로 네트워크의 영역을 스캔할 수 있습니다.

시작하기 전에

QRadar Vulnerability Manager 배치의 다른 취약성 스캐너를 사용하도록 네트워크 CIDR 범위를 구성해야 합니다. 자세한 정보는 10 페이지의 『스캐너를QRadar Vulnerability Manager 배치에 추가하는 데 대한 옵션』의 내용을 참조하십시오.




4. 동적 서버 선택 선택란을 클릭하십시오.

관리 > 도메인 관리 창에서 도메인을 구성한 경우, 도메인 목록에서 도메인을 선택할 수 있습니다. 선택한 도메인 내의 자산만 스캔됩니다.

5. 옵션: 더 많은 CIDR 범위를 추가하십시오.


7. 스캔 프로파일 페이지에서 스캔에 지정된 행의 선택란을 클릭한 후 실행을 클릭하십시오.

관련 태스크:


스캔 정책스캔 정책은 특정한 스캐닝 요구사항을 구성할 수 있는 중심적인 위치를 제공합니다.

스캔 정책을 사용하면 스캔 유형, 스캔할 포트, 스캔할 취약성 및 사용할 스캐닝도구를 지정할 수 있습니다. IBM Security QRadar Vulnerability Manager에서 스캔 정책은 스캔 프로파일과 연관되어 취약성 스캔을 제어하는 데 사용됩니다. 스캔 정책을 스캔 프로파일에 연관시키려면 스캔 프로파일 구성 페이지의 세부사항 탭에 있는 스캔 정책 목록을 사용하십시오.

새 스캔 정책을 작성하거나, QRadar Vulnerability Manager와 함께 배포된 사전 구성 정책을 복사하여 수정할 수 있습니다.


사전 구성된 스캔 정책

다음 사전 구성된 스캔 정책은 QRadar Vulnerability Manager와 함께 배포됩니다.

v 전체 스캔v 감지 스캔v 데이터베이스 스캔v 패치 스캔v PCI 스캔v 웹 스캔

각 사전 구성된 스캔 정책에 대한 설명은 스캔 정책 페이지에 표시됩니다.

관련 태스크:

71 페이지의 『사전 구성된 스캔 정책 수정』IBM Security QRadar Vulnerability Manager에서는 사전 구성된 스캔 정책을 복사하고 사용자의 정확한 스캔 요구사항에 맞게 수정할 수 있습니다.

71 페이지의 『스캔 정책 구성』IBM Security QRadar Vulnerability Manager에서는 취약성 스캔에 대한 특정 요구사항을 충족하도록 스캔 정책을 구성할 수 있습니다. 사전 구성된 스캔정책을 복사하여 이름을 바꾸거나 새 스캔 정책을 추가할 수 있습니다. 사전 구성된 스캔 정책은 편집할 수 없습니다.

치명적 취약성에 대비한 스캔 정책 자동 업데이트IBM Security QRadar Vulnerability Manager 일일 자동 업데이트의 일부로 사용자 자산의 zero-day 취약성 발견과 같은 태스크에 대한 새 스캔 정책을 수신합니다.

특정 취약성에 대해 스캔할 스캔 프로파일을 작성하려면 자동 업데이트에 의해전달되는 스캔 정책을 사용하십시오. 사용자 시스템의 모든 스캔 정책을 보려면취약성 탭의 관리 > 스캔 정책으로 이동하십시오.

변경사항이 이후의 업데이트에 의해 겹쳐쓰여질 수 있기 때문에 자동 업데이트에 의해 전달되는 스캔 정책을 편집해서는 안 됩니다. 사본을 작성하고 이를 편집할 수 있습니다.

자동 업데이트에 의해 전달되는 스캔 정책을 삭제할 경우 QRadar 고객 지원에의해서만 복구가 가능합니다.


사전 구성된 스캔 정책 수정IBM Security QRadar Vulnerability Manager에서는 사전 구성된 스캔 정책을복사하고 사용자의 정확한 스캔 요구사항에 맞게 수정할 수 있습니다.



3. 스캔 정책 페이지에서 사전 구성된 스캔 정책을 클릭하십시오.


5. 복사를 클릭하십시오.

6. 스캔 정책 복사 창에서 이름 필드에 새 이름을 입력하고 확인을 클릭하십시오.

7. 스캔 정책의 사본을 클릭하고 도구 모음에서 편집을 클릭하십시오.

8. 설명 필드에 스캔 정책에 대한 새 정보를 입력하십시오.

중요사항: 새 스캔 정책을 수정하는 경우에는 설명에 있는 정보를 업데이트해야 합니다.

9. 스캔 정책을 수정하려면 포트 스캔, 취약성, 도구 그룹 또는 도구 탭을 사용하십시오.

제한사항: 선택하는 스캔 유형에 따라 스캔 정책 창의 모든 탭을 사용하지 못할 수 있습니다.

스캔 정책 구성IBM Security QRadar Vulnerability Manager에서는 취약성 스캔에 대한 특정요구사항을 충족하도록 스캔 정책을 구성할 수 있습니다. 사전 구성된 스캔 정책을 복사하여 이름을 바꾸거나 새 스캔 정책을 추가할 수 있습니다. 사전 구성된스캔 정책은 편집할 수 없습니다.




4. 스캔 정책의 이름 및 설명을 입력하십시오.

스캔 정책을 구성하려면 적어도 새 스캔 정책 창에서 필수 필드(이름 및 설명 필드)는 구성해야 합니다.

5. 스캔 유형 목록에서 스캔 유형을 선택하십시오.

6. 자산 감지 프로세스를 관리 및 최적화하려면 자산 감지 탭을 클릭하십시오.


7. 스캔에 사용되는 포트 및 프로토콜을 관리하려면 포트 스캔 탭을 클릭하십시오.

8. 패치 스캔 정책에 특정 취약성을 포함하려면 취약성 탭을 클릭하십시오.

참고:

취약성 탭은 패치 스캔을 선택할 경우에만 사용 가능합니다.

9. 스캔 정책에서 도구 그룹을 포함 또는 제외하려면 도구 그룹 탭을 클릭하십시오.

참고:

도구 그룹 탭은 신임 정보 없음 또는 전체 스캔 정책을 선택할 경우에만 사용 가능합니다.

10. 스캔 정책에서 도구를 포함 또는 제외하려면 도구 탭을 클릭하십시오.

참고:

도구 탭은 신임 정보 없음 또는 전체 스캔 정책을 선택할 경우에만 사용 가능합니다.

중요사항:

도구 또는 도구 그룹을 수정하지 않고 전체 옵션을 스캔 유형으로 선택한경우 전체 스캔과 연관된 모든 도구 및 도구 그룹이 스캔 정책에 포함됩니다.



제 6 장 False Positive 관리일반적으로 취약성 스캐닝의 False Positive는 스캐너가 필수 정보의 서브셋에만액세스할 수 있는 경우 발생하며, 이는 취약성이 존재하는지를 정확하게 판별할수 없게 합니다.

False Positive의 수를 줄이는 데 도움이 되도록 적절한 신임 정보로 스캐너를 구성해야 합니다. 취약성이 존재하는지 여부를 정확하게 판별할 수 있도록 스캔에는 자산에서 모든 자산 정보 필수 정보에 대한 액세스가 필요합니다.

False Positive가 발생하는 이유는 무엇입니까?

스캐너가 서비스 배너로부터 구성 정보만 읽을 수 있는 경우 False Positive가 발생할 수 있습니다. 예를 들어 Apache 배너를 읽는 스캐너는 버전 2.2.15-39도 설치되어 있고 해당 버전에 백포트된 소프트웨어 수정사항이 포함되어 있더라도HTTP 배너에서 버전 2.2.15만 설치되었음을 발견할 수 있습니다.

다른 예는 스캐너가 배너를 읽고 설치된 SSH의 버전을 발견하지만 패치 레벨 또는 운영 체제를 발견할 수 없는 때입니다. 스캐너가 SSH-2가 설치되어 있음을 발견하되 운영 체제를 판별할 수 없는 경우, 스캐너가 일부 인스턴스에 취약성이 존재하는지 여부를 정확하게 판별할 수 없습니다. 한 자산에서는 취약성이 올바르게 식별될 수 있지만 Red Hat SSH의 SSH 취약성은 다른 Linux 운영 체제에대해 동일하지 않을 수 있으므로 다른 자산에서는 False Positive입니다.

스캐너가 일부 필수 정보를 검색하지 않는 이유

취약성 스캐너가 취약성이 존재하는지 여부를 정확하게 판별하기 위해 항상 필요한 정보에 액세스할 수 있는 것은 아닙니다. 이 제한사항은 일반적으로 False

Positive를 일으킵니다.

스캐너가 인증할 수 없음

스캐너가 엔드포인트에서 인증할 수 없는 경우, 스캐너는 읽고 있는 배너에서 검색된 정보 같은 익명 네트워크 서비스 프로빙으로부터의 제한된 정보에 의존해야 합니다.

배너에는 올바르지 않은 버전 및 이전의 패치 레벨 정보가 포함될 수 있으며, 이로 인해 False Positive가 발생하게 됩니다. 그러나 스캐너가 인증될 수 있으면운영 체제의 전체 버전 및 패치 레벨 정보를 판별할 수 있고 그런 다음 False

Positive 취약성도 억제할 수 있습니다.

배너에 대한 우수 사례


사용자 네트워크에서 취약성 스캐닝을 설정할 경우 배너에 대한 다음 우수 사례를 사용하십시오.

v 해커가 자산에서 실행 중인 애플리케이션 및 서비스에 대한 중대한 정보를 얻은 다음 알려진 취약성을 사용하여 이를 이용할 수 있으므로 배너에 상세하거나 중요한 정보를 포함하지 마십시오.

v 배너에서 익명으로 사용 가능한 정보의 유형을 알아두십시오. 공격받은 것으로 보이는 벡터를 평가하십시오. 이 정보는 네트워크 보안을 평가하고 네트워크 정보를 수집하는 데 유용합니다.

v 자산 세부사항 창 또는 취약성 히스토리 창의 취약성 인스턴스 분할창 같은탭에서 예외로 취약성을 태깅함으로써 배너에서 읽는 취약성 정보에 False

Positive로 플래그를 붙이십시오.

v 스캔 정책에서 이러한 스캔이 시작되지 않도록 할 수 있는 도구를 사용 또는사용 안함으로 설정하여 스캔을 튜닝하십시오.

인증된 Windows 기반 스캔 기술

인증된 Windows 기반 스캐닝은 취약성을 발견하기 위해 다음 두 가지 기술을사용합니다.

v 스캐너가 레지스트리에 대한 액세스를 필요로 하는 레지스트리 스캐닝.

v WMI(Windows Management Instrumentation)가 제대로 구성되어야 하는OVAL 스캐닝.

이러한 두 개의 기술 중 하나가 실패할 경우, 스캔 결과가 False Positive가 될수 있습니다.

스캐너가 레지스트리에 액세스하도록 하려면 원격 레지스트리 서비스를 사용으로설정해야 합니다.

WMI(Windows Management Instrumentation)의 잘못된 구성은 False Positive

를 생성할 수 있습니다.

인증 실패 식별

스캔이 성공적으로 인증되지 않을 경우, 커서를 경고 기호 위로 가져가면 스캔에문제가 발생한 이유를 확인할 수 있습니다. 예를 들면 다음과 같습니다.

The last scan of this asset failedSTATUS_LOGON_FAILURETherefore the vulnerability may not be accurate

다른 경고 메시지의 예에는 SSH logon failure, remote registry service not

started 및 no WMI access 등이 포함됩니다.

관련 개념:


85 페이지의 제 8 장 『Windows 기반 자산에서 스캐닝』QRadar Vulnerability Manager는 레지스트리 스캐닝 및 OVAL(Open

Vulnerability Assessment Language) 스캐닝을 사용하여 Windows기반 자산에서 취약성을 발견합니다. 인증된 스캔을 사용하여 모든 Windows 취약성을발견합니다. 인증되지 않은 스캔은 모든 Windows 취약성을 발견하지 못할 수도 있습니다.

관련 태스크:

87 페이지의 『Windows 운영 체제의 인증된 스캔 구성』IBM Security QRadar Vulnerability Manager에서는 네트워크에 설치된Windows 운영 체제의 스캔을 구성할 수 있습니다. 스캔 프로파일에 있는 신임 정보를 수동으로 지정하거나 신임 정보 세트를 사용할 수 있습니다.

82 페이지의 『Linux 또는 UNIX 패치 스캔에 대한 권한 사용』root가 아닌 사용자 계정은 QRadar Vulnerability Manager가 Linux 및UNIX 컴퓨터에서 패치를 스캔하는 데 필요한 명령을 실행할 수 있는 권한이있어야 합니다.

95 페이지의 『취약성 예외 룰 적용』IBM Security QRadar Vulnerability Manager에서는 중대한 위협이 아니라고판단되는 취약성에 취약성 예외 룰을 수동으로 적용할 수 있습니다.

취약성 스캔 결과 발견 방법취약성 스캔 결과가 인증된 스캔에서 생성되는지 배너의 익명 읽기에서 생성되는지 판별합니다. 배너의 익명 읽기에서 생성된 스캔 결과는 False Positive가 되기가 더 쉽습니다.

취약성 발견 방법을 보려면 자산에 대한 취약성 스캔 결과의 세부사항 컬럼 위에 마우스를 올려 놓으십시오.


2. 탐색 메뉴에서 스캔 결과를 클릭하십시오.

3. 이름 컬럼에서 스캔 프로파일을 두 번 클릭하십시오.

4. 취약성 인스턴스 컬럼에서 임의의 행을 클릭하십시오.

5. 세부사항 컬럼의 결과 위에 마우스를 올려 놓으면 세부사항을 볼 수 있습니다.

예를 들어, 스캐너가 배너를 읽을 때 다음 세부사항이 생성될 수 있습니다.

SERVER: Apache/2.2.15(Red Hat)

제 6 장 False Positive 관리 75

패치 스캔 및 False Positive

패치 스캔에서 발견된 취약성은 Windows KB 업데이트를 제외하고 False Positive

가 되지는 않습니다. 지식 기반 데이터베이스 번호(KB)로 접두어가 붙는 Windows

업데이트는 Windows 인증 스캔의 WMI(Windows Management Instrumen-

tation) 단계가 실패할 경우 False Positive가 될 수 있습니다.

Windows 업데이트는 시간이 지남에 따라 대체됩니다. 예를 들어, 현재 Windows

KB는 원래 취약성 수정사항을 해결한 초기 KB를 대체합니다. 대체는 최신Windows 업데이트의 경우 또는 스캔이 새 업데이트를 알리기 때문에 WMI 또는 OVAL 스캐닝이 성공적인 경우 문제가 아닙니다.

인증된 스캔에서 잠재적인 False Positive 조사때로 인증된 스캔은 스캔 실패로 False Positive를 생성합니다.


취약성을 조사하십시오.



3. 스캔 결과 창에서 취약성 컬럼의 행을 클릭하십시오.

4. 조사할 취약성을 클릭하십시오.

5. 취약성에 대한 패칭 창을 열려면 플러그인 세부사항 링크를 클릭하십시오.

6. 해당 탭을 사용하여 취약성에 대한 OVAL 정의, Windows 지식 기반 데이터베이스 또는 UNIX 자문 정보를 찾으십시오.

v OVAL(Open Vulnerability and Assessment Language) 테스트에서 작성된 취약성의 경우, 적절한 OVAL 탭을 클릭하여 테스트에서 QRadar

Vulnerability Manager가 사용하는 기준을 확인하십시오.

v Windows KB 레지스트리 스캔에서 작성된 취약성의 경우 Windows KB

탭을 클릭하여 QRadar Vulnerability Manager가 취약성과 연관시키는 업데이트(KB)를 확인하십시오.

v 누락된 RPM(RPM Package Manager)으로 인한 취약성의 경우 Unix 탭을 클릭하십시오. 적절한 운영 체제 릴리스에 대해 표시된 패키지 및 개정이 확인됩니다.


제 7 장 인증된 패치 스캔

IBM Security QRadar Vulnerability Manager에서는 커뮤니티 이름을 스캔하고 Windows, Linux 및 UNIX 운영 체제에 대해 인증된 패치 스캔을 실행할 수있습니다.

SNMP 커뮤니티 이름

SNMP 커뮤니티 이름을 사용하여 네트워크 자산을 스캔할 수 있습니다.

SNMP 버전 1 및 2c가 지원됩니다.

자산을 스캔할 때 QRadar Vulnerability Manager는 발견된 SNMP 서비스를 사용하여 인증을 수행하며 보다 자세한 취약성 스캔을 완료합니다.

Windows 패치 스캔

누락된 패치가 있는지 확인하기 위해 Windows 운영 체제를 스캔하려면 원격 레지스트리 액세스 및 WMI(Windows Management Interface)를 사용으로 설정해야 합니다. Windows 패치 스캔에서 WMI 연결 문제를 리턴하는 경우에는Windows 시스템을 구성해야 합니다.

원격 서버에 있는 WMI 데이터를 읽으려면 QRadar 콘솔과 모니터링하는 서버간에 연결을 사용할 수 있게 해야 합니다. 서버에서 Windows 방화벽을 사용하고 있는 경우에는 원격 WMI 요청을 사용할 수 있도록 시스템을 구성해야 합니다.

관리자가 아닌 계정을 사용하여 Windows 서버를 모니터하는 경우, 해당 계정이DCOM(Distributed Component Object Model)과 상호작용할 수 있도록 설정해야 합니다.

패치 스캔 도구가 Windows 자산에 연결할 수 없는 경우, 스캔 결과에서 자산옆에 노란색 삼각형 경고 아이콘이 표시됩니다. 로컬 검사 오류 취약성이 격상됩니다.

보안 Linux 운영 체제 인증된 스캐닝

콘솔 또는 관리 호스트와 스캔 대상 간에 공개 키 암호화를 구성함으로써 보안인증을 사용하여 Linux 운영 체제를 스캔할 수 있습니다.

보안 인증이 구성되면 스캔 프로파일에 Linux 운영 체제 비밀번호를 지정할 필요가 없습니다.


스캔할 모든 Linux 운영 체제에 공개 키 인증을 구성해야 합니다.

취약성 프로세서를 전용 취약성 프로세서 어플라이언스로 이동하는 경우에는 전용 취약성 프로세서 어플라이언스와 스캔 대상 간의 보안 인증을 다시 구성해야합니다.

패치 스캔 도구가 Linux 자산에 연결할 수 없는 경우, 스캔 결과에서 자산 옆에노란색 삼각형 경고 아이콘이 표시됩니다. SSH 패치 스캔 중 - 로그온 실패 취약성이 격상됩니다.

관련 태스크:

79 페이지의 『Linux 운영 체제 공개 키 인증』보안 공개 키 인증을 사용하여 Linux 운영 체제를 스캔하려면 스캔할 IBM

Security QRadar 콘솔 또는 관리 호스트 및 자산을 구성해야 합니다. 인증이구성되면 Linux 운영 체제 사용자 이름을 지정하고 비밀번호는 지정하는 않은상태에서 인증된 스캔을 수행할 수 있습니다. QRadar는 SSH 키 생성에 대하여 rsa 및 dsa를 모두 지원합니다.

81 페이지의 『Linux 또는 UNIX 운영 체제의 인증된 스캔 구성』IBM Security QRadar Vulnerability Manager에서는 네트워크에 있는 Linux

또는 UNIX 운영 체제의 인증 스캔을 구성할 수 있습니다. 스캔 프로파일에 있는 신임 정보를 수동으로 지정하거나 신임 정보 세트를 사용할 수 있습니다.


중앙 신임 정보 세트인증된 스캔을 실행할 때, Linux, UNIX 또는 Windows 운영 체제의 로그인 신임 정보를 저장하는 중심 목록을 사용할 수 있습니다. 시스템 관리자는 신임 정보의 목록을 구성해야 합니다.

관리자는 SNMP 네트워크 디바이스와 Linux, UNIX 또는 Windows 운영 체제에 대한 신임 정보를 지정할 수 있습니다. 따라서 스캔 프로파일을 구성하는 사용자는 스캔된 각 자산의 신임 정보를 알 필요가 없습니다. 또한 자산의 신임 정보가 변경되는 경우에는 스캔 프로파일을 업데이트하는 대신 신임 정보를 중앙집중식으로 수정할 수 있습니다.

관련 태스크:


또는 UNIX 운영 체제의 인증 스캔을 구성할 수 있습니다. 스캔 프로파일에 있


는 신임 정보를 수동으로 지정하거나 신임 정보 세트를 사용할 수 있습니다.


52 페이지의 『벤치마크 프로파일 작성』Center for Internet Security 준수 스캔을 작성하려면 벤치마크 프로파일을 구성해야 합니다. CIS 준수 스캔을 사용하여 Windows 및 Red Hat Enterprise

Linux CIS 벤치마크 준수 여부를 테스트합니다.

신임 정보 세트 구성IBM Security QRadar Vulnerability Manager에서는 네트워크에 있는 자산에대한 신임 정보 세트를 작성할 수 있습니다. 스캔 중에 스캔 도구가 Linux, UNIX

또는 Windows 운영 체제에 대한 신임 정보를 필요로 하는 경우 이러한 신임 정보는 신임 정보 세트에서 스캔 도구로 자동으로 전달됩니다.

프로시저1. 관리 탭을 클릭하십시오.

2. 시스템 구성 분할창에서 중앙 신임 정보를 클릭하십시오.

3. 중앙 신임 정보 창의 도구 모음에서 추가를 클릭하십시오.

신임 정보 세트를 구성할 때 신임 정보 세트 창에서 필수 필드는 이름 필드뿐입니다.

4. 신임 정보 세트 창에서 자산 탭을 클릭하십시오.

5. 신임 정보를 지정할 자산의 CIDR 범위를 입력하고 추가를 클릭하십시오.

사용자는 중앙 신임 정보에서 신임 정보를 사용하거나 작성하는 IP 주소 또는 CIDR 주소 범위에 대해 보안 프로파일에서 권한 부여된 네트워크 액세스 권한이 있어야 합니다.

6. 옵션: Linux/Unix, Windows 또는 네트워크 디바이스(SNMP) 탭을 클릭한후 신임 정보를 입력하십시오.


Linux 운영 체제 공개 키 인증보안 공개 키 인증을 사용하여 Linux 운영 체제를 스캔하려면 스캔할 IBM

Security QRadar 콘솔 또는 관리 호스트 및 자산을 구성해야 합니다. 인증이 구성되면 Linux 운영 체제 사용자 이름을 지정하고 비밀번호는 지정하는 않은 상태에서 인증된 스캔을 수행할 수 있습니다. QRadar는 SSH 키 생성에 대하여 rsa

및 dsa를 모두 지원합니다.

제 7 장 인증된 패치 스캔 79

시작하기 전에

취약성 프로세서가 설치된 디바이스에 공개 키를 구성해야 합니다. 자세한 정보는 10 페이지의 『취약성 프로세서 배치 여부 확인』의 내용을 참조하십시오.

프로시저1. SSH를 사용하여 QRadar 콘솔 또는 관리 호스트에 root 사용자로 로그인하십시오.

2. 다음 명령을 입력하여 공개 DSA 키 쌍을 생성하십시오.

su -m -c 'ssh-keygen -t dsa' qvmuser

3. Enter 키를 눌러 기본 파일을 채택하십시오.

4. Enter 키를 눌러 DSA에 대한 기본 비밀번호 문구를 채택하십시오.

5. 다시 Enter 키를 눌러 확인하십시오.

6. 다음 명령을 입력하여 공개 키를 스캔 대상에 복사하십시오.

ssh-copy-id -i /home/qvmuser/.ssh/id_dsa.pub root@<IP address>

<IP address>는 스캔 대상의 IP 주소로 변경하십시오.

7. 스캔 대상의 비밀번호 문구를 입력하십시오.

8. 다음 명령을 입력하여, 비밀번호 문구 없이도 콘솔의 qvmuser 계정이 스캔 대상에 대해 SSH를 실행할 수 있는지 확인하십시오.

su -m -c 'ssh -o StrictHostKeyChecking=no root@<IP address> ls'

qvmuser

<IP address>는 스캔 대상의 IP 주소로 변경하십시오.

스캔 대상의 root 사용자 홈 디렉토리에 있는 파일의 목록이 표시됩니다.


패스워드를 지정하지 않은 채 root 사용자 이름을 사용하여 QRadar Vulnerability

Manager에서 스캔 프로파일을 작성한 후 패치 스캔을 실행하십시오.

관련 태스크:




Linux 또는 UNIX 운영 체제의 인증된 스캔 구성IBM Security QRadar Vulnerability Manager에서는 네트워크에 있는 Linux


시작하기 전에

신임 정보 목록을 사용하여 스캔하려면 먼저 운영 체제에서 요구하는 신임 정보의 중심 목록을 정의해야 합니다. 자세한 정보는 79 페이지의 『신임 정보 세트구성』의 내용을 참조하십시오.




스캔 프로파일을 작성할 때는 스캔 프로파일 구성 페이지의 세부사항 탭에있는 이름 및 IP 주소 필드만 필수 필드입니다. 인증된 스캔을 구성하려면이 프로시저의 나머지 단계 또한 따라야 합니다.

4. 옵션: Linux 또는 UNIX 운영 체제를 스캔하려면 중앙 신임 정보 사용을클릭하십시오.

신임 정보 세트가 구성되지 않았으며 수동으로 신임 정보를 지정하지 않는경우 스캔 도구는 실행되지만 신임 정보가 전달되지 않습니다.

스캔하는 호스트에 대한 신임 정보 세트가 있는 경우에는 추가 신임 정보탭에 수동으로 지정하는 신임 정보가 사용자의 신임 정보 세트를 대체합니다.

5. 스캔 시점 탭을 클릭하십시오.

6. 실행 스케줄 목록에서 수동을 선택하십시오.

7. 추가 신임 정보 탭을 클릭하십시오.

8. Linux/Unix 패치 스캐닝 영역에서, 스캔할 Linux 또는 UNIX 호스트의 사용자 이름 및 비밀번호를 입력한 후 > 기호를 클릭하십시오.

콘솔과 스캔 대상 간에 보안 공개 키 인증을 구성한 경우에는 비밀번호가필요하지 않습니다.


10. 스캔 프로파일 페이지에서 실행을 클릭하십시오.

관련 개념:



관련 태스크:

79 페이지의 『신임 정보 세트 구성』IBM Security QRadar Vulnerability Manager에서는 네트워크에 있는 자산에대한 신임 정보 세트를 작성할 수 있습니다. 스캔 중에 스캔 도구가 Linux,

UNIX 또는 Windows 운영 체제에 대한 신임 정보를 필요로 하는 경우 이러한 신임 정보는 신임 정보 세트에서 스캔 도구로 자동으로 전달됩니다.

79 페이지의 『Linux 운영 체제 공개 키 인증』보안 공개 키 인증을 사용하여 Linux 운영 체제를 스캔하려면 스캔할 IBM

Security QRadar 콘솔 또는 관리 호스트 및 자산을 구성해야 합니다. 인증이구성되면 Linux 운영 체제 사용자 이름을 지정하고 비밀번호는 지정하는 않은상태에서 인증된 스캔을 수행할 수 있습니다. QRadar는 SSH 키 생성에 대하여 rsa 및 dsa를 모두 지원합니다.

Linux 또는 UNIX 패치 스캔에 대한 권한 사용root가 아닌 사용자 계정은 QRadar Vulnerability Manager가 Linux 및 UNIX

컴퓨터에서 패치를 스캔하는 데 필요한 명령을 실행할 수 있는 권한이 있어야 합니다.


Linux 또는 UNIX 패치 스캐닝에 대한 관련 권한을 지정하려면 다음 프로시저를 사용하십시오.

프로시저1. 자산에 SSH로 접속하십시오.

2. 다음 uname 명령을 실행하십시오.

uname -muname -nuname -suname -runame -vuname -puname -a

3. 운영 체제에 따라 다음 명령을 실행하십시오.


표 9. 운영 체제에서 실행할 명령운영 체제 명령Linux 다음 파일에는 배포에 대한 관련 컨텐츠가 포함되어 있습니다.

/etc/redhat-release

/etc/SuSE-release

/etc/debian-version

/etc/slackware-version

/etc/mandrake-version

/etc/gentoo-version

예를 들어, Red Hat Enterprise Linux에서는 다음 명령을 사용하십시오.

ls /etc/redhat-releasecat/etc/redhat-releaserpm -qa --qf '%{NAME}--%{VERSION}---%{RELEASE}\|%{EPOCH}--%{ARCH}---%{FILENAMES}--%{SIGPGP}---%{SIGGPG}\n'rpm -qa --qf '%{NAME}-%{VERSION}-%{RELEASE}|%{EPOCH}\n'

Solaris /usr/bin/svcs -a/usr/bin/pkginfo -x \| awk '{if ( NR % 2 ) { prev = \$1 }else { print prev\" \"\$0 } }'/usr/bin/showrev -p/usr/sbin/patchadd -p/usr/bin/isainfo -b/usr/bin/isainfo -k/usr/bin/isainfo -n/usr/bin/isainfo -v

HP-UX /usr/sbin/swlist -l fileset -a revision/usr/sbin/swlist -l patch

AIX oslevel -rlslpp -Lc

ESX vmware -vesxupdate query --all. /etc/profile ; /sbin/esxupdate query –all

팁:

우수 사례에서는 이메일 알림이 스캔 결과 처리를 방해할 수 있기 때문에 스캔 사용자 계정에서는 이메일 알림을 끄십시오. 사용자 계정에 대한 이메일알림을 끄는 방법의 세부사항은 운영 체제 문서를 참조하십시오.



제 8 장 Windows 기반 자산에서 스캐닝QRadar Vulnerability Manager는 레지스트리 스캐닝 및 OVAL(Open

Vulnerability Assessment Language) 스캐닝을 사용하여 Windows기반 자산에서 취약성을 발견합니다. 인증된 스캔을 사용하여 모든 Windows 취약성을 발견합니다. 인증되지 않은 스캔은 모든 Windows 취약성을 발견하지 못할 수도 있습니다.

취약성 데이터 업데이트가 QRadar에 표시되는 시기

새로 게시된 취약성은 QRadar Vulnerability Manager 대시보드 및 QRadar의취약성 탭에 있는 조사 섹션에 표시됩니다.

QRadar Vulnerability Manager는 매일 취약성 업데이트를 얻으며, 여기에는 뉴스, 권고, 새로 게시된 취약성 및 연관된 메타데이터, 테스트 데이터 및 새 발견이 포함됩니다.

QRadar Vulnerability Manager 시스템은 일반적으로 발표된 지 2-3일 후에 최신 취약성으로 업데이트됩니다.

사용 가능한 스캐닝 방법의 유형

다음 목록에서는 Windows 기반 자산에서 취약성을 발견하기 위해 사용할 수 있는 스캐닝 방법에 대한 중요 사항을 설명합니다.

인증되거나 인증되지 않은 스캔모든 Windows 기반 취약성을 발견하려면 인증된 스캔을 사용해야 합니다. Windows 기반 취약성을 발견하기 위해 인증되지 않은 스캔을 사용할 경우, 결과가 완전하지 않을 수 있으며 False Positive가 될 수 있습니다.

레지스트리 스캔레지스트리 스캐닝은 Windows 운영 체제에서 취약성을 발견하는 데 사용됩니다.

v QRadar Vulnerability Manager는 원격 레지스트리 서비스 및WMI(Windows Management Instrumentation)를 사용하여 설치된 KB

서비스 팩, 설치된 소프트웨어, 사용 가능한 서비스에 대한 정보를 스캔할 수 있는 엔드포인트로부터 검색하며 이 정보는 취약성 정의와 상관됩니다.

v 각 Windows 취약성 정의에는 게시판, KB, 제품, OS, 서비스 팩 및필수 Windows 서비스가 포함됩니다.


OVAL(Open Vulnerability Assessment Language) 스캔OVAL(Open Vulnerability Assessment Language) 스캐닝은 Windows

운영 체제에서 취약성을 발견하는 데 사용됩니다.

OVAL(Open Vulnerability Assessment Language)은 자산의 취약성 및구성 테스트를 위해 OVAL 테스트를 수행할 때 참조되는 표준입니다. 다음 목록은 취약성 및 OVAL 테스트에 대한 정보를 설명합니다.

v 테스트에는 레지스트리 키, 레지스트리 키 값, .dll 및 .exe 버전, 실행 중인 서비스, 파일의 존재 등의 조합이 포함될 수 있습니다.

v 각 취약성 정의는 시스템이 취약한지 여부를 판별하는 XML 논리식입니다.

v 모든 .exe 및 .dll 버전이 테스트됩니다.

v 취약성에 대한 CVE 링크를 클릭하여 OVAL 테스트 소유 여부를 확인할 수 있습니다. 예를 들면 다음과 같습니다. CVE-2013-3910

(https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-

2013-3910)

v OVAL 테스트 정의는 Oval 웹 사이트(https://oval.cisecurity.org/)

에서 온라인으로 사용 가능합니다.

v OVAL 테스트는 생성된 취약성을 대체할 수 있습니다.

Windows OS 패치 스캔Windows 운영 체제 패치 스캐닝은 누락된 보안 관련 소프트웨어 수정사항 및 업데이트에 대해 대상 컴퓨터에서 정보를 얻는 데 사용되는 인증된 네트워크 기반 메소드입니다.

패치 스캔은 자산이 Windows 또는 UNIX 자산인지 여부를 판별하기 위해 포트 22, 139 및 445의 제한된 Nmap 포트 스캔을 수행합니다. 포트스캔이 NetBIOS 포트 139 또는 445를 감지하는 경우, 이는 이러한 포트가 Windows 기반 자산에서 온 것으로 판단합니다. enum 취약성 도구는 Windows 자산을 스캔하는 데 사용됩니다.

패치 스캔은 방해되지 않으며 활성 취약성 테스트를 수행하지 않습니다.

패치 스캔은 대체된 패치를 자동으로 요소로 포함합니다.

WMI(Windows Management Instrumentation) 및 관리 공유를 구성하지 않고 Windows OS 패치에 대해 컴퓨터를 스캔할 수 있지만 해당 결과는 완전하지 않으며 False Positive가 될 수 있습니다.

Windows 기반 자산 스캐닝에 대한 구성 요구사항

다음 목록에서는 Windows 기반 자산 스캐닝에 대해 구성해야 하는 요구사항을설명합니다.


https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3910

https://oval.cisecurity.org/

v 자산에 대한 원격 레지스트리 액세스를 구성하십시오.

v 자산에 대한 WMI(Windows Management Instrumentation)를 구성하십시오.

v 방화벽을 통해 원격 서버의 WMI 데이터를 읽으려면 Windows 방화벽을 통한 WMI 요청을 허용해야 합니다.

v 관리자가 아닌 계정을 사용하여 Windows 서버를 모니터할 경우, 최소 DCOM

권한을 설정하고 관리자가 아닌 계정에 대해 DCOM 원격 액세스 권한을 부여해야 합니다.

v 자산에 대한 관리 공유를 구성하십시오.

Windows 운영 체제의 인증된 스캔 구성IBM Security QRadar Vulnerability Manager에서는 네트워크에 설치된Windows 운영 체제의 스캔을 구성할 수 있습니다. 스캔 프로파일에 있는 신임정보를 수동으로 지정하거나 신임 정보 세트를 사용할 수 있습니다.

관리 권한 없이 스캐닝을 수행하는 경우 QRadar Vulnerability Manager는Windows 운영 체제에 있는 각 설치에 대해 원격 레지스트리를 스캔합니다.

관리 권한 없이 수행하는 스캔은 불완전하며, False Positive의 가능성이 높고, 많은 써드파티 애플리케이션을 포함하지 않습니다.

시작하기 전에

QRadar Vulnerability Manager는 대부분의 Windows 배치에서 기본적으로 사용으로 설정되어 있는 표준 Windows 운영 체제 원격 액세스 프로토콜을 사용합니다.




스캔 프로파일을 작성할 때는 스캔 프로파일 구성 페이지의 세부사항 탭에있는 이름 및 IP 주소 필드만 필수 필드입니다. Windows 운영 체제의 인증된 스캔을 구성하려면 이 프로시저의 나머지 단계 또한 따라야 합니다.

4. 옵션: Windows 운영 체제를 스캔하려면 중앙 신임 정보 사용을 클릭하십시오.

신임 정보가 필요한 스캔 도구를 실행하려면, 호스트에 대한 신임 정보 세트를 구성하거나 수동으로 신임 정보를 지정해야 합니다.

제 8 장 Windows 기반 자산에서 스캐닝 87

스캔하는 호스트에 대한 신임 정보 세트가 있는 경우에는 추가 신임 정보탭에 수동으로 지정하는 신임 정보가 사용자의 신임 정보 세트를 대체합니다.


6. 실행 스케줄 목록에서 수동을 선택하십시오.

스캔을 나중에 실행하려면 사용 가능한 실행 스케줄 옵션 중 하나를 선택하십시오.

7. 추가 신임 정보 영역을 클릭하십시오.

8. Windows 패치 스캐닝 영역에서, 스캔할 Windows 호스트의 도메인, 사용자 이름 및 비밀번호를 입력하고 (>)를 클릭하십시오.

입력하는 도메인 이름은 인터넷 도메인이 아닌 Windows 도메인입니다.


10. 스캔 프로파일 페이지에서 실행을 클릭하십시오.

관련 개념:


77 페이지의 제 7 장 『인증된 패치 스캔』IBM Security QRadar Vulnerability Manager에서는 커뮤니티 이름을 스캔하고 Windows, Linux 및 UNIX 운영 체제에 대해 인증된 패치 스캔을 실행할수 있습니다.

원격 레지스트리원격 레지스트리 서비스는 사용 가능해야 하며 QRadar Vulnerability Manager

스캐너 어플라이언스와, 스캔 프로파일에서 사용되는 구성된 스캐닝 사용자 둘 모두에서 시작되고 액세스 가능해야 합니다.

원격 레지스트리에 액세스할 수 없는 경우 Windows 패치 스캐닝에 완전히 실패합니다.

QRadar Vulnerability Manager가 원격 레지스트리에 액세스할 수 없는 경우 스캔 결과에 다음과 같은 오류가 기록됩니다.

로컬 검사 오류 – 원격 레지스트리 서비스가 실행 중이 아님

QRadar Vulnerability Manager 버전 7.2.3 이상의 경우 스캔 결과에서 자산 옆에 노란색 삼각형 아이콘이 표시됩니다.


원격 레지스트리 서비스의 상태는 서비스 아래의 관리 제어판에서 검증할 수 있습니다. 다음과 같은 종속 서비스가 시작되었는지 확인하십시오.

v Remote Procedure Call (RPC)

v DCOM Server Process Launcher

v RPC EndPoint Mapper

QRadar Vulnerability Manager는 전형적인 NetBIOS(포트 135, 137, 139) 또는 신규 NetBIOS over TCP(포트 445)를 통해 원격 레지스트리에 액세스할 수있습니다. 이러한 프로토콜 중 하나에 대한 액세스를 차단하는 네트워크 또는 개인 방화벽은 Windows 패치 스캔에 대한 액세스를 방지합니다.

관리자 계정은 기본적으로 원격 레지스트리에 액세스할 수 있습니다. 관리자가 아닌 사용자 계정은 원격 레지스트리에 액세스할 수 없습니다. 액세스를 구성해야합니다.

Windows 운영 체제에 있는 자산에 대한 원격 레지스트리 액세스 사용 설정Windows 기반 시스템을 스캔하려면 레지스트리를 구성해야 합니다.

프로시저1. Windows 기반 시스템에 로그인하십시오.

2. 시작을 클릭하십시오.

3. 프로그램 및 파일 검색 필드에 서비스를 입력하고 Enter를 누르십시오.

4. 서비스 창에서 Remote Registry 서비스를 찾으십시오.

5. Remote Registry 서비스를 마우스 오른쪽 단추로 클릭하고 시작을 클릭하십시오.

6. 서비스 창을 닫으십시오.

최소 원격 레지스트리 권한 지정관리자 계정은 기본적으로 원격 레지스트리에 액세스할 수 있습니다. 관리자가 아닌 사용자 계정은 원격 레지스트리에 액세스할 수 없습니다. 액세스를 구성해야합니다.

프로시저1. 대상 Windows 컴퓨터에서 로컬 또는 글로벌 사용자(예: "QVM_scan_user")를작성하거나 지정하고 읽기 전용 레지스트리 액세스를 관리자가 아닌 사용자계정에 지정하십시오.

2. 관리자 권한을 가진 계정을 사용하여 Windows 컴퓨터에 로그온하십시오.

시작 > 실행을 클릭하십시오.


3. regedit를 입력하십시오.


5. 다음 키로 이동하십시오.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

SecurePipeServers \winreg

이 레지스트리 키와 연관되는 권한은 네트워크에서 원격으로 레지스트리에 액세스할 수 있는 사용자 또는 그룹을 제어합니다.

6. winreg 키를 강조표시하고 다음 단계 중 하나를 수행하십시오.

v Windows XP 이상에서 편집 > 권한을 클릭하십시오.

v Windows 2000에서 보안 > 권한을 클릭하십시오.

7. 지정된 "QVM_scan_user" 계정에 대한 읽기 전용 액세스 권한을 부여하십시오.

Windows XP에서 ForceGuest 설정은 작업 그룹 모드에 있을 때 기본적으로사용 가능합니다. 이 설정으로 인해 WMI 연결 및 공유 액세스, 기타 DCOM

서비스 및 RPC 서비스 대한 액세스 문제점이 발생할 수 있습니다. Windows

XP Home 컴퓨터의 ForceGuest 설정은 사용 안함으로 설정할 수 없습니다.

WMI 구성QRadar Vulnerability Manager는 스캔되는 대상 자산에 설치된 .exe 및 .dll 파일의 버전을 찾아서 식별하기 위해 WMI(Windows Management Instrumen-

tation)를 사용합니다.


WMI(Windows Management Instrumentation)에서 제공하는 정보가 없으면 많은 써드파티 애플리케이션이 누락됩니다. 원격 레지스트리 서비스를 사용하여 레지스트리 스캐닝 중에 발견되는 False Positive는 QRadar Vulnerability Manager

에서 식별하거나 제거할 수 없습니다.

WMI는 모든 최신 Windows 운영 체제(예: Windows Vista, Windows 2008,

Windows 2012, Windows 7, Windows 8 및 Windows 8.1)에 설치되어 있습니다.

스캐닝 사용자는 스캔되는 자산에 대한 Μ격 WMI 요청을 사용하고 액세스할 수있어야 합니다. WMI가 사용 불가능한 경우, 다음과 같은 오류가 스캔 결과에 보고됩니다.

로컬 검사 오류 – WMI serviceMount 원격 파일 시스템을 조회할 수 없음


QRadar Vulnerability Manager 버전 7.2.3 이상의 경우 스캔 결과에서 자산 옆에 노란색 삼각형 경고 아이콘이 표시됩니다.

원격 서버에 있는 WMI 데이터를 읽으려면 모니터링 소프트웨어가 설치된 관리컴퓨터에서 모니터링하는 서버로 연결해야 합니다. 대상 서버가 Windows XP 및Windows 2003 컴퓨터에 설치되어 있는 Windows 방화벽(인터넷 연결 방화벽이리고도 함)을 실행 중인 경우, 원격 WMI 요청을 허용하도록 방화벽을 구성해야 합니다.원격 WMI 요청을 허용하도록 Windows 방화벽을 구성하려면 쉘 프롬프트를 열고 다음 명령을 입력하십시오.

netsh firewall set service RemoteAdmin enable

패치 스캔에 실패하는 경우 다음 단계를 수행하십시오.

프로시저1. 대상 서버에서 제어판 > 관리 도구 > 컴퓨터 관리로 이동하십시오.

2. 서비스 및 애플리케이션을 확장하십시오.

3. WMI 제어를 마우스 오른쪽 단추로 클릭하고 특성을 클릭하십시오.

4. 보안 탭을 클릭하십시오.

5. 보안을 클릭하십시오.

6. 옵션: 필요한 경우, 모니터링 사용자를 추가하고 WMI 데이터를 요청하는 사용자 또는 그룹의 원격 사용 선택란을 클릭하십시오. 모니터링 사용자 또는그룹을 추가하려면 다음 작업을 수행하십시오.

a. 추가를 클릭하십시오.

b. 선택할 오브젝트 이름 입력 필드에 그룹 또는 사용자 이름을 입력하십시오.

c. 확인을 클릭하십시오.

7. 고급을 클릭하고 루트 및 서브 네임스페이스에 적용하십시오.

참고: 경우에 따라서 Windows 방화벽 및 DCOM 설정을 구성해야 할 수도있습니다.

WMI 문제가 발생하는 경우에는 Microsoft 웹 사이트에서 WMI 관리 도구를 설치할 수 있습니다. 이 도구에는 원격 시스템에 연결하고 WMI 정보를찾아보는 데 도움을 주는 WMI 브라우저가 포함되어 있습니다. 이러한 도구는 더 직접적이고 단순한 환경으로 연결 문제를 격리하는 데 도움을 줍니다.

최소 DCOM 권한 설정WMI를 사용하여 원격 컴퓨터에 연결하려면 연결에 올바른 DCOM 설정 및 WMI

네임스페이스 보안 설정을 사용하는지 확인해야 합니다.



사용자 또는 그룹에 대한 DCOM 원격 실행 및 활성화 권한을 부여하려면 다음단계를 수행하십시오.

프로시저1. 시작 > 실행을 클릭하고 DCOMCNFG를 입력한 다음 확인을 클릭하십시오.

2. 구성요소 서비스 대화 상자에서 구성요소 서비스를 확장하고 컴퓨터를 확장한 다음 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 특성을 클릭하십시오.

3. 내 컴퓨터 특성 대화 상자에서 COM 보안 탭을 클릭하십시오.

4. 실행 및 활성화 권한 아래에서 한계 편집을 클릭하십시오.

5. 실행 권한 대화 상자에서 사용자의 이름 또는 그룹이 그룹 또는 사용자 이름목록에 나타나지 않으면 다음 단계를 수행하십시오.

a. 실행 권한 대화 상자에서 추가를 클릭하십시오.

b. 사용자, 컴퓨터 또는 그룹 선택 대화 상자의 선택할 오브젝트 이름 입력상자에 사용자의 이름 및 그룹을 추가한 다음 확인을 클릭하십시오.

6. 실행 권한 대화 상자의 그룹 또는 사용자 이름 상자에서 사용자 및 그룹을선택하십시오.

7. 사용자에 대한 권한 아래의 허용 컬럼에서 원격 실행을 선택하고 원격 활성화를 선택한 다음 확인을 클릭하십시오.

DCOM 원격 액세스 권한 설정특정 사용자 및 그룹에 대한 DCOM 원격 액세스 권한을 설정해야 합니다.


컴퓨터 A가 컴퓨터 B에 원격으로 연결된 경우, 컴퓨터 B에서 원격 액세스 권한을 설정하면 컴퓨터 B의 관리자 그룹의 구성원이 아닌 사용자나 그룹을 컴퓨터B에 원격으로 연결할 수 있습니다.

프로시저1. 시작 > 실행을 클릭하고 DCOMCNFG를 입력한 다음 확인을 클릭하십시오.

2. 구성요소 서비스 대화 상자에서 구성요소 서비스를 확장하고 컴퓨터를 확장한 다음 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 특성을 클릭하십시오.

3. 내 컴퓨터 특성 대화 상자에서 COM 보안 탭을 클릭하십시오.

4. 액세스 권한 섹션에서 한계 편집을 클릭하십시오.

5. 원격 액세스 권한을 가지도록 다음 사용자 또는 그룹 중 하나를 구성하십시오.


v 액세스 권한 대화 상자에서 그룹 또는 사용자 이름 상자에서 익명 로그온이름을 선택하십시오. 익명 로그온에 대한 권한 영역에서 원격 액세스에대해 허용 선택란을 선택한 후 확인을 클릭하십시오.

v 액세스 권한 대화 상자의 그룹 또는 사용자 이름 상자에서 모두 이름을 선택하십시오. 모든 사용자에 대한 권한 영역에서 원격 액세스에 대해 허용선택란을 선택한 후 확인을 클릭하십시오.

v 액세스 권한 대화 상자의 그룹 또는 사용자 이름 상자에서 <QVM 스캔사용자> 이름을 선택하십시오. <QVM 스캔 사용자에 대한 권한> 영역에서 원격 액세스에 대해 허용 선택란을 선택한 후 확인을 클릭하십시오.

참고: <QVM 스캔 사용자> 사용자 계정을 사용하려는 경우, DCOM 원격액세스 권한을 부여하기 전에 해당 사용자 계정을 작성해야 합니다. 또한 이사용자에 대해 WMI 액세스도 구성(6단계)해야 합니다.

관리 공유모든 Windows 컴퓨터에서 관리 공유 \\machinename\driveletter$는 특히 도메인의 일부일 때 사용 가능합니다.

QRadar Vulnerability Manager는 관리 공유를 사용하여 다음과 같은 제한된 애플리케이션 세트의 취약성을 발견합니다.

v Mozilla Firefox

v Mozilla Thunderbird

v Java FX

v Apache Archiva

v Apache Continuum

v Google ChromePreferences

관리 공유는 관리자가 아닌 사용자에게 표시되지 않으므로, 일부 조직에서는 관리 공유를 사용하지 않거나 관리자가 아닌 사용자 계정을 사용하여 스캔합니다.

관리 공유에 액세스할 수 없는 경우 QRadar Vulnerability Manager가 계속 앞목록의 제품에서 취약성을 누락시키거나 False Positive를 생성할 수 있습니다. 일반적으로 QRadar Vulnerability Manager 취약성 테스트에서는 레지스트리 스캔 및 WMI를 사용하며, 최후의 수단으로만 관리 공유를 사용합니다.

관리 공유 사용Windows Vista 이상에서 관리 공유는 "workgroup" 모드에 있을 때 기본적으로 사용 불가능합니다.



다음 단계를 사용하여 관리 공유를 사용으로 설정하십시오.

프로시저1. 시작 > 실행을 클릭하고 regedit를 입력하십시오.

2. 다음 키로 이동하십시오. HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Policies\System

3. WMI 제어를 마우스 오른쪽 단추로 클릭하고 특성을 클릭하십시오.

4. LocalAccountTokenFilterPolicy라는 새 DWORD를 추가하십시오.

5. 값을 1로 설정하십시오.

관리 공유 사용 안함일부 조직은 관리 공유를 사용하지 않으려고 합니다. 하지만 원격 레지스트리 서비스를 사용으로 설정하면, 서버 서비스가 시작되고 관리 공유가 활성화됩니다.


관리 공유를 사용 안함으로 설정하려면 다음 레지스트리 키를 수정하십시오.

프로시저1. 시작 > 실행을 클릭하고 regedit를 입력하십시오.

2. 다음 키로 이동하십시오. HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Services\LanManServer\

3. AutoShareWks 매개변수를 0으로 설정하십시오.

참고: 이 조치는 IPC$ 공유를 사용 안함으로 설정합니다. 이 공유가 파일에직접 액세스하는 데 사용되지는 않지만, 이 공유에 대한 익명 액세스가 사용안함으로 설정되어 있는지 확인하십시오. 또는 다음 명령을 사용하여 시작 시삭제하는 방법으로 IPC$ 공유를 완전히 제거할 수 있습니다.

net share IPC$ /delete

이 방법을 사용하여 C$ 및 D$ 공유도 제거하십시오.


제 9 장 취약성 예외 룰

IBM Security QRadar Vulnerability Manager에서는 False Positive 취약성의수를 최소화하기 위해 예외 룰을 구성할 수 있습니다.

예외 룰을 취약성에 적용하면 검색 결과에 표시되는 취약성의 수가 줄어듭니다.

취약성 예외를 작성하는 경우 해당 취약성은 QRadar Vulnerability Manager에서 제거되지 않습니다.

예외 룰 보기

취약성 예외를 표시하기 위해, 검색 필터를 사용하여 취약성 데이터를 검색할 수있습니다.

예외 룰을 보려면 취약성 탭을 클릭한 후 탐색 분할창에서 취약성 예외를 클릭하십시오.

관련 태스크:

119 페이지의 『False Positive 취약성의 수 감소시키기』IBM Security QRadar Vulnerability Manager에서는 특정 유형의 서버와 연관된 취약성에 대해 자동으로 예외 룰을 작성할 수 있습니다.

취약성 예외 룰 적용IBM Security QRadar Vulnerability Manager에서는 중대한 위협이 아니라고판단되는 취약성에 취약성 예외 룰을 수동으로 적용할 수 있습니다.

예외 룰을 적용하는 경우 해당 취약성은 더 이상 QRadar Vulnerability Manager

검색 결과에 표시되지 않습니다. 그러나 이 취약성이 QRadar Vulnerability

Manager에서 제거되지는 않습니다.


2. 탐색 분할창에서 취약성 관리 > 네트워크별을 클릭하십시오.

3. 옵션: 취약성 데이터를 검색하십시오. 도구 모음에서 검색 > 새 검색을 클릭하십시오.

4. 취약성 인스턴스 컬럼 링크를 클릭하십시오.

5. 예외 룰 작성의 대상으로 삼을 취약성을 선택하십시오.

6. 도구 모음에서 조치 > 예외를 선택하십시오.


7. 예외 룰 필드에서 만료 옵션을 선택하십시오.

8. 예외 이유를 제공하려면 이유 목록에서 이유를 선택하십시오.

9. 자산 필드에서 다음 옵션 중에서 선택하여 예외 룰에 대한 대상 자산을 선택하십시오.

v 모든 자산에 예외를 적용하려면 모든 자산에 대한 예외 취약성을 선택하십시오.

v 특정 자산에 예외를 적용하려면 현재 IP의 특정 자산에 대한 예외를 선택하십시오.

기본적으로 5단계에서 선택한 취약성과 연관된 자산이 선택됩니다.

v 특정 IP 주소, CIDR 또는 네트워크에 예외를 적용하려면 상세 정보를 입력한 후, 도메인을 선택하고, 추가를 클릭하십시오.

네트워크 계층 구조에서 특정 네트워크를 선택하는 경우 해당 네트워크의 IP 주소에만 예외가 적용됩니다. 예를 들어, 네트워크 계층 구조의 두네트워크에 IP 주소가 지정된 경우 예외로 지정하지 않는 한, 두 번째 네트워크에서 동일한 IP 주소에 예외가 적용되지 않습니다.

10. 참고 필드의 주석텍스트 상자에 주석을 입력하십시오.

11. 저장 또는 취소를 클릭하십시오.

관련 개념:

73 페이지의 제 6 장 『False Positive 관리』일반적으로 취약성 스캐닝의 False Positive는 스캐너가 필수 정보의 서브셋에만 액세스할 수 있는 경우 발생하며, 이는 취약성이 존재하는지를 정확하게 판별할 수 없게 합니다.

관련 태스크:


취약성 예외 룰 관리취약성에 대한 새 정보를 수신하는 경우에는 기존 취약성 예외 룰을 업데이트하거나 제거할 수 있습니다.


2. 탐색 분할창에서 취약성 예외를 클릭하십시오.

3. 관리할 취약성을 클릭하십시오.



중요사항: 취약성 예외 룰을 삭제하는 경우에는 경고가 표시되지 않습니다. 취약성은 즉시 삭제됩니다.


취약성 예외 검색IBM Security QRadar Vulnerability Manager에서는 취약성 예외를 표시하기위해 취약성 데이터를 검색하고 검색 결과를 필터링할 수 있습니다.


2. 탐색 분할창에서 취약성 관리 > 자산별을 선택하십시오.

3. 도구 모음에서 검색 > 새 검색을 선택하십시오.

4. 취약성 예외를 포함하도록 취약성 데이터를 필터링하려면 검색 매개변수 분할창에서 다음 옵션 중 하나를 선택하십시오.

v 취약성 예외 포함

예외 룰이 적용된 취약성을 포함, 모든 취약성을 포함합니다.

v 취약성 예외만 포함

예외 룰이 적용된 취약성만 표시합니다.

5. 필터 추가를 클릭하십시오.

6. Search를 클릭하십시오.

제 9 장 취약성 예외 룰 97


제 10 장 스캔 조사

IBM Security QRadar Vulnerability Manager에서는 각 스캔의 요약 자산 및취약성 데이터를 조사할 수 있습니다.

취약성 스캔을 조사하려면 다음 태스크를 수행하십시오.

v 복합적 취약성 검색 기준을 빌드하고 저장합니다.

v 네트워크, 자산 및 취약성 레벨에서 악용 위험 레벨을 조사합니다.

v 취약성 개선 프로세스의 우선순위를 지정합니다.

스캔 결과

스캔 결과 페이지를 사용하여 다음 정보를 조사할 수 있습니다.

v 스캔의 진행상태와 큐에 삽입되어 실행 중인 스캐닝 도구.

v 스캔의 상태. 예를 들면, 중지됨 상태의 스캔은 스캔이 완료되었거나 취소되었음을 나타냅니다.

v 완료된 각 스캔 프로파일과 연관된 위험의 정도. 점수 컬럼은 완료된 스캔 프로파일의 CVSS(Common Vulnerability Scoring System) 점수를 표시합니다.

CVSS 기본 및 임시 점수는 이 점수의 계산에 포함되지만, CVSS 환경 점수는 이 계산에 포함되지 않습니다. CVSS 환경 점수는 취약성 관리 창에서 볼수 있는 위험 점수 컬럼에 통합됩니다.

v 스캔으로 찾은 자산의 총계.

v 완료된 스캔 프로파일에 의해 감지된 취약성의 총계.

v 완료된 스캔 프로파일에 의해 감지된 공개 서비스의 총계.

취약성 수

스캔 결과 페이지에는 취약성 및 취약성 인스턴스가 표시됩니다.

v 취약성 컬럼은 스캔된 모든 자산에서 감지된 고유 취약성의 총계를 표시합니다.

v 여러 자산을 스캔하는 경우에는 서로 다른 자산에 같은 취약성이 있을 수 있습니다. 따라서 취약성 인스턴스 컬럼은 스캔된 모든 자산에서 감지된 취약성의 총계를 표시합니다.

스캔 결과 검색IBM Security QRadar Vulnerability Manager에서는 스캔 결과를 검색하고 필터링할 수 있습니다.


예를 들면, 최신 스캔, 특정 IP 주소에 대한 스캔 또는 특정 취약성을 식별한 스캔을 식별할 수 있습니다.


스캔 프로파일 이름별로 결과를 검색하려면 취약성 탭의 이름 필드를 사용하십시오. 검색에서 추가적인 고급 기준을 사용하려면 다음을 실행하십시오.

도메인 레벨 제한사항은 보안 프로파일이 연관된 도메인에서 업데이트될 때까지적용되지 않으며, 변경사항이 배치됩니다.


2. 탐색 분할창에서 스캔 결과를 클릭하십시오.


스캔 결과를 검색할 때는 필수 필드가 없습니다. 모든 매개변수는 선택적입니다.

4. 최근 며칠 내에 완료한 스캔의 스캔 결과를 표시하려면 최근 며칠 내에 실행한 스캔 필드에 값을 입력하십시오.

5. 특정 취약성에 대한 스캔 결과를 표시하려면 취약성 포함 필드에 있는 찾아보기를 클릭하십시오.

6. 스케줄된 스캔의 스캔 결과만 표시하려면 요청 시 스캔 제외를 클릭하십시오.


관련 개념:

56 페이지의 『스캔 스케줄링』IBM Security QRadar Vulnerability Manager에서는 알려진 취약성에 대해네트워크 자산을 스캔하기 위한 날짜 및 시간을 스케줄할 수 있습니다.

자산 검색에 컬럼 표제 포함사용자 정의 자산 프로파일, 이름, 취약성 수 및 위험 점수를 포함하는 필터를 사용하여 자산 검색을 제한하십시오.



3. 컬럼 이름을 포함하는 필드의 왼쪽에서, 검색에 포함시키려는 컬럼 표제를 클릭하고 화살표 단추를 클릭하여 선택한 표제를 오른쪽으로 이동하십시오.


4. 위로 단추 및 아래로 단추를 클릭하여 선택한 컬럼 표제의 우선순위를 변경하십시오.

5. 검색하려는 모든 컬럼 표제가 오른쪽의 필드에 포함되어 있으면 검색을 클릭하십시오.

스캔 결과 관리IBM Security QRadar Vulnerability Manager에서는 스캔 결과 페이지에서 스캔 결과 및 실행 중인 스캔을 관리할 수 있습니다.


2. 탐색 분할창에서 스캔 결과를 클릭하십시오.

3. 옵션: 완료된 스캔을 다시 실행하려는 경우, 스캔에 지정된 행의 선택란을 선택한 후 실행을 클릭하십시오.

완료된 스캔의 상태는 중지됨입니다.

4. 옵션: 완료된 스캔의 결과를 삭제하려면 다음 작업을 수행하십시오.

a. 스캔 결과 페이지에서, 삭제하려는 스캔 결과에 지정된 행의 선택란을 선택하십시오.

b. 도구 모음에서 삭제를 클릭하십시오.

스캔 결과 세트를 삭제하는 경우에는 경고가 표시되지 않습니다. 스캔 결과는 즉시 삭제됩니다.

알아두기: 스캔 결과 세트를 삭제할 때 QRadar 자산 모델 또는 스캔 프로파일에 있는 스캔 데이터는 삭제되지 않습니다.

5. 옵션: 실행 중인 스캔을 취소하려면 다음 작업을 수행하십시오.

a. 스캔 결과 페이지에서, 취소하려는 스캔에 지정된 행의 선택란을 선택하십시오.

b. 도구 모음에서 취소를 클릭하십시오.

상태가 실행 중 또는 일시정지됨인 스캔을 취소할 수 있습니다. 스캔을취소하면 스캔의 상태가 중지됨이 됩니다.

스캔 결과 재게시자산 모델이 완료된 스캔의 결과로 자동으로 업데이트되지 않는 경우, 스캔 결과페이지에서 이를 수동으로 재게시할 수 있습니다.

제 10 장 스캔 조사 101


스캔 프로파일 구성 시에 자산 모델 업데이트 선택란을 선택하지 않은 경우, 스캔 결과가 자산 모델에 자동으로 게시되지 않습니다. 해당 프로파일에 대한 스캔결과로 자산 모델을 수동으로 업데이트할 수 있습니다.

프로시저1. 취약성 > 스캔 결과로 이동하십시오.

2. 재게시하려는 스캔 결과에 지정된 행의 선택란을 클릭하십시오.

3. 스캔 결과 페이지 도구 모음에서 재게시를 클릭한 후 확인을 클릭하십시오.

유형 컬럼의 빨간색 경고 아이콘은 자산 모델이 선택된 스캔 결과로 업데이트되지 않았음을 의미합니다. 재게시 프로세스가 완료되면 빨간색 경고 아이콘이 사라집니다.

4. 유형 컬럼 위로 마우스 포인터를 움직이면 선택된 스캔 결과에 대한 자산 모델이 업데이트되었다는 확인이 도구 팁에 표시됩니다.

참고: 다수의 스캔 결과를 동시에 재게시할 수 있습니다. 그러나 동일한 프로파일의 스캔 결과 두 세트를 재게시할 경우, 자산 모델은 최신 스캔 결과세트로만 업데이트됩니다.

스캔 프로파일 구성 페이지의 이메일 탭에서 자동 보고서 생성을 구성한 경우, 스캔 결과를 재게시하면 보고서가 생성되고 구성한 이메일 주소로 보내집니다.

자산 위험 레벨 및 취약성 카테고리IBM Security QRadar Vulnerability Manager의 스캔 결과 자산 페이지에서는스캔된 자산의 악용 위험 레벨을 조사할 수 있습니다.

스캔 결과 자산 페이지는 스캔 프로파일을 실행하여 스캔한 각 자산의 위험 및취약성 요약을 제공합니다.

위험 점수

네트워크에서 발견된 각 취약성에는 CVSS(Common Vulnerability Scoring

System) 기본 점수를 사용하여 계산된 위험 점수가 있습니다. 높은 위험 점수는취약성 악용 가능성이 높음을 나타냅니다.

스캔 결과 자산 페이지에서 점수 컬럼은 한 자산에 대한 각 취약성의 누적된 위험 점수입니다. 합산된 값은 각 자산과 연관된 위험의 수준을 나타냅니다.


취약성 악용 위험이 가장 큰 자산을 빠르게 식별하려면 점수 컬럼 표제를 클릭하여 위험 레벨에 따라 자산을 정렬하십시오.

취약성 수 및 카테고리

스캔 결과 자산 페이지는 스캔된 모든 자산에서 감지된 취약성과 공개 서비스의총계를 표시합니다.

취약성이 가장 많은 자산을 식별하려면 취약성 인스턴스 컬럼 표제를 클릭하여자산의 순서를 지정하십시오.

높음, 중간, 낮음 및 경고 컬럼은 모든 취약성을 각자의 위험에 따라 그룹화합니다.

정책 확인 성공 % 및 정책 확인 실패 % 컬럼은 벤치마크 스캔에서 해당 자산이성공 또는 실패한 정책 확인의 백분율을 표시합니다. 스캔 결과 정책 확인 페이지에서 성공 또는 실패한 정책 확인에 대한 자세한 정보를 확인하려면 이러한 컬럼의 값을 클릭하십시오.

자산, 취약성 및 공개 서비스 데이터IBM Security QRadar Vulnerability Manager의 스캔 결과 자산 세부사항 페이지는 자산, 취약성 및 공개 서비스 데이터를 표시합니다.

도구 모음의 옵션을 사용하면 취약성 보기와 공개 서비스 보기를 서로 전환할 수있습니다.

스캔 결과 자산 세부사항 페이지는 다음 정보를 제공합니다.

v 운영 체제 및 네트워크 그룹을 포함, 스캔한 자산에 대한 요약 정보v 스캔한 자산에서 감지된 취약성 또는 공개 서비스의 목록v 위험, 심각도 및 점수와 같이 취약성 또는 공개 서비스의 목록을 분류하고 순서를 지정하는 다양한 방법

v 공개 서비스 또는 취약성 정보를 보는 빠른 방법. 도구 모음에서 취약성 또는공개 서비스를 클릭하십시오.

v 스캔한 자산에 대한 자세한 정보를 보는 쉬운 방법. 도구 모음에서 자산 세부사항을 클릭하십시오.

v 취약성 예외를 작성하는 다른 방법. 도구 모음에서 조치 > 예외를 클릭하십시오.

주의 아이콘은 스캔이 실패했음을 표시합니다. 추가 세부사항을 보려면 아이콘 위로 마우스를 이동하십시오.

자산 세부사항 창에 대한 자세한 정보는 제품의 사용자 안내서를 참조하십시오.

제 10 장 스캔 조사 103

관련 개념:

95 페이지의 제 9 장 『취약성 예외 룰』IBM Security QRadar Vulnerability Manager에서는 False Positive 취약성의 수를 최소화하기 위해 예외 룰을 구성할 수 있습니다.

자산 패치 다운로드의 상태 보기자산에 보류 중인 패치 다운로드가 있는지 여부를 봅니다. 보류 중인 다운로드가없는 경우 자산의 모든 패치가 사용 가능합니다.

프로시저1. 패치 상태를 확인할 자산을 검색하십시오.

2. 자산 IP 주소를 클릭하여 자산 세부사항 창을 여십시오.

3. 세부사항 > 특성을 클릭하여 자산 특성 창을 여십시오.

4. Windows 패치 화살표를 클릭하십시오.

5. 보류 컬럼에서 패치 상태를 보십시오.

v True - 자산에 다운로드할 보류 중인 패치가 있습니다.

v False - 자산에 보류 중인 패치 다운로드가 없습니다.

취약성 위험 및 PCI 심각도IBM Security QRadar Vulnerability Manager에서는 스캔에서 발견되는 각 취약성의 위험 및 PCI(Payment Card Industry) 심각도를 검토할 수 있습니다.

다음 정보를 검토할 수 있습니다.

v 각 취약성과 연관된 위험 레벨v 네트워크에서 특정 취약성이 발견된 자산의 수

취약성 컬럼에 있는 취약성 링크를 클릭하여 취약성을 조사할 수 있습니다.

스캔 실행 문제점 해결로그, 오류, 경고 메시지를 검사하여 네트워크에서 스캐닝 문제를 해결합니다.

스캔된 호스트에서 느린 응답 시간

스캔하는 자산 가까이 QRadar Vulnerability Manager 스캐닝 어플라이언스를배치하십시오. traceroute와 같은 명령을 사용하여 50ms 이내에 패킷이 자산에도달하도록 보장하십시오. 그렇지 않으면 스캔 시간이 오래 걸릴 수 있습니다.


스캔 도구 상태 확인

스캔이 너무 오랫동안 실행 중인 경우 실행 중인 도구를 알고 싶으면 스캔 결과페이지에서 스캔 진행 상황 백분율에 커서를 놓습니다. 그러면 활성 도구를 표시하는 팝업 창이 표시됩니다.

패치 스캔이 Linux 자산에 연결되지 않음

패치 스캔 도구가 Linux 자산에 연결되지 않는 경우 스캔 결과에서 자산 옆에노란색 삼각형 경고 아이콘이 표시됩니다.

SSH 패치 스캔 중 - 로그온 실패 오류 메시지가 나타날 수 있습니다.

사용자 이름 및 비밀번호 유효성을 검증하십시오. 공개 키 암호화를 사용하는 경우 공개 키를 검사하십시오.

콘솔 또는 관리 호스트와 스캔 대상 간에 공개 키 암호화를 구성함으로써 보안인증을 사용하여 Linux 운영 체제를 스캔하십시오. root가 아닌 사용자 계정은QRadar Vulnerability Manager가 Linux 및 UNIX 컴퓨터에서 패치를 스캔하는 데 필요한 명령을 실행할 수 있는 권한이 있어야 합니다.자세한 정보는 77 페이지의 제 7 장 『인증된 패치 스캔』의 내용을 참조하십시오.

로컬 검사 오류

패치 스캔 도구가 Windows 자산에 연결할 수 없는 경우, 스캔 결과에서 자산옆에 노란색 삼각형 경고 아이콘이 표시됩니다.

로컬 검사 오류 오류 메시지가 나타날 수 있습니다. 이는 인증된 스캔에 실패했음을 의미합니다.

스캔 프로파일 또는 중앙화된 신임 정보에서 신임 정보를 구성할 수 있습니다. 스캐너가 Windows 기반 호스트를 스캔하는 경우 올바르게 구성해야 하는 다음과같은 3개의 Windows 서비스가 있습니다.

v 원격 레지스트리v WMI(Windows Management Instrumentation)

v 관리 공유

자세한 정보는 85 페이지의 제 8 장 『Windows 기반 자산에서 스캐닝』의 내용을 참조하십시오.

서로 다른 KB에 대해 동일한 취약성 제목

게시판의 KB가 향후 게시판에서 KB로 대체되는 경우 취약성 제목은 변경되지 않습니다.

제 10 장 스캔 조사 105

정지된 스캔

스캔이 정지되었거나 스캔이 불규칙한 경우 권한이 부여된 사용자는 스캐너에 로그온하고 스캔 프로세서와의 연결성을 검증할 수 있습니다. QRadar Vulnerability

Manager 오류 로그에서 연결 오류가 있는지 확인하십시오.

UDP 포트 스캔이 오래 걸림

모든 UDP 포트를 스캔하도록 스캔 정책이 구성된 경우 특히 대상 호스트에 닫힌 UDP 포트가 여러 개 있으면 스캔을 완료하는 데 더 오래 걸릴 수 있습니다.

PCI 준수 스캔의 경우 모든 UDP 포트를 스캔하지 않아도 됩니다. 자세한 정보는 35 페이지의 『스캔 지속 기간 및 포트 스캐닝』의 내용을 참조하십시오.

취약성 스캔 시작 및 중지 시 자산 소유자에게 이메일 전송구성된 자산 기술 소유자에게 이메일을 전송하여 스캔 스케줄에 대해 경보합니다. 또한 자산 소유자에게 보고서를 이메일로 보낼 수도 있습니다.

시작하기 전에

자산에 대한 시스템 메일 서버 및 기술 소유자를 구성하십시오. 자세한 정보는IBM Security QRadar 관리 안내서를 참조하십시오.


2. 관리 > 스캔 프로파일을 클릭하십시오.

3. 편집하려는 스캔에 지정된 행에서 선택란을 선택한 후 도구 모음에서 편집을클릭하십시오.

4. 이메일 탭의 이메일 내용 영역에서 적절한 선택란을 선택하십시오.

5. 보고서 선택란을 선택한 경우, 사용 가능한 보고서 필드에서 이메일로 보낼보고서를 선택한 후 화살표를 클릭하여 보고서를 선택된 보고서 필드로 이동하십시오.

보고서는 광범위할 수 있습니다. 보낸 보고서가 수신자의 이메일 제공자에 의해 거부되지 않았는지 확인하십시오.

6. 이메일 대상 영역에서 이메일을 받을 수신자를 선택하십시오.

v 스캔된 자산에 대해 구성된 기술 소유자에게 이메일을 보내려면 기술 소유자 선택란을 선택하십시오. 기술 소유자는 해당 자산에 대한 이메일만수신합니다.

v 필드에서 이메일 주소를 입력하거나 선택하려면 수신인 주소 선택란을 선택하십시오. 이메일을 선택한 후 내 주소 추가를 클릭하여, 선택된 이메일


수신자에게 이메일을 보내십시오. 입력된 이메일 주소는 스캔된 모든 자산에 관한 보고서와 이메일을 수신합니다.


제 10 장 스캔 조사 107


제 11 장 취약성 관리

IBM Security QRadar Vulnerability Manager에서는 취약성 데이터를 관리하고, 검색하고 필터링하여 사용자의 조직에 가장 큰 위협이 되는 취약성에 집중하는 데 도움을 줄 수 있습니다.

표시되는 취약성 데이터는 QRadar 자산 모델에서 유지된 취약성 상태 정보를 기반으로 합니다. 이 정보에는 QRadar Vulnerability Manager 스캐너에서 발견된 취약성과 외부 스캐닝 제품에서 가져온 취약성이 포함되어 있습니다.

다음 정보를 제공하도록 취약성을 관리하십시오.

v 현재 취약성 상태에 대한 네트워크 보기.

v 사용자의 조직에 가장 큰 위협이 되는 취약성을 식별하고 개선을 위해 취약성을 QRadar 사용자에게 지정.

v 취약성의 영향을 받는 네트워크 범위를 확인하고 취약성을 포함하는 네트워크자산에 대한 자세한 정보를 표시.

v 사용자의 조직에 덜 위협이 되는 취약성을 결정하고 취약성 예외를 작성.

v 네트워크에 있는 취약성에 대한 히스토리 정보를 표시.

v 네트워크, 자산, 취약성, 공개 서비스 또는 취약성 인스턴스별로 취약성 데이터를 표시.

CVSS(Common Vulnerability Scoring System)CVSS(Common Vulnerability Scoring System)는 컴퓨터 시스템 보안의 심각도 및 위험을 평가하는 데 사용됩니다.

CVSS는 다음 지표 그룹으로 구성된 개방형 프레임워크입니다.

v 기본v 임시v 환경

기본

기본 점수 심각도 범위는 0 - 10이며, 취약성의 내재적 특성을 나타냅니다. 기본점수는 최종 CVSS 점수에 가장 큰 영향력을 발휘하며, 다음 하위 점수로 더 구분할 수 있습니다.

v 영향


영향 하위 점수는 악용된 취약성의 기밀성 영향, 무결성 영향, 가용성 영향에대한 지표입니다.

v 이용 가능성

이용 가능성 하위 점수는 액세스 벡터, 액세스 복잡도, 인증에 대한 지표이며,

취약성이 액세스된 방법, 공격의 복잡도, 공격자가 취약성을 악용하기 위해 인증해야 하는 횟수를 측정합니다.

임시

임시 점수는 시간의 흐름에 따라 변경되는 취약성 위협의 특성을 말하며, 다음 지표로 구성됩니다.

v 이용 가능성

취약성을 악용하는 데 사용할 수 있는 기술이나 코드의 가용성을 말하며, 시간의 흐름에 따라 변경됩니다.

v 조치 레벨

취약성에 대해 사용 가능한 조치 레벨.

v 보고서 신뢰도

취약성이 존재하는 경우 신뢰도 레벨과 기술 세부사항의 신뢰성.

환경

환경 점수는 사용자 환경의 영향을 받는 취약성의 특성을 나타냅니다. 다음 환경지표를 구성하여 더 높은 환경 지표를 적용해 중요하거나 위험한 자산의 취약성을 강조합니다. 가장 중요한 자산에 가장 높은 점수를 적용합니다. 이러한 자산과 연관된 손실은 조직에 큰 영향을 미치기 때문입니다.

v 잠재적인 부수적 손상 가능성(CDP)

생산성 또는 수익의 경제적 손실 또는 이러한 자산의 도난이나 파손으로 인한물리적 자산의 수명이 감소할 가능성.

v 대상 분포(TD)

사용자 환경에서 취약한 시스템의 비율.

v 기밀성 요구사항(CR)

이 자산에서 취약성이 악용된 경우 신뢰도 상실로 인한 영향 수준.

v 무결성 요구사항(IR)

이 지표는 이 자산에서 취약성이 악용된 경우 신뢰도 상실로 인한 영향 수준을 나타냅니다.


v 가용성 요구사항(AR)

이 자산에서 취약성이 악용된 경우 자산의 가용성으로 인한 영향 수준.

관련 태스크:

44 페이지의 『자산에 대한 환경 위험 구성』CVSS 환경 점수를 사용하여 선택한 자산에서 위험 점수를 조작하고 우선순위를 지정합니다. 자산에 대한 CVSS, 가중치, 준수 매개변수를 구성한 경우 가장중요하거나 위험한 자산에 높은 위험 점수를 적용할 수 있습니다.

취약성 위험 점수 조사IBM Security QRadar Vulnerability Manager에서는 취약성 위험 점수를 조사하고 각 점수가 어떻게 계산되었는지 이해할 수 있습니다.


2. 탐색 분할창에서 취약성 관리를 클릭하십시오.

3. 옵션: 위험별로 취약성을 정렬하려면 위험 점수 컬럼을 클릭하십시오.

4. 위험 점수를 조사하려면 취약성 위험 점수 위에 마우스 커서를 두십시오.

위험 점수 세부사항IBM Security QRadar Vulnerability Manager에서 취약성 위험 점수는 조직에대한 취약성의 위험도를 표시합니다.

IBM Security QRadar Risk Manager를 사용하면 취약성 위험 점수를 조정하며 중요 개선 태스크를 알려주는 정책을 구성할 수 있습니다.

위험 점수

위험 점수는 CVSS(Common Vulnerability Scoring System) 기본, 시간 및 환경 지표를 사용하여 특정 네트워크 컨텍스트를 제공합니다.

QRadar Risk Manager를 사용하여 위험을 관리하지 않는 경우 위험 점수 컬럼은 최대값이 10인 CVSS 환경 지표 점수를 표시합니다.

위험 조정

IBM Security QRadar Risk Manager가 설치되어 있으며 취약성 위험 정책을구성한 경우에는 위험 조정이 나열됩니다. 조정은 취약성과 연관된 전체 위험을증가시키거나 감소시킵니다.

관련 개념:

제 11 장 취약성 관리 111

143 페이지의 『QRadar Vulnerability Manager와의 통합』IBM Security QRadar Vulnerability Manager는 IBM Security QRadar

Risk Manager와 통합하여 네트워크의 위험 및 취약성에 우선순위를 설정하는데 도움을 줍니다.

관련 태스크:

121 페이지의 『위험 정책 적용을 통한 고위험 취약성 우선순위 지정』IBM Security QRadar Vulnerability Manager에서는 취약성에 위험 정책을적용하여 관리자에게 고위험 취약성에 대해 경보할 수 있습니다.

취약성 데이터 검색IBM Security QRadar Vulnerability Manager에서는 취약성 데이터를 검색하여 중요한 취약성을 식별할 수 있습니다.

QRadar Vulnerability Manager는 데이터를 검색하기 위한 다양한 방법을 제공합니다. 네트워크, 자산, 공개 서비스 및 취약성별로 검색을 수행할 수 있습니다.

기본 저장된 검색은 조직에 대한 위험을 식별하는 빠른 방법을 제공합니다. 저장된 검색은 취약성 관리자 검색 페이지의 사용 가능한 저장된 검색 필드에 표시됩니다.

시작하기 전에

스캔 프로파일을 작성하고 네트워크 자산을 스캔해야 합니다.




4. 저장된 검색을 로드하려면 다음 단계를 수행하십시오.

a. 옵션: 그룹 목록에서 그룹을 선택하십시오.

b. 옵션: 저장된 검색 입력 필드에 로드할 저장된 검색을 입력하십시오.

c. 사용 가능한 저장된 검색 목록에서 저장된 검색을 선택한 후 로드를 클릭하십시오.

d. Search를 클릭하십시오.

5. 새 검색을 작성하려면 검색 매개변수 분할창에서 다음 단계를 수행하십시오.

a. 첫 번째 목록에서 사용할 매개변수를 선택하십시오.

b. 두 번째 목록에서 검색 수정자를 선택하십시오. 사용 가능한 수정자는 선택한 검색 매개변수에 따라 달라집니다.


c. 세 번째 목록에서 검색 매개변수와 관련된 특정 정보를 입력하거나 선택하십시오.

d. 필터 추가를 클릭하십시오.

예를 들어, 기술 사용자에게 지정된 취약성을 이메일 전송하려면 기술 소유자 연락처를 선택하고 취약성 지정 페이지에 구성된 이메일 주소를 제공하십시오.


7. 옵션: 도구 모음에서 검색 기준 저장을 클릭하십시오.

중요사항: 취약성 보고서는 저장된 검색 정보를 사용합니다. 기술 사용자에게이메일 전송하는 보고서를 작성하려는 경우에는 검색 기준을 저장해야 합니다.

관련 개념:

114 페이지의 『취약성 검색 매개변수』IBM Security QRadar Vulnerability Manager에서는 취약성 데이터를 검색하고 나중에 사용할 수 있도록 검색을 저장할 수 있습니다.

빠른 취약성 검색단순한 단어 또는 절을 사용하는 텍스트 검색 문자열을 입력하여 취약성을 검색합니다.

IBM Security QRadar Vulnerability Manager의 내 지정된 취약성 및 취약성관리 페이지에서는 빠른 검색을 사용하여 취약성을 필터링할 수 있습니다.

사전에 구성된 취약성 검색을 실행하려면 빠른 검색 목록을 사용하십시오.

사용자의 고유한 취약성 필터를 작성하려면 빠른 필터 필드를 사용하십시오. 빠른 검색 목록에 빠른 취약성 필터를 추가하려면 검색 기준 저장을 클릭하십시오.

표 10. 빠른 취약성 필터의 구문에 대한 지침설명 예취약성의 제목, 설명, 솔루션, 문제점, 참조 ID 또는 참조 ID 값에서 찾기를 원하는 일반 텍스트를 포함시키십시오.

2012-3764

MS203

java

취약성 제목 내의 텍스트만 검색하려면 검색 텍스트 문자열에 :A를 추가하십시오.

PHP:A

취약성 설명 내의 텍스트만 검색하려면 검색 텍스트 문자열에 :B를 추가하십시오.

cross-site scripting:B

취약성 외부 참조 유형 내의 텍스트만 검색하려면 검색 텍스트 문자열에 :C를 추가하십시오.

RedHat RHSA:C


표 10. 빠른 취약성 필터의 구문에 대한 지침 (계속)

설명 예와일드카드 문자를 포함시키십시오. 검색어는 와일드카드로 시작할 수 없습니다.

SSLv*

AND, OR 및 NOT(또는 !) 논리 연산자를 사용해 검색어를 그룹화하십시오. 검색어가 아닌 논리 연산자로 인식되려면, 논리 연산자는 대문자로 입력해야 합니다.

PHP AND Traversal

XSS:A OR cross-site scripting:A

!MySQL

NOT MySQL

관련 태스크:

116 페이지의 『취약성 검색 기준 저장』IBM Security QRadar Vulnerability Manager에서는 이후에 사용할 수 있도록 취약성 검색 기준을 저장할 수 있습니다.

취약성 검색 매개변수IBM Security QRadar Vulnerability Manager에서는 취약성 데이터를 검색하고 나중에 사용할 수 있도록 검색을 저장할 수 있습니다.

다음 표는 취약성 검색 매개변수의 전체 목록이 아니라 사용 가능한 옵션의 서브세트일 뿐입니다.

취약성 데이터를 검색하고 표시할 매개변수를 선택하십시오.

표 11. 취약성 검색 매개변수옵션 설명액세스 복잡도 취약성을 악용하기 위해 필요한 공격의 복잡도입

니다.

액세스 벡터 취약성을 악용될 수 있는 네트워크 위치입니다.

저장된 자산 검색저장된 자산 검색과 연관된 호스트, IP 주소 또는 IP 주소의 범위입니다.


공개 서비스가 있는 자산 특정 공개 서비스가 있는 자산입니다. 예를 들면,HTTP, FTP 및 SMTP 등이 있습니다.

인증 공격자가 취약성을 악용하기 위해 대상에 인증해야 하는 횟수입니다.

가용성 영향 취약성이 악용될 경우 손상될 수 있는 자원 가용성의 수준입니다.

기밀성 영향 취약성을 악용하여 획득할 수 있는 기밀 정보의수준입니다.


표 11. 취약성 검색 매개변수 (계속)

옵션 설명자산이 발견된 이후 일 수 네트워크에서 취약성이 있는 자산이 감지된 후

경과된 일 수입니다. 자산은 스캔을 통해 직접 감지하거나, 로그 또는 플로우 분석을 통해 간접적으로 감지할 수 있습니다.

연관된 취약성 서비스 트래픽 이후 일 수 트래픽이 발견된 후 경과된 일 수를 기반으로, 자산의 취약성을 자산에서 수신하거나 송신한 연관된 계층 7 트래픽과 함께 표시합니다.

도메인 다중 도메인 시스템에 대하여 IBM SecurityQRadar를 구성한 경우, 이 옵션을 사용하면 취약성을 검색할 도메인을 지정할 수 있습니다.

공개 서비스별 HTTP, FTP 및 SMTP 등의 특정 공개 서비스와연관된 취약성을 검색합니다.

유형의 외부 참조 연관된 IBM BigFix Fixlet이 있는 취약성입니다.이 매개변수를 사용하면, 사용 가능한 패치가 없는 취약성만 표시할 수 있습니다.

영향 사용자의 조직에 대한 잠재적 영향입니다. 예를들면, 액세스 제어 상실, 작동중단시간 및 평판손실 등이 있습니다.

조기 경고 포함 사용자 네트워크에서 발견되며 스캔 결과에 표시되지 않는 새로 게시된 취약성을 포함시킵니다.

취약성 예외 포함 예외 룰이 적용된 취약성입니다.

무결성 영향 취약성이 악용될 경우 손상될 수 있는 시스템 무결성의 수준입니다.

위험이 있는 자산만 포함IBM Security QRadar Risk Manager에 정의되어 모니터되는 특정 위험 정책을 패스하거나 이에 실패하는 취약성입니다.참고: 이 검색 매개변수를 사용하려면 사용자는위험 탭의 정책 모니터 페이지에서 하나 이상의질문을 모니터해야 합니다.

패스한 위험이 있는 자산만 포함 QRadar Risk Manager에 정의되어 모니터되는특정 위험 정책을 패스하는 취약성입니다.

조기 경고만 포함 사용자 네트워크에서 발견되며 스캔 결과에 표시되지 않는 새로 게시된 취약성만 포함시킵니다.

취약성 예외만 포함 검색에 적용된 예외 룰이 있는 취약성만 포함시킵니다.

만기 경과일 지정된 일 수만큼 개선 기한이 경과한 취약성을검색합니다.

패치 상태 패치 상태별로 취약성을 필터링합니다. 자세한 정보는 123 페이지의 『취약성의 패치 상태 식별』의 내용을 참조하십시오.

PCI 심각도 PCI 준수 서비스에 의해 지정된 PCI 심각도 레벨(높음, 중간, 낮음)별로 취약성을 검색합니다.높음 또는 중간의 PCI 심각도 레벨이 지정된 취약성은 PCI 준수에 실패합니다.


표 11. 취약성 검색 매개변수 (계속)

옵션 설명빠른 검색 취약성 제목, 설명, 솔루션 및 외부 참조 ID를 검

색할 수 있습니다. 빠른 검색 필드에서는 AND,OR 및 NOT 연산자와 대괄호를 사용할 수 있습니다.

위험 위험 레벨(높음, 중간, 낮음, 경고)별로 취약성을검색합니다.

지정되지 않음 취약성을 개선할 사용자가 지정되지 않은 취약성을 검색합니다.

취약성 외부 참조 CVE ID와 같이 취약성 ID의 가져온 목록을 기반으로 하는 취약성입니다. 참조 세트에 대한 자세한 정보는 제품의 관리 안내서를 참조하십시오.

공급업체의 가상 패치가 있는 취약성 IPS(Intrusion Prevention System)로 패치할 수있는 취약성입니다.

취약성 상태 네트워크 또는 특정 네트워크 자산에 대한 마지막 스캔 후의 취약성 상태입니다. 예를 들면, 자산을 스캔할 때 감지되는 취약성의 상태는 신규,마지막 이전 스캔에서 발견, 수정됨, 마지막/마지막 이전 스캔에서 발견입니다.

위험이 있는 취약성 위험 정책 결과별로 취약성을 필터링합니다.

이 검색 매개변수를 사용하려면 사용자는 위험탭의 정책 모니터 페이지에서 하나 이상의 질문을 모니터해야 합니다.

취약성 검색 기준 저장IBM Security QRadar Vulnerability Manager에서는 이후에 사용할 수 있도록취약성 검색 기준을 저장할 수 있습니다.



3. 도구 모음에서 검색 > 새 검색을 선택하고 데이터 검색을 완료하십시오.

4. 도구 모음에서 검색 기준 저장을 클릭하십시오.

5. 검색 기준 저장 창에서 저장된 검색을 위한 인식 가능한 이름을 입력하십시오.

6. 옵션: 도구 모음에 있는 빠른 검색 목록에 저장된 검색을 포함시키려면 내빠른 검색에 포함을 클릭하십시오.

7. 옵션: 모든 QRadar 사용자와 저장된 검색 기준을 공유하려면 모든 사용자와 공유를 클릭하십시오.

8. 옵션: 저장된 검색을 그룹에 삽입하려면 그룹을 클릭하거나, 그룹 관리를 클릭하여 새 그룹을 작성하십시오.


검색 그룹 관리에 대한 자세한 정보는 제품의 관리 안내서를 참조하십시오.

9. 옵션: 탐색 분할창에서 취약성 관리 페이지를 클릭할 때 저장된 검색의 결과를 표시하도록 하려면 기본값으로 설정을 클릭하십시오.


저장된 취약성 검색 기준 삭제IBM Security QRadar Vulnerability Manager에서는 저장된 취약성 검색 기준을 삭제할 수 있습니다.


2. 탐색 분할창에서 취약성 관리 > 네트워크별을 선택하십시오.


4. 취약성 관리자 검색 페이지의 사용 가능한 저장된 검색 목록에서 삭제할 저장된 검색을 선택하십시오.

5. 삭제를 클릭하십시오.


취약성 인스턴스IBM Security QRadar Vulnerability Manager에서는 네트워크에 있는 각 스캔된 자산의 취약성을 표시할 수 있습니다. 취약성이 여러 자산에 있는 경우에는 여러 번 나열될 수 있습니다.

QRadar 관리 탭을 사용하여 써드파티 취약성 평가(VA) 스캐너를 구성하는 경우 발견된 취약성은 자동으로 취약성 인스턴스별 페이지에 표시됩니다.

VA 스캐너에 대한 자세한 정보는 제품의 관리 안내서를 참조하십시오.

취약성 인스턴스별 페이지는 다음 정보를 제공합니다.

v 네트워크 자산을 스캔하여 발견한 모든 취약성의 보기v 각 취약성이 PCI(Payment Card Industry)에 미치는 위험v 취약성이 사용자의 조직에 미치는 위험. 가장 위험한 취약성을 식별하려면 위험 점수 컬럼을 클릭하십시오.

v 취약성을 개선하도록 지정된 사용자의 이름 또는 이메일 주소v 취약성을 개선해야 하는 기한(일)

관련 개념:

111 페이지의 『위험 점수 세부사항』IBM Security QRadar Vulnerability Manager에서 취약성 위험 점수는 조직


에 대한 취약성의 위험도를 표시합니다.

네트워크 취약성IBM Security QRadar Vulnerability Manager에서는 네트워크로 그룹화된 취약성 데이터를 표시할 수 있습니다.

네트워크별 페이지는 다음 정보를 제공합니다.

v 각 네트워크에서 발견된 취약성을 기반으로 한 누적 위험 점수.

v 각 네트워크의 자산, 취약성 및 공개 서비스 수.

v 기술 사용자에게 지정되었으며 개선 기한이 지난 취약성의 수.

자산 취약성IBM Security QRadar Vulnerability Manager에서는 각 스캔된 자산으로 그룹화된 요약 취약성 데이터를 표시할 수 있습니다.

자산별 페이지를 사용하여 조직에 가장 큰 위협이 되는 자산에 대한 개선 태스크의 우선순위를 지정할 수 있습니다.

자산별 페이지는 다음 정보를 제공합니다.

v 각 자산에서 발견된 취약성을 기반으로 한 누적 위험 점수.

위험별로 자산을 정렬하려면 위험 점수 컬럼을 클릭하십시오.

v 기술 사용자에게 지정되었으며 개선 기한이 지난 자산 취약성의 수.

공개 서비스 취약성IBM Security QRadar Vulnerability Manager에서는 공개 서비스로 그룹화된취약성 데이터를 표시할 수 있습니다.

공개 서비스별 페이지에는 전체 네트워크 내의 각 서비스에 대한 누적 위험 점수 및 취약성 수가 표시됩니다.

취약성 히스토리 조사IBM Security QRadar Vulnerability Manager에서는 취약성의 히스토리에 대한 유용한 정보를 표시할 수 있습니다.

예를 들면, 취약성의 위험 점수가 계산된 방식에 대한 정보를 조사할 수 있습니다. 또한 취약성을 처음으로 감지한 시점과 이를 감지하는 데 사용된 스캔에 대한 정보를 검토할 수도 있습니다.




3. 옵션: 취약성 데이터를 검색하십시오.

4. 조사할 취약성을 클릭하십시오.

5. 도구 모음에서 조치 > 히스토리를 선택하십시오.

관련 태스크:


False Positive 취약성의 수 감소시키기IBM Security QRadar Vulnerability Manager에서는 특정 유형의 서버와 연관된 취약성에 대해 자동으로 예외 룰을 작성할 수 있습니다.

서버 유형을 구성하면 QRadar Vulnerability Manager는 작성 예외 룰을 구성하고 데이터를 검색하여 리턴된 취약성을 자동으로 감소시킵니다.


2. 탐색 분할창에서 서버 발견을 선택하십시오.

3. 특정 서버 유형에 있는 취약성에 대한 False Positive 예외 룰을 자동으로 작성하려면 서버 유형 목록에서 다음 옵션 중 하나를 선택하십시오.

v FTP 서버v DNS 서버v 메일 서버v 웹 서버

포트 필드를 새로 고치는 데는 몇 분 정도 소요됩니다.

4. 옵션: 네트워크 목록에서 서버의 네트워크를 선택하십시오.

5. 서버 발견을 클릭하십시오.

6. 일치 서버 분할창에서 취약성 예외 룰이 작성된 서버를 선택하십시오.

7. 선택된 서버 승인을 클릭하십시오.

결과

서버 유형 선택에 따라, 다음 취약성은 자동으로 False Positive 예외 룰로 설정됩니다.


표 12. 서버 유형 취약성서버 유형 취약성FTP 서버 FTP 서버 있음DNS 서버 DNS 서버 실행 중메일 서버 SMTP 서버 발견웹 서버 웹 서비스 실행 중

고위험 자산 및 취약성 조사IBM Security QRadar Vulnerability Manager에서는 악용되기 쉬운 고위험 취약성을 조사할 수 있습니다.



3. 취약성 인스턴스별 페이지에서 위험 점수 컬럼을 클릭하여 위험 점수별로 취약성을 정렬하십시오.

4. 위험 점수를 산출하는 데 사용된 CVSS 지표를 조사하려면 위험 점수 필드위에 마우스를 놓으십시오.

5. 가장 점수가 높은 취약성을 식별하고 취약성 링크를 클릭하십시오.

6. 취약성 세부사항 창에서 다음과 같이 취약성을 조사하십시오.

a. IBM Security Systems 웹 사이트를 보려면 X-Force 링크를 클릭하십시오.

b. National Vulnerability Database 웹 사이트를 보려면 CVE 링크를 클릭하십시오.

IBM Security Systems 웹 사이트 및 National Vulnerability Database

는 개선 정보 및 취약성이 조직에 끼칠 수 있는 영향에 대한 세부사항을제공합니다.

c. 취약성에 대한 패칭 창을 열려면 플러그인 세부사항 링크를 클릭하십시오. 해당 탭을 사용하여 취약성에 대한 Oval 정의, Windows 지식 기반데이터베이스 또는 UNIX 자문 정보를 찾으십시오. 이 기능은 QRadar

Vulnerability Manager가 패치 스캔 동안 취약성 세부사항을 검사하는방법에 대한 정보를 제공합니다. 이를 사용하여 자산에서 취약성이 격상된 이유 또는 격상되지 않은 이유를 식별할 수 있습니다.

d. 솔루션 텍스트 상자에는 취약성을 개선하는 방법에 대한 자세한 정보가있습니다.

관련 개념:


111 페이지의 『위험 점수 세부사항』IBM Security QRadar Vulnerability Manager에서 취약성 위험 점수는 조직에 대한 취약성의 위험도를 표시합니다.

위험 정책 적용을 통한 고위험 취약성 우선순위 지정IBM Security QRadar Vulnerability Manager에서는 취약성에 위험 정책을 적용하여 관리자에게 고위험 취약성에 대해 경보할 수 있습니다.

위험 정책을 적용하면 관리자가 즉각적인 주의가 필요한 취약성의 우선순위를 더정확하게 지정할 수 있도록 취약성의 위험 점수가 조정됩니다.

다음 예제에서는 네트워크에서 활성화된 지 40일이 지난 취약성에 대해 백분율요인으로 자동으로 취약성 위험 점수가 증가합니다.



3. 도구 모음에서 검색 > 새 검색을 클릭하십시오.

4. 검색 매개변수 분할창에서 다음 필터를 구성하십시오.

a. 위험이 높음과 동일b. 취약성이 감지된 이후 일 수가 40일 이상

5. 검색을 클릭한 후 도구 모음에서 검색 기준 저장을 클릭하십시오.

QRadar Risk Manager에 식별 가능한 저장된 검색 이름을 입력하십시오.

6. 위험 탭을 클릭하십시오.

7. 탐색 분할창에서 정책 모니터를 클릭하십시오.

8. 도구 모음에서 조치 > 새로 작성을 클릭하십시오.

9. 이 질문의 이름 필드에 이름을 입력하십시오.

10. 질문에 포함시킬 테스트 필드에서 취약성 저장 검색에 포함된 취약성에 취약을 클릭하십시오.

11. 다음 조건에 해당하는 자산 찾기 필드에서 취약성 저장 검색에 포함된 취약성에 취약에 있는 밑줄 쳐진 매개변수를 클릭하십시오.

12. QRadar Vulnerability Manager 고위험 취약성 저장 검색을 식별하고 추가를 클릭한 후 확인을 클릭하십시오.

13. 질문 저장을 클릭하십시오.

14. 질문 분할창의 목록에서 질문을 선택하고 도구 모음에서 모니터를 클릭하십시오.


제한사항: 이벤트 설명 필드는 필수입니다.

15. 질문 성공 이벤트 디스패치를 클릭하십시오.

16. 취약성 점수 조정 필드의 질문 실패 시의 백분율 취약성 점수 조정 필드에위험 조정 백분율 값을 입력하십시오.

17. 자산에 있는 모든 취약성에 조정 적용을 클릭한 후 모니터 저장을 클릭하십시오.


취약성 탭에서 고위험 취약성을 검색하고 취약성의 우선순위를 지정할 수 있습니다.

관련 개념:

143 페이지의 『QRadar Vulnerability Manager와의 통합』IBM Security QRadar Vulnerability Manager는 IBM Security QRadar

Risk Manager와 통합하여 네트워크의 위험 및 취약성에 우선순위를 설정하는데 도움을 줍니다.

관련 태스크:

116 페이지의 『취약성 검색 기준 저장』IBM Security QRadar Vulnerability Manager에서는 이후에 사용할 수 있도록 취약성 검색 기준을 저장할 수 있습니다.

위험 점수에 대한 사용자 정의 표시 색상 구성QRadar Vulnerability Manager 인터페이스에서 색상 코딩된 위험 점수를 볼 수있도록 IBM Security QRadar Vulnerability Manager 위험 점수에 대한 사용자 정의 색상 코딩을 구성합니다.

프로시저1. IBM Security QRadar에서 취약성 > 취약성 지정 > 위험 환경 설정을 선택하십시오.

2. 이상 컬럼에서 높음, 중간, 낮음 및 경고에 대한 최소 위험 점수 값을 입력하십시오.

3. 색상 컬럼에서 높음, 중간, 낮음 및 경고 위험 점수를 나타내는 색상을 선택하거나 정의하십시오.

참고: 사용자가 적용하는 색상은 스캔 결과 페이지의 기본 위험 색상을 변경하지 않습니다. 스캔 결과 페이지 및 스캔 결과 자산 세부사항 페이지의 점수 컬럼에서는 기본값 및 기본 색상을 사용하며, 이는 변경할 수 없습니다.


BigFix 패치가 있는 취약성 식별IBM Security QRadar Vulnerability Manager에서는 사용 가능한 수정사항이있는 취약성을 식별할 수 있습니다.

사용 가능한 수정사항이 있는 취약성을 식별한 후에는 취약성 세부사항 창에서자세한 수정사항 정보를 조사할 수 있습니다.




4. 검색 매개변수 분할창에서 다음 옵션을 구성하십시오.

a. 첫 번째 목록에서 유형의 외부 참조를 선택하십시오.

b. 두 번째 목록에서 동일을 선택하십시오.

c. 세 번째 목록에서 IBM BigFix Patch를 선택하십시오.

d. 필터 추가를 클릭하십시오.

e. Search를 클릭하십시오.

취약성 인스턴스별 페이지에 사용 가능한 수정사항이 있는 취약성이 표시됩니다.

5. 옵션: 위험 점수 컬럼 표제를 클릭하여 중요성에 따라 취약성의 순서를 지정하십시오.

6. 옵션: 취약성에 대한 패치 정보를 조사하려면 취약성 컬럼에 있는 취약성 링크를 클릭하십시오.

7. 옵션: 취약성 패치 정보를 보려면 취약성 세부사항 창에서 창의 맨 아래로 스크롤하십시오.

사이트 ID 및 Fixlet ID는 IBM BigFix를 사용하여 취약성 패치를 적용하는데 사용하는 고유 ID입니다.

지식 기반 데이터베이스 컬럼은 지식 기반 데이터베이스의 추가 정보에 액세스하기 위해 사용할 수 있는 고유 참조입니다.

취약성의 패치 상태 식별IBM Security QRadar Vulnerability Manager에서는 취약성의 패치 상태를 식별할 수 있습니다.

패치된 취약성을 필터링하여 조직에서 가장 치명적인 취약성에 개선 노력의 우선순위를 지정할 수 있습니다.





4. 검색 매개변수 분할창의 첫 번째 목록에서 패치 상태를 선택하십시오.

5. 두 번째 목록에서 검색 수정자를 선택하십시오.

6. 취약성을 패치 상태에 따라 필터링하려면 세 번째 목록에서 다음 옵션 중 하나를 선택하십시오.

옵션 설명다운로드 보류 패치하도록 스케줄된 취약성을 표시하려면 이 옵

션을 선택하십시오.

다시 시작 보류 스캔된 자산이 다시 시작된 후 패치된 취약성을표시하려면 이 옵션을 선택하십시오.

수정됨 IBM BigFix에서 패치된 취약성을 표시하려면 이옵션을 선택하십시오.



관련 개념:

145 페이지의 제 16 장 『IBM BigFix 통합』IBM Security QRadar Vulnerability Manager와 IBM BigFix를 통합하면, 수정 가능한 취약성을 필터링하고 우선순위를 지정할 수 있습니다.

불필요한 취약성 데이터의 제거QRadar Vulnerability Manager의 취약성 정리 기능을 사용하면, 시간이 경과된 취약성 데이터를 자산 모델에서 제거할 수 있습니다.


다음과 같은 시나리오에서는 불필요한 취약성 데이터가 남을 수 있습니다.

v 스캐너 유형의 변경v 자산의 해제v IP 주소의 변경v 부정확한 스캔 또는 테스트 스캔

중요사항: 자산 또는 스캐너 유형에 대한 취약성 데이터를 제거한 후에는 이를 복구할 수 없습니다.


프로시저

불필요한 취약성 데이터를 제거하기 위해 다음 두 옵션을 사용할 수 있습니다.

v 선택된 스캐너 유형에 대한 모든 취약성 데이터를 제거하려면 자산 페이지의조치 > 취약성 정리(모두) 옵션을 사용하십시오.

v 선택된 스캐너 유형을 갖는 특정한 자산에 대한 모든 취약성 데이터를 제거하려면 자산 세부사항 페이지의 조치 > 취약성 정리(자산) 옵션을 사용하십시오.

취약성 데이터 보존 기간의 구성자산 프로파일러 구성 창에서 취약성 경향 데이터 및 스캔 결과의 보존 기간을설정할 수 있습니다.


IBM Security QRadar Vulnerability Manager가 취약성 경향 데이터 및 스캔결과를 보존하는 기간을 정의하려면 자산 프로파일러 구성 창의 QVM 취약성 보존 섹션에서 구성 룰을 사용하십시오.

프로시저1. 관리 > 자산 프로파일러 구성을 클릭하십시오.

2. 자산 프로파일러 구성 창의 QVM 취약성 보존 섹션에서 다음 필드에 값을입력하십시오.

룰 설명 기본값취약성 경향 보고 데이터(단위: 일)

QRadar Vulnerability Manager가 매일 취약성 보고서에서 사용할 취약성 경향 데이터를 보존하는 일수를 설정합니다.

14일

취약성 경향 보고 데이터(단위: 주)

QRadar Vulnerability Manager가 매주 취약성 보고서에서 사용할 취약성 경향 데이터를 보존하는 주의 수를 설정합니다.

14주

취약성 경향 보고 데이터(단위: 개월)

QRadar Vulnerability Manager가 매월 취약성 보고서에서 사용할 취약성 경향 데이터를 보존하는 개월의 수를설정합니다.

14개월

특정 기간 후 스캔 결과제거(단위: 일)

스캔 결과 데이터의 보존 기간을 설정하려면 특정 기간 후스캔 결과 제거(단위: 실행 주기)와 함께 이 룰을 사용하십시오.

QRadar Vulnerability Manager가 특정 기간 후 스캔 결과 제거(단위: 실행 주기) 보존 기간 룰을 적용한 후 데이터를 보존하는 일수를 설정합니다.

30일


룰 설명 기본값특정 기간 후 스캔 결과제거(단위: 실행 주기)

스캔 결과 데이터의 보존 기간을 설정하려면 특정 기간 후스캔 결과 제거(단위: 일)와 함께 이 룰을 사용하십시오.

QRadar Vulnerability Manager가 보존하는 스캔 결과데이터의 버전의 수를 설정합니다. 이 룰은 특정 기간 후스캔 결과 제거(단위: 일)에 설정된 값보다 우선적으로 적용됩니다.

특정 기간 후 스캔 결과 제거(단위: 일) 및 특정 기간 후스캔 결과 제거(단위: 실행 주기)의 기본값에 대해서는 다음과 같이 실행됩니다.

v QRadar Vulnerability Manager는 가장 최근의 실행주기 3회에 대한 스캔 결과 데이터를 보존합니다. 또한 30일 기간 내에 실행한 다른 버전의 스캔 결과도보존합니다.

v 가장 최근의 실행 주기 3회에 30일 기간 이전에 발생한 실행 주기가 포함된 경우에도 , Q R a d a r

Vulnerability Manager는 해당 실행 주기에 대한 스캔 결과 데이터를 보존합니다.

3회의 실행 주기



제 12 장 취약성 개선

QRadar Vulnerability Manager에서는 개선을 위해 취약성을 기술 사용자에게지정할 수 있습니다.

두 가지 방법을 사용하여 취약성을 기술 사용자에게 지정할 수 있습니다.

v 개별 취약성을 개선을 위해 기술 사용자에게 지정합니다.

v 기술 사용자를 자산 그룹의 소유자로 지정합니다.

관련 태스크:

129 페이지의 『지정된 자산의 취약성에 대한 개선 시간 구성』IBM Security QRadar Vulnerability Manager에서는 여러 취약성 유형에 대한 개선 시간을 구성할 수 있습니다.

개별 취약성을 개선을 위해 기술 사용자에게 지정IBM Security QRadar Vulnerability Manager에서는 개선을 위해 QRadar 사용자에게 개별 취약성을 지정할 수 있습니다.


2. 탐색 분할창에서 취약성 관리를 선택하십시오.

3. 옵션: 취약성 데이터를 검색하십시오.

4. 개선을 위해 지정할 취약성을 선택하십시오.

5. 도구 모음에서 조치 > 지정/편집을 클릭하십시오.

6. 지정된 사용자 목록에서 기술 사용자를 선택하십시오.

취약성 지정 페이지에서 기술 사용자를 지정할 수 있습니다. 자세한 정보는128 페이지의 『기술 사용자를 자산 그룹의 소유자로 지정』의 내용을 참조하십시오.

7. 옵션: 만기일 목록에서 취약성 개선의 마감일이 되는 이후 날짜를 선택하십시오.

날짜를 선택하지 않는 경우에는 만기일이 현재 날짜로 설정됩니다.

8. 옵션: 참고 필드에 취약성 지정의 이유에 대한 유용한 정보를 입력하십시오.



기술 사용자를 자산 그룹의 소유자로 지정IBM Security QRadar Vulnerability Manager에서 자산 그룹을 구성하여 해당그룹의 취약성을 자동으로 기술 사용자에게 지정할 수 있습니다.

기술 사용자를 지정하고 자산을 스캔하면 해당 자산의 모든 취약성을 개선을 위해 해당 기술 사용자에게 지정됩니다.

취약성에 대한 개선 시간은 위험 또는 심각도에 따라 개선 시간 옵션을 사용하여 구성할 수 있습니다.

사용자가 새 자산을 네트워크에 추가했으며 기술 사용자의 자산 그룹이 포함되어 있는 경우 해당 자산의 취약성은 자동으로 해당 기술 사용자에게 지정됩니다.

기술 사용자가 수정해야 하는 취약성의 세부사항이 담긴 보고서를 기술 사용자에게 이메일로 자동 전송할 수 있습니다.

개선 시간, 스케줄 및 위험 환경 설정 옵션은 관리자와, 연관된 도메인이 없는 관리자가 아닌 사용자만 사용 가능합니다.

시작하기 전에

저장된 자산 검색으로 식별된 자산 그룹을 구성하려는 경우에는 자산을 검색하고 결과를 저장해야 합니다.

자산 검색 및 결과 저장에 대한 자세한 정보는 제품의 사용자 안내서를 참조하십시오.


2. 탐색 분할창에서 취약성 지정을 클릭하십시오.


4. 이름, 이메일 주소 및 CIDR 범위를 입력하십시오.

새 자산 소유자 창에 자동으로 기술 사용자를 지정하는 데 필요한 필수 필드는 이름, 이메일 및 CIDR뿐입니다. 다중 도메인 환경이 사용으로 설정된경우 해당 특정 자산 소유자에 대한 도메인 연관을 선택하십시오.

5. 다중 도메인에 대하여 IBM Security QRadar를 구성한 경우, 도메인 목록에서 관련 도메인을 선택하십시오.

6. 자산 이름별로 CIDR 범위 내의 자산 목록을 필터링하려면 자산 이름 필터필드에 텍스트 문자열을 입력하십시오.

7. 운영 체제별로 CIDR 범위 내의 자산 목록을 필터링하려면 OS 필터 필드에 텍스트 문자열을 입력하십시오.


8. 옵션: 저장된 자산 검색과 연관된 자산에 기술 사용자를 지정하려면 자산 검색을 클릭하십시오. 도메인이 도메인 관리 페이지에서 구성된 경우 자산 검색 옵션이 사용 불가능합니다.


10. 옵션: 도구 모음에서 개선 시간을 클릭하십시오.

위험 및 심각도에 따라 취약성의 각 유형에 대한 개선 시간을 구성할 수 있습니다.

예를 들면, 고위험 취약성을 5일 내에 수정해야 할 수 있습니다.

11. 옵션: 도구 모음에서 스케줄을 클릭하십시오.

기본적으로 자산의 기술 사용자 연락처는 24시간마다 업데이트됩니다.

배치에 추가되었으며 지정한 CIDR 범위에 포함되는 새 자산은 지정한 기술 담당자로 자동으로 업데이트됩니다.

중요사항: 스케줄은 기술 사용자와 자산 그룹 간에 작성한 연관에 적용됩니다.

12. 옵션: 자산의 소유자를 즉시 설정하려면 지금 업데이트를 클릭하십시오.

배치의 크기에 따라 자산을 업데이트하는 데 오랜 시간이 걸릴 수도 있습니다.


개선을 위해 기술 사용자에게 이미 지정된 취약성은 새 기술 사용자로 업데이트됩니다.

14. 취약성이 이전에 기술 사용자에게 지정되지 않은 경우에는 기술 사용자에게지정한 자산을 스캔해야 합니다.

중요사항: 자산을 스캔하면 기술 사용자에게 지정된 취약성이 자산에 있는지 확인합니다.

지정된 자산의 취약성에 대한 개선 시간 구성IBM Security QRadar Vulnerability Manager에서는 여러 취약성 유형에 대한개선 시간을 구성할 수 있습니다.


2. 탐색 분할창에서 취약성 지정을 클릭하십시오.

3. 자산 소유자 목록에서 지정을 선택하십시오.

제 12 장 취약성 개선 129

4. 도구 모음에서 개선 시간을 클릭하십시오.

5. 위험 및 심각도를 기반으로 취약성의 개선 시간을 업데이트하십시오.



제 13 장 취약성 보고서

IBM Security QRadar Vulnerability Manager에서는 기존 보고서를 생성 또는편집하거나, 보고서 마법사를 사용하여 새 보고서를 생성하고, 스케줄하고 분배할수 있습니다.

QRadar Vulnerability Manager에는 몇 가지 기본 보고서가 포함되어 있습니다.

보고서 마법사는 보고서를 디자인, 스케줄 및 생성하는 방법에 대한 단계별 안내를 제공합니다.

자세한 정보는 IBM Security QRadar 사용자 안내서를 참조하십시오.

각 기술 사용자에게 지정된, 개선이 필요한 취약성에 대해 기술 사용자에게 이메일 전송

개선을 위해 기술 사용자에게 취약성을 지정한 후에는 기술 사용자에게 이메일로 전송할 보고서를 생성할 수 있습니다.

이 이메일에는 기술 사용자가 개선해야 하는 취약성에 대한 정보가 포함되어 있습니다.

PCI 준수 보고서 생성

PCI(Payment Card Industry) 자산에 대한 준수 보고서를 생성할 수 있습니다.

준수 보고서는 사용자가 중요 자산을 보호하는 데 필요한 모든 보안 조치를 취했음을 증명합니다.

기본 QRadar Vulnerability Manager 보고서 실행IBM Security QRadar Vulnerability Manager에서는 기본 취약성 관리 보고서를 실행할 수 있습니다.

프로시저1. 보고서 탭을 클릭하십시오.

2. 보고서 목록에서 실행할 보고서를 클릭하십시오.

예를 들면, 최근 일주일에 대한 취약성 개요의 보고서를 표시할 수 있습니다.

3. 도구 모음에서 조치 > 보고서 실행을 선택한 후 확인을 클릭하십시오.


4. 완료된 보고서를 PDF 형식으로 보려면 형식 컬럼에 있는 아이콘을 클릭하십시오.

지정된 취약성 보고서를 기술 사용자에게 이메일 전송IBM Security QRadar Vulnerability Manager에서는 각 자산에 대해 지정된 취약성 보고서를 기술 담당자에게 전송할 수 있습니다.

이메일 전송된 보고서는 관리자에게 취약성이 지정되었으며 개선이 필요함을 상기시킵니다. 보고서는 매월, 매주, 매일 또는 매시간 간격으로 스케줄할 수 있습니다.

시작하기 전에

다음 태스크를 완료해야 합니다.

1. 기술 사용자를 자산 그룹의 소유자로 지정합니다. 자세한 정보는 128 페이지의 『기술 사용자를 자산 그룹의 소유자로 지정』의 내용을 참조하십시오.

2. 기술 소유자에게 지정한 자산을 스캔합니다.

3. 기술 소유자 연락처 매개변수를 입력으로 하는 취약성 검색을 작성하고 저장합니다. 자세한 정보는 112 페이지의 『취약성 데이터 검색』의 내용을 참조하십시오.


2. 도구 모음에서 조치 > 작성을 선택하십시오.

3. 매주를 클릭한 후 다음을 클릭하십시오.

4. 보고서 마법사의 왼쪽 상단 섹션에 표시된 비분할 보고서 레이아웃을 클릭하고 다음을 클릭하십시오.

5. 보고서 제목을 입력하십시오.

6. 차트 유형 목록에서 자산 취약성을 선택하고 차트 제목을 입력하십시오.

7. 옵션: 기술 담당 소유자가 다섯 개 이상의 자산을 담당하고 있으며 모든 자산 정보를 이메일로 전송하려는 경우에는 상위 자산 수 제한 목록의 값을증가시키십시오.

알아두기: 자산 탭을 사용하여 기술 담당 소유자가 자신이 맡고 있는 각 자산에 지정되었는지 확인해야 합니다.

8. 그래프 유형 필드에서 AggregateTable을 선택하십시오.

AggregateTable 이외의 값을 선택하는 경우 보고서는 취약성 하위 보고서를 생성하지 않습니다.


9. 그래프 컨텐츠 분할창에서 사용할 검색을 클릭하고 저장된 기술 담당자 취약성 검색을 선택한 후 컨테이너 세부사항 저장을 클릭하십시오.

10. 다음을 클릭하고 보고서 출력 유형을 선택하십시오.

11. 보고서 마법사의 보고서 배포 섹션에서 여러 보고서를 클릭하십시오.

12. 모든 자산 소유자를 클릭하십시오.

13. 옵션: 기술 사용자 연락처 세부사항의 모든 목록을 표시하려면 자산 소유자로드를 클릭하십시오.

지정된 취약성 목록을 이메일 전송하지 않을 기술 사용자는 제거할 수 있습니다.

14. 보고서 목록에서 작성한 보고서를 선택한 후 도구 모음에서 조치 > 보고서실행을 선택하십시오.

관련 태스크:

128 페이지의 『기술 사용자를 자산 그룹의 소유자로 지정』IBM Security QRadar Vulnerability Manager에서 자산 그룹을 구성하여 해당 그룹의 취약성을 자동으로 기술 사용자에게 지정할 수 있습니다.


PCI 준수 보고서 생성IBM Security QRadar Vulnerability Manager에서는 PCI(Payment Card

Industry) 자산에 대한 준수 보고서를 생성할 수 있습니다. 예를 들면, 신용 카드 또는 기타 기밀 재정 정보를 저장하는 자산에 대한 보고서를 생성할 수 있습니다.

준수 보고서는 사용자가 자산을 보호하는 데 필요한 모든 보안 조치를 취했음을증명합니다.

프로시저1. 네트워크에서 PCI 정보를 저장하거나 처리하는 자산에 대한 PCI 스캔을 실행하십시오.

자세한 정보는 49 페이지의 『스캔 프로파일 작성』의 내용을 참조하십시오.

2. 자산 준수 계획 및 소프트웨어 선언을 업데이트하십시오.

준수 계획 및 소프트웨어 선언이 관리 요약의 특수 참고사항 섹션에 표시됩니다.

제 13 장 취약성 보고서 133

자세한 정보는 승인된 소프트웨어 공급업체에 대한 PCI 보안 표준을 참조하십시오.

3. 스캔한 자산에 대한 PCI 준수 보고서를 작성하고 실행하십시오.

관련 태스크:


자산 준수 계획 및 소프트웨어 선언 업데이트IBM Security QRadar Vulnerability Manager에서 자산에 대한 PCI 준수 보고서를 생성하려면 각 자산에 대한 증명을 완료해야 합니다.

준수에 대한 증명은 PCI 준수 보고서에 표시됩니다.


2. 탐색 분할창에서 자산 프로파일을 클릭하십시오.

3. 자산 페이지에서 증명을 제공할 자산을 선택하십시오.

4. 도구 모음에서 자산 편집을 클릭하십시오.

5. 자산 프로파일 편집 창에서 CVSS, 가중치 및 준수 분할창을 클릭하십시오.

6. 다음 필드를 완료하십시오. 지원이 필요한 경우에는 풍선 도움말을 사용하십시오.

v 준수 계획v 준수 참고사항v 준수 참고사항 선언v 준수 참고사항 설명v 준수 범위 이탈 이유


PCI 준수 보고서 작성IBM Security QRadar Vulnerability Manager에서는 PCI 준수 보고서를 작성하고 실행할 수 있습니다.

PCI 준수 보고서는 PCI 활동과 관련된 자산이 외부 공격을 방지하는 보안 조치를 준수하고 있음을 증명합니다.

시작하기 전에

PCI 준수 스캔을 실행했는지 확인하십시오.



2. 도구 모음에서 조치 > 작성을 선택하십시오.

3. 매주를 클릭한 후 다음을 클릭하십시오.

4. 보고서 마법사의 왼쪽 상단 섹션에 표시된 비분할 보고서 레이아웃을 클릭하고 다음을 클릭하십시오.

5. 보고서 제목을 입력하십시오.

6. 차트 유형 목록에서 취약성 준수를 선택하고 차트 제목을 입력하십시오.

7. 스캔 프로파일 목록에서 스캔한 자산의 스캔 프로파일을 선택하십시오.

경고: 스캔 파일이 표시되지 않는 경우에는 네트워크에서 PCI 정보를 저장하거나 처리하는 자산에 대한 PCI 스캔을 작성하고 실행해야 합니다.

8. 스캔 결과 목록에서 사용할 스캔 프로파일의 버전을 선택하십시오.

알아두기: 준수에 대한 증거를 제공하려면 스캔 결과 목록에서 최신 옵션을선택해야 합니다. 이전에 실행된 스캔 프로파일을 사용하여 준수 보고서를생성할 수도 있습니다.

9. 보고서 유형 목록에서 보고서 유형을 선택하십시오.

관리 요약, 취약성 세부사항 또는 두 가지를 모두 선택하는 경우 증명은 자동으로 PCI 준수 보고서에 첨부됩니다.

10. 스캔 고객 정보 및 승인된 스캐닝 공급업체 정보 분할창을 완료하십시오.

중요사항: 두 분할창에 있는 회사 필드에 이름을 추가하십시오. 이 정보는 보고서의 증명 섹션에 표시됩니다.

11. 컨테이너 세부사항 저장을 클릭한 후 다음을 클릭하십시오.

12. 보고서 마법사를 사용하여 PCI 준수 보고서를 완료하십시오.

결과

보고서가 자동으로 생성되어 보고서 목록에 표시됩니다.

참고:

결과로 생성된 PDF 또는 RFT 문서에서 일부 테이블 컬럼은 다음 매개변수를 사용하여 PDF 또는 RTF 보고서를 작성할 때 표시되지 않습니다.

v 차트 유형 - 취약성v 그래프 유형 - 테이블v 사용할 데이터 - 최신v 그룹화 기준 - 인스턴스

제 13 장 취약성 보고서 135

표준 가로 US 문자 페이지에 맞출 수 없는 테이블 컬럼이 많으면 이 오류가 발생할 수 있습니다.

이 문제를 방지하려면 이 유형의 보고서에서 PDF 또는 RTF 출력을 사용하지 마십시오. 스프레드시트 또는 XML 형식으로 그룹화 기준 인스턴스를 사용하는 취약성 보고서를 보십시오. 보고서를 내보내려면 보고서 마법사에서 보고서 형식으로 XLS 또는 XML을 선택하십시오.

자산 검색에 컬럼 표제 포함사용자 정의 자산 프로파일, 이름, 취약성 수 및 위험 점수를 포함하는 필터를 사용하여 자산 검색을 제한하십시오.



3. 컬럼 이름을 포함하는 필드의 왼쪽에서, 검색에 포함시키려는 컬럼 표제를 클릭하고 화살표 단추를 클릭하여 선택한 표제를 오른쪽으로 이동하십시오.

4. 위로 단추 및 아래로 단추를 클릭하여 선택한 컬럼 표제의 우선순위를 변경하십시오.

5. 검색하려는 모든 컬럼 표제가 오른쪽의 필드에 포함되어 있으면 검색을 클릭하십시오.


제 14 장 인터넷과 통신하는 새 자산 스캐닝

IBM Security QRadar Risk Manager를 사용하여 새 자산이 인터넷과 통신할때 오펜스를 작성하십시오. 이는 자산의 QRadar Vulnerability Manager 스캔을 트리거합니다.

인터넷과 통신하는 새 자산의 스캔을 트리거하려면 다음 단계를 따르십시오.

1. 새 자산에 대한 저장된 검색을 작성하십시오.

2. 동적 스캐닝이 사용으로 설정된 요청 시 스캔 프로파일을 작성하십시오.

3. 자산 저장 검색에서 새 자산을 대상으로 하는 QRadar Risk Manager 정책모니터 질문을 작성하십시오.

4. QRadar Risk Manager 정책 모니터 질문을 모니터하십시오.

5. 오펜스에 의해 작성되는 룰을 편집하십시오.

새 자산에 대한 자산 저장 검색 작성저장된 검색을 작성하여 사용자가 지정하는 일 수 내에 데이터베이스에 추가된새 자산을 캡처하십시오.


2. 탐색 메뉴에서 자산 프로파일을 클릭하십시오.

3. 검색 > 새 검색을 클릭하십시오.

4. 검색 매개변수 분할창에서 검색 기준을 추가하십시오.

5. 자산이 발견된 이후 일 수, 이하를 선택한 후 일 수를 입력하십시오.

다른 기준을 지정할 수 있지만 가장 중요한 기준은 자산이 발견된 이후 일수입니다.



8. 기준 저장을 클릭하십시오.

9. 검색의 이름을 입력한 후에 확인을 클릭하여 검색을 저장하십시오.

요청 시 스캔 프로파일 작성사용자 정의 룰 이벤트에 대한 응답으로 스캔을 트리거하려면 요청 시 스캔 프로파일을 구성하고 동적 스캐닝을 사용으로 설정하십시오.





4. 이름 및 IP 주소를 세부사항 탭에서 추가하십시오.

동적 스캐닝이 사용될 경우 이 IP 주소가 대체되므로 임의의 IP 주소를 사용할 수 있습니다.

5. 요청 시 스캐닝 사용 선택란을 선택하십시오.

6. 동적 서버 선택 선택란을 선택하십시오.

IBM Security QRadar Vulnerability Manager의 동적 스캐닝을 사용하여개별 스캐너를 IP 주소, CIDR 범위, IP 주소 범위 또는 스캔 프로파일에서지정하는 도메인과 연관시키십시오. 동적 스캐닝은 다수의 스캐너를 배치할 때가장 유용합니다.


관련 개념:



관련 태스크:



인터넷 통신을 테스트하기 위한 정책 모니터 질문 작성새 자산과 인터넷 사이의 통신을 테스트할 QRadar Risk Manager 정책 모니터질문을 작성하십시오. 새 자산은 자산 저장 검색에서 정의됩니다.


프로시저1. 위험 탭을 클릭하십시오.

2. 탐색 메뉴에서 정책 모니터를 클릭하십시오.

3. 조치 메뉴에서 새 자산 질문을 클릭하십시오.

4. 이 질문의 이름 필드에 질문의 이름을 입력하십시오.

5. 평가 위치 목록에서 실제 통신을 선택하십시오.

6. 중요 요인 목록에서 이 질문과 연관시킬 중요도 레벨을 선택하십시오.

7. 질문에 대한 시간 범위를 지정하십시오.

8. 질문에 포함시킬 테스트 필드에서 다음 테스트 옆에 있는 추가(+) 아이콘을선택하십시오.

v 인터넷으로 통신이 허용됨v 그리고 다음 자산 저장 검색만 포함

9. 다음 조건에 해당하는 자산 찾기 필드에서 테스트용 매개변수를 구성하십시오.

a. 대상을 클릭하여 인터넷에서 통신이 허용됨으로 테스트를 변경하십시오.

b. 자산 검색 저장을 클릭한 후 저장된 검색을 선택하십시오.

10. 이 질문에 대해 멤버십을 지정하려면 그룹 영역에서 관련 선택란을 선택하십시오.

11. 질문 저장을 클릭하십시오.

새 자산과 인터넷 사이의 통신 모니터링자산 저장 검색의 자산이 인터넷과 통신할 때 오펜스를 생성하도록 정책 모니터질문을 구성하십시오.

프로시저1. 위험 탭을 클릭하십시오.

2. 탐색 메뉴에서 정책 모니터를 클릭하십시오.

3. 모니터할 질문을 선택하십시오.

4. 모니터를 클릭하십시오.

5. 정책 평가 간격에서 간격을 선택하십시오.

6. 이벤트 이름 필드에 이름을 입력하십시오.

디스패치된 이벤트가 오펜스의 일부인지 확인을 선택할 경우, 오펜스 탭에서 모든 오펜스를 선택할 때 이벤트 이름이 오펜스에 대한 설명 필드에 표시됩니다.

제 14 장 인터넷과 통신하는 새 자산 스캐닝 139

오펜스에서 생성되는 룰의 이름은 위험 질문 모니터: <이벤트 이름>입니다.

오펜스 이름의 이 형식은 오펜스가 생성될 때 오펜스 탭에 표시됩니다.

7. 이벤트 이름 설명을 입력하십시오.

8. 이벤트 세부사항 섹션에서 디스패치된 이벤트가 오펜스의 일부인지 확인 선택란을 선택하고 메뉴에서 (상관 기준: 자산)을 선택하십시오.

9. 추가 조치 섹션에서:

v 이메일

이 옵션은 오펜스로 디스패치된 첫 번째 이벤트에 대한 알림을 얻으려는경우 유용합니다. 해당 오펜스에서 생성되는 룰을 편집하여 스캔을 트리거할 수 있습니다. 일부 이벤트에 대해 알림을 받지 않도록 하려면 오펜스에 의해 생성된 룰을 구성한 후에 이 알림을 끌 수 있습니다.

v SysLog에 전송

이벤트가 로그되도록 하려면 이 옵션을 선택하십시오.

v 알림

이벤트가 대시보드의 시스템 알림 경보에 표시되도록 하려면 이 옵션을선택하십시오.

10. 이 질문/시뮬레이션에 대한 모니터 결과 기능 사용을 선택하십시오.

11. 모니터 저장을 클릭하십시오.

12. 질문 제출을 클릭하십시오.

스캔을 트리거할 오펜스 룰 구성인터넷과 통신 중인 자산의 스캔을 트리거하려면 오펜스에 의해 생성되는 룰을구성하십시오.

시작하기 전에

오펜스를 생성해야 합니다. 수동으로 오펜스를 생성하거나 자산이 인터넷과 통신할 때까지 대기할 수 있습니다. 오펜스를 생성하기 위해 다음 단계 중 하나를 수행할 수 있습니다.

v 자산 저장 검색의 새 자산을 인터넷에 임시로 연결하여 수동으로 오펜스를 생성하십시오.

v 오펜스 탭에서 룰을 검색하고 오펜스가 생성된 후에 룰을 검색하십시오.

v 오펜스를 작성하는 디스패치된 이벤트에 대해 이벤트 알림을 사용으로 설정하십시오. 이 알림을 받으면 룰을 편집할 수 있습니다.


프로시저1. 오펜스 탭을 클릭하십시오.

2. 탐색 메뉴에서 룰을 클릭하십시오.

3. 도구 모음의 검색 상자를 사용하여 룰을 검색하십시오.

룰의 이름은 위험 질문 모니터: <이벤트 이름>입니다.

질문 모니터 결과 창에 있는 이벤트 이름별로 검색할 수 있습니다.

모든 오펜스를 선택하면 오펜스의 이벤트 이름이 설명 필드에 표시됩니다.

4. 룰 이름을 두 번 클릭하여 룰 마법사를 여십시오.

5. 다음을 클릭하십시오.

6. 다음 설정을 구성하십시오.

a. 발견된 이벤트가 오펜스의 일부인지 확인 선택란을 선택하십시오.

b. 오펜스 인덱싱 기준 메뉴에서 대상 IP를 선택하십시오.

c. 로컬 SysLog에 전송 선택란을 선택하십시오.

d. 스캔 트리거 선택란을 선택하십시오.

e. 템플리트로 사용될 스캔 프로파일 메뉴에서 사용하려는 스캔 프로파일을선택하십시오.

이 룰에 사용할 스캔 프로파일에서 요청 시 스캐닝 옵션을 선택해야 합니다.

f. 스캔할 로컬 IP 필드의 대상 단일 선택 단추를 클릭하십시오.

g. 응답 리미터 설정의 값을 입력하십시오.

사용자 시스템에서 잠재적인 과부하를 피할 수 있도록 적절한 간격을 구성하십시오.

h. 바로 이 룰을 활성화하지 않으려는 경우, 룰 사용 옵션을 선택 취소한 후완료를 클릭하십시오.

제 14 장 인터넷과 통신하는 새 자산 스캐닝 141


제 15 장 보안 소프트웨어 통합

IBM Security QRadar Vulnerability Manager는 다른 보안 제품과 통합되어 보안 위험을 관리하고 우선순위를 지정하는 데 도움을 줍니다. 다른 소프트웨어와의 통합은 QRadar Vulnerability Manager의 기능을 확장시킵니다.

QRadar Vulnerability Manager와의 통합IBM Security QRadar Vulnerability Manager는 IBM Security QRadar Risk

Manager와 통합하여 네트워크의 위험 및 취약성에 우선순위를 설정하는 데 도움을 줍니다.

별도의 어플라이언스로 QRadar Risk Manager를 설치한 후 관리 탭의 시스템및 라이센스 관리 도구를 사용하여 이를 QRadar SIEM 콘솔에 관리 호스트로추가합니다.

QRadar Risk Manager 설치에 대한 자세한 정보는 IBM Security QRadar Risk

Manager 설치 안내서를 참조하십시오.

위험 정책 및 취약성 우선순위 지정

자산 또는 취약성 위험 정책을 정의하고 모니터링하여 QRadar Vulnerability

Manager를 QRadar Risk Manager와 통합할 수 있습니다.

QRadar Risk Manager에 정의하는 위험 정책이 패스하거나 실패하면 QRadar

Vulnerability Manager에 있는 취약성 위험 점수가 조정됩니다. 조정 레벨은 조직의 위험 정책에 따라 달라집니다.

취약성 위험 점수가 QRadar Vulnerability Manager에서 조정될 때 관리자는 다음 태스크를 수행할 수 있습니다.

v 위험 정책에 실패한 취약성을 즉시 볼 수 있습니다.

예를 들면, 새 정보는 QRadar 대시보드에 표시하거나 이메일을 통해 전송할수 있습니다.

v 즉시 처리해야 하는 취약성의 우선순위를 다시 지정합니다.

예를 들면, 관리자는 위험 점수를 사용하여 위험성이 높은 취약성을 신속히 식별할 수 있습니다.

QRadar Risk Manager에서 자산 레벨에 위험 정책을 적용하면 해당 자산에 있는 모든 취약성의 위험 점수가 조정됩니다.


위험 정책 작성 및 모니터링에 대한 자세한 정보는 IBM Security QRadar Risk

Manager 사용자 안내서를 참조하십시오.


제 16 장 IBM BigFix 통합

IBM Security QRadar Vulnerability Manager와 IBM BigFix를 통합하면, 수정 가능한 취약성을 필터링하고 우선순위를 지정할 수 있습니다.

취약성 관리와 함께 BigFix 기능을 사용하는 이유가 무엇입니까?

BigFix(이전에는 IBM Security Endpoint Manager라 함)는 IT 운영과 보안 사이에서 공유되는 가시성 및 제어를 제공합니다. BigFix는 Fixlet을 식별되어QRadar Vulnerability Manager에 의해 BigFix로 보내지는 높은 우선순위의 취약성에 적용합니다. Fixlet은 특정 취약성을 개선하기 위해 자산 또는 엔드포인트에 배치하는 패키지입니다. BigFix 콘솔의 취약한 컴퓨터 관리 대시보드로부터Fixlet을 동시에 많은 자산 또는 엔드포인트로 배치할 수 있습니다.

BigFix 콘솔의 취약한 컴퓨터 관리를 사용하여 지정학적으로 무수한 위치에 있는 다양한 플랫폼 및 디바이스에 걸쳐 수많은 자산 또는 엔드포인트의 네트워크를 관리 및 제어하십시오.

BigFix로 취약성을 개선하는 방법은 무엇입니까?

BigFix는 QRadar Vulnerability Manager와 통합된 대시보드를 제공합니다.

BigFix 콘솔에서 이 대시보드를 사용하면 QRadar Vulnerability Manager에 의해 발견되어 보내진 취약성을 확인하고 개선할 수 있습니다.

BigFix 콘솔에서 QRadar Vulnerability Manager 취약성 데이터를 보려면QRadar Vulnerability Manager를 구성한 후 QRadar Vulnerability Manager

에서 보내진 취약성 데이터를 처리하도록 BigFix를 구성하십시오. BigFix 구성에대한 정보는 IBM BigFix QRadar 사용자 안내서를 참조하십시오.

QRadar Vulnerability Manager 및 BigFix가 함께 작업할 수 있는 방법은 무엇입니까?

QRadar Vulnerability Manager는 자산 또는 엔드포인트를 취약성에 대해 스캔하고 위험 점수를 지정하며, 위험 점수는 취약성이 조직에 제기하는 위험 레벨을의미합니다. QRadar Vulnerability Manager는 고위험 취약성을 필터링하기 위해 BigFix 어댑터의 위험 점수 매개변수를 사용하여 개선하도록 BigFix에 보냅니다. QRadar Vulnerability Manager는 BigFix로 보내는 각 취약성에 CVE ID

를 지정합니다.

취약성 데이터가 식별 및 처리되는 방법에 대한 자세한 정보:


다음 목록에서는 CVE(Common Vulnerabilities and Exposures)에 의해 식별된 취약성 데이터가 QRadar Vulnerability Manager 및 BigFix에 의해 처리되는 방법을 설명합니다.

v QRadar Vulnerability Manager는 CVE ID를 가진 취약성만 BigFix에 보냅니다.

v QRadar Vulnerability Manager는 단일 취약성과 연관된 모든 CVE ID를BigFix에 보냅니다. 일부 취약성은 다수의 CVE ID를 가질 수 있습니다.

v QRadar Vulnerability Manager는 CVE가 둘 이상의 취약성을 보여줄 때 가장 높은 위험 점수를 가진 CVE만 BigFix에 보냅니다.

예를 들어 다음 CVE ID, 2016-0015에서는 두 가지 다른 취약성을 보여줍니다. 고위험 취약성이 있는 CVE만 BigFix로 보내집니다.

{Name: CVE-2016-0015- MS16-007 - Microsoft - DirectShow - Code Execution IssueVulnerability ID: 169296CVE: 2016-0015Risk: High

Name: Microsoft Windows DirectShow code executionVulnerability ID: 169243CVE: 2016-0015Risk: Medium}

BigFix는 QRadar Vulnerability Manager로부터 CVE ID 및 위험 점수와 함께취약성 데이터를 수신하며, 이는 BigFix 취약한 컴퓨터 관리 대시보드에 표시됩니다. BigFix 콘솔에서 취약한 컴퓨터 관리 대시보드를 사용하여 QRadar

Vulnerability Manager에서 보내진 취약성을 확인하고 관리하십시오. BigFix는Fixlet®을 직접 자산 또는 엔드포인트에 적용하여 Fixlet을 가지고 있는 고위험 취약성을 개선합니다. QRadar Vulnerability Manager는 SOAP API를 사용하여BigFix 웹 보고서로부터 취약성 수정사항 상태 업데이트를 얻습니다.

BigFix를 QRadar Risk Manager로 확장하는 방법

QRadar Risk Manager가 설치되어 있는 경우, QRadar Risk Manager의 위험정책을 사용하여 자산 위험 점수를 더 세분화할 수 있습니다. QRadar Risk

Manager에 정의하는 위험 정책이 패스하거나 실패하면 QRadar Vulnerability

Manager에 있는 취약성 위험 점수가 조정됩니다. 즉각적인 주의를 필요로 하는취약성을 다시 우선순위 지정할 수 있습니다. 위험 정책을 QRadar Risk Manager

의 자산에 적용하는 경우, 해당 자산에 대한 모든 취약성의 위험 점수가 조정됩니다. 자세한 정보는 QRadar Risk Manager 사용자 안내서를 참조하십시오.


취약성 개선

BigFix의 설치 및 통합 여부에 따라 QRadar Vulnerability Manager에서는 취약성에 대한 다음 정보를 제공합니다.

BigFix가 설치되지 않은 경우QRadar Vulnerability Manager는 수정사항을 사용할 수 있는 취약성에대한 일일 업데이트를 제공합니다.

QRadar Vulnerability Manager는 취약성 수정사항 정보의 목록을 유지합니다. 수정사항 정보는 알려진 취약성 카탈로그와 서로 연관되어 있습니다.

사용 가능한 수정사항이 있는 취약성을 식별하려면 QRadar Vulnerability

Manager에서 검색을 사용하십시오.

BigFix가 설치된 경우QRadar Vulnerability Manager는 또한 취약성 수정사항 프로세스에 대한 특정 세부사항도 제공합니다. 예를 들면, 수정사항이 스케줄링되었거나자산이 이미 수정되었을 수 있습니다.

BigFix 서버는 각 BigFix 에이전트로부터 수정 정보를 수집합니다. QRadar

Vulnerability Manager는 사전 구성된 시간 간격으로 BigFix 서버에서취약성 수정사항 정보에 대한 업데이트를 얻습니다.

수정되도록 스케줄링되었거나 이미 수정된 취약성을 식별하려면 QRadar

Vulnerability Manager에서 검색을 사용하십시오.

통합 구성요소

일반적인 통합 배치는 다음 구성요소로 구성됩니다.

v IBM Security QRadar Console.

v QRadar Vulnerability Manager.

v BigFix 서버.

v 네트워크에 있는 각 스캔 대상의 BigFix 에이전트.

관련 태스크:

123 페이지의 『취약성의 패치 상태 식별』IBM Security QRadar Vulnerability Manager에서는 취약성의 패치 상태를식별할 수 있습니다.

관련 정보:

http://www.ibm.com/support/knowledgecenter/SS6MCG_9.5.0/

com.ibm.bigfix.compliance.doc/Compliance/QRadar/User_Guide/

QRadar_users_guide.html

제 16 장 IBM BigFix 통합 147

http://www.ibm.com/support/knowledgecenter/SS6MCG_9.5.0/com.ibm.bigfix.compliance.doc/Compliance/QRadar/User_Guide/QRadar_users_guide.html



IBM Security QRadar와 IBM BigFix 사이의 상호작용IBM Security QRadar와 BigFix 사이의 상호작용을 구성하기 전에 서로가 상호작용하는 방법을 이해하는 것이 중요합니다.

다음 다이어그램에서는 자산의 초기 스캔에서 스캔된 자산에서의 취약성 개선에이르기까지 QRadar와 BigFix 사이의 일부 상호작용에 대한 상위 레벨 개요를 보여줍니다.

다음 목록에서는 취약성에 대한 초기 스캔에서 이러한 취약성의 개선까지QRadar와 BigFix 간의 상호작용에 대한 광범위한 아웃라인에 대해 설명합니다.

1. QRadar Vulnerability Manager 스캐너는 취약성을 감지하기 위해 자산의인증된 스캔을 완료합니다. 전체, 패치 또는 PCI 스캔 정책을 사용하는 스캔프로파일에 구성된 자산의 취약성만 BigFix에서 처리될 수 있습니다.

2. BigFix 에이전트가 자산에 설치되면 QRadar Vulnerability Manager는 자산에서 취약성을 발견할 때 해당 자산으로부터 BES 에이전트 ID를 검색합니다. BES 에이전트 ID는 자산을 식별하고 해당 자산에서 취약성을 개선하기 위해 BigFix에서 사용되는 고유 ID입니다. BigFix는 QRadar 자산을 컴퓨터라 합니다.

3. 스캔 결과는 QRadar 자산 모델에서 업데이트되며, 여기에는 BigFix 에이전트를 가진 자산으로부터의 BES 에이전트 ID가 포함됩니다. 스캔 프로파일의

그림 1. QRadar Vulnerability Manager와 BigFix의 상호작용


스캔 상태가 progress=100%라는 상태를 표시할 경우, 자산 모델이 업데이트되고 취약성 데이터가 기본적으로 15분 내에 BigFix로 보내집니다.

4. 자산 모델이 스캔 데이터로 업데이트되면 QRadar Console에 설치된 BigFix

어댑터가 자산 모델에서 위험 점수와 함께 업데이트된 취약성 데이터를 수신합니다. 데이터에는 BES 에이전트 ID가 포함됩니다. BigFix 어댑터는 BES

에이전트 ID가 포함된 경우 자산의 취약성 정보만 처리합니다.

5. BigFix로 보내진 취약성 데이터는 QRadar Console의 어댑터 특성 파일(/opt/qvm/adaptor/config/adaptor.properties)에 구성된 위험 점수 매개변수에서 필터링됩니다. 기본 위험 점수는 0.0이며, 이는 모든 취약성이 BigFix

로 보내진 것을 의미합니다.

6. BigFix 어댑터는 BigFix REST API를 사용하여 취약성 정보를 BigFix로 보내며 취약성 CVE를 Fixlet과 상관시킵니다. 기본적으로 데이터는 15분 간격으로 BigFix로 보내집니다.

7. REST API에 의해 보내진 취약성 정보는 BigFix 취약한 컴퓨터 관리 대시보드에 표시됩니다. BigFix 취약한 컴퓨터 관리 대시보드에서 고위험 취약성을가진 자산에 Fixlet을 배치할 수 있습니다. BigFix는 Fixlet을 자산에 직접 적용할 때 자산에 대한 고유 참조로 BES 에이전트 ID를 사용합니다.

8. BigFix는 Fixlet을 취약성을 가진 자산에 적용합니다.

9. SOAP API(웹 보고서)는 BigFix에서 취약성 패치 상태를 가져오는 데 사용됩니다. 저장된 검색 및 취약성 탭의 필터를 사용하여 이 업데이트된 취약성정보를 확인하십시오.

사용자 자산의 개정된 취약성 상태로 자산 모델을 업데이트하려면 패치된 자산을 다시 스캔해야 합니다.

IBM BigFix와 QRadar 사이의 암호화된 통신 구성IBM Security QRadar Vulnerability Manager가 IBM BigFix에서 웹 보고서를사용하여 취약성 수정사항 상태 업데이트를 수신하도록 하려면 TLS(Transport

Layer Security)를 구성하십시오.

QRadar Vulnerability Manager가 BigFix로부터 Fixlet 상태 업데이트를 수신할경우, BigFix 관련성 언어를 사용하는 조회를 사용하여 업데이트를 요청하기 위해 BigFix 웹 보고서용 SOAP API를 사용합니다. 조회는 인메모리 BigFix 웹 보고서 데이터베이스에서 데이터를 추출하는 데 사용됩니다. QRadar는 데이터를 구문 분석하여 저장합니다. 저장된 검색을 사용하여 QRadar에서 BigFix 업데이트를 볼 수 있습니다. BigFix는 기본적으로 웹 보고서 TLS를 사용하지 않습니다.

TLS 통신 및 BigFix 웹 보고서를 구성합니다.


시작하기 전에

다음 구성요소를 네트워크에 설치해야 합니다.

v BigFix 서버.

v BigFix 콘솔.

v BigFix 에이전트(네트워크에서 스캔할 각 자산에 설치).

v IBM Security QRadar Console.

v QRadar Vulnerability Manager의 라이센스가 부여된 설치

최신 업데이트와 함께 QRadar V7.2.6 이상이 설치되어 있어야 합니다.

참고: 이 통합을 준비하려면 관리 탭에서 자동 업데이트를 실행하여 최신 스캔 도구를 얻는 것이 좋습니다.

프로시저1. TLS를 구성하려면 다음 단계를 완료하십시오.

a. QRadar Console의 쉘 프롬프트에서 다음 명령을 입력하여 BigFix에서QRadar Console로 공개 키 인증서를 다운로드하십시오.

openssl x509 -in <(openssl s_client -connect <bigfix ip

address>:<port> -prexit 2>/dev/null) > /opt/qvm/iem/

iem_cert.pem

일반적으로 BigFix는 포트 52312에서 청취합니다.

b. QRadar에서 신뢰 저장소를 작성하려면 다음을 입력하십시오. 다음 명령을 입력하십시오.

keytool -keystore /opt/qvm/iem/truststore.jks -genkey -alias

iem_webreports

c. 다음 명령을 입력하여 BigFix 공개 키 인증서를 QRadar 신뢰 저장소로가져오십시오.

keytool -importcert -file /opt/qvm/iem/iem_cert.pem -keystore

/opt/qvm/iem/truststore.jks -storepass <your_truststore_password>

-alias BigFix_webreports

d. 이 인증서를 신뢰합니까? 프롬프트에 예를 입력하십시오.

2. QRadar Vulnerability Manager에 대한 TLS 및 BigFix 웹 보고서를 구성하려면 다음 단계를 완료하십시오.

a. SSH를 사용하여 root 사용자로 QRadar 콘솔에 로그인하십시오.


b. ./iem-setup-webreports.pl을 입력하고 프롬프트가 표시되면 BigFix 서버의 호스트 이름, 호스트 포트, 사용자 이름 및 비밀번호를 입력하십시오.

어떤 디렉토리에서든 이 명령을 실행할 수 있습니다. 파일은 /opt/qvm/iem

디렉토리에 작성됩니다.

c. SSL/TLS 암호화를 사용합니까? 프롬프트에 적절한 응답을 입력하십시오.

d. 프롬프트에 따르십시오.

e. webreports.properties 파일의 컨텐츠를 보려면 쉘 프롬프트에 다음 명령을 입력하십시오.

more /opt/qvm/iem/webreports.properties

webreports.properties 파일에는 허용된 SSL/TLS 전송 프로토콜(예:

webreports.tls.protocols=TLSv1.2) 또는 쉼표로 구분된 목록(webreports.tls.protocols=TLSv1.2,TLSv1.1)이 포함됩니다.

다음 행에 IP 주소를 따르는 포트 번호가 포함되어 있는지 확인하십시오.

webreports.endpoint=http://<IP_address>:<port>/webreports

다른 포트를 사용하려는 경우, /opt/qvm/iem/webreports.properties 파일을 편집하고 포트 번호를 변경하십시오.

취약성 데이터를 BigFix로 보내도록 QRadar Vulnerability Manager 구성BigFix 어댑터를 QRadar Console에 설치 및 구성하여 IBM Security QRadar

Vulnerability Manager가 위험 점수를 포함하는 취약성 데이터를 IBM BigFix

에 보낼 수 있도록 설정하십시오.

프로시저1. QRadar Console에 root 사용자로 로그인하십시오.

2. BigFix 어댑터 설정을 구성하십시오.

a. /opt/qvm/adaptor/config 디렉토리로 이동하여 다음 설정 스크립트를 실행하십시오. ./setup-adaptor.sh

b. 새 비밀번호를 입력하여 BigFix 서버 인증서를 저장하는 신뢰 저장소를작성하십시오.

신뢰 저장소는 /opt/qvm/adaptor/truststore.jks에 작성됩니다.

다음 특성 파일이 /opt/qvm/adaptor/config 디렉토리에 작성됩니다.

v adaptor.properties


v adaptor-bigfix.properties

v plugin-bigfix.properties

c. plugin-bigfix.properties 파일에 TLS 항목(예: TLSv1.2) 또는 쉼표로구분된 TLS 목록(TLSv1.2,TLSv1.1,SSLv1.3)이 있는지 확인하십시오.

목록의 첫 번째 항목은 다음과 같은 보안 컨텍스트를 작성하는 데 사용됩니다. bes.rest.allowed.protocols=TLSv1.2

d. 프롬프트에서 BigFix 서버의 호스트 이름 또는 IP 주소, 사용자 이름 및비밀번호를 입력하여 BigFix REST API 서버에 대한 세부사항을 제공하십시오.

입력하는 사용자 이름 및 비밀번호는 BigFix REST API에 사용되는 신임 정보와 동일합니다. REST API는 취약성 데이터를 BigFix로 보내는데 사용됩니다.

e. 다음 명령을 입력하여 자산 프로파일러를 다시 시작하십시오.

/opt/qradar/init/assetprofiler restart

최적의 성능을 보장하려면 QRadar Vulnerability Manager 스캔이 실행중이거나 써드파티 스캐너에서 취약성 가져오기를 예상 중인 경우 자산프로파일러를 다시 시작하지 마십시오.

adaptor.properties가 작성됩니다. 이 파일에는 BigFix로 보내지는 취약성 데이터에 대한 구성 매개변수가 포함됩니다.

3. 설정 프로세스가 완료되었는지 확인하십시오.

a. /opt/qvm/adaptor/config/adaptor.properties 파일에서 다음 특성이 설정되어 있는지 확인하십시오.

qvm.adaptor.listener.enabled=true

qvm.adaptor.process.daemon=false

b. 다음 특성을 편집하여 adaptor.properties 파일에서 위험 점수 및 자산업데이트 단위를 설정하십시오.

표 13. 어댑터 특성 및 설명특성 이름(API) 설명qvm.adaptor.minimum.vuln.riskscore=n 각 취약성 위험 점수에 대한 임계값을 정의합니

다. 취약성이 설정 값보다 크거나 같으면 BigFix로 보내집니다. 예를 들어, 값을 5로 설정하면 위험 점수가 5 이상인 취약성만 BigFix에 전송합니다.


표 13. 어댑터 특성 및 설명 (계속)

특성 이름(API) 설명qvm.adaptor.minimum.asset.riskscore=n 해당 자산에 있는 모든 취약성의 누적 위험 점

수입니다.

자산의 취약성이 minimum.vuln.riskscore에 설정된 값 이상이 아니면 점수가 이 값보다 적은자산의 취약성은 BigFix에 전송되지 않습니다.

참고 : m i n i m u m . v u l n . r i s k s c o r e는minimum.asset.riskscore를 겹쳐씁니다 .minimum.vuln.riskscore가 0으로 설정된 경우minimum.asset.riskscore 값에 상관없이 모든취약성은 IBM BigFix에 전송됩니다.

minimum.asset.riskscore 매개변수를 사용하여위험이 낮은 여러 취약성을 포함하는 자산에서취약성을 캡처합니다. 그러면 자산의 누적 위험점수가 높게 나타납니다. 이 값을 설정하는 경우이 설정에서 minimum.vuln.riskscore 값의 영향을 이해해야 합니다.

qvm.adaptor.assetupdate.limit=n BigFix 대시보드 데이터 자원 분할 방법을 정의합니다. 모든 CVE ID가 마지막 자산에 대해 채워질 때까지는 분할이 발생하지 않습니다.

v 예를 들어,

qvm.adaptor.assetupdate.limit=20에서 자산 1은 19개의 CVE ID를 가지며 자산 2는30개의 CVE ID를 가집니다. 하나의 데이터자원이 생성되며 49개 CVE ID 전부와 함께두 자산이 모두 포함됩니다.

v 예를 들어,

qvm.adaptor.assetupdate.limit=19에서 자산 1은 19개의 CVE ID를 가지며 자산 2는30개의 CVE ID를 가집니다. 두 개의 데이터자원이 생성되며 각각 하나의 자산이 포함됩니다.

qvm.adaptor.source.data.delay=n 데이터가 BigFix로 보내지는 빈도를 정의합니다.예를 들어, n=15인 경우 BigFix에 전송할 수 있는 취약성 데이터가 있으면 15분마다 BigFix에취약성 데이터를 전송합니다.

adaptor.properties 파일을 편집하면 BigFix로 보내는 취약성 데이터가필터링됩니다.

c. BigFix 플러그인 구성이 다음 디렉토리를 작성하는지 확인하십시오.

v /store/qvm/adaptor/data

v /store/qvm/adaptor/bigfix


d. 로깅이 /opt/qvm/adaptor/log4j.xml 파일에서 사용으로 설정되었는지 확인하십시오.

로그 파일은 /var/log/qvm-integration-adaptor.log 및 /var/log/

qvm-adaptor-cron.log 파일에 있습니다.

참고: BigFix 서버에 연결할 수 없기 때문에 인증서를 다운로드하지 못하는 경우, 설정은 실패하지 않습니다. 다음 명령을 실행하여 나중에 인증서를 다운로드할 수 있습니다.

./install-cert.sh <truststore_location>

<truststore_password><truststore_IP_address: port>

예를 들어 다음 명령 형식을 사용하십시오.

./install-cert.sh /opt/qvm/adaptor/truststore.jks <abc3password>

<176.15.192.240>:<63455>

BigFix 및 QRadar Vulnerability Manager 통합 문제점 해결BigFix 및 QRadar Vulnerability Manager 통합을 구성할 때 발생할 수 있는문제점을 해결합니다.

문제점 해결 컨텐츠v 『IBM BigFix 서버에 대한 연결 실패로 인해 BigFix 인증서를 가져오지 못했습니다.』

v 155 페이지의 『IBM BigFix와의 연결성 확인』v 155 페이지의 『최신 스캔 도구가 설치되어 있습니까?』v 156 페이지의 『 BigFix 스캔 기능이 설치되어 있습니까?』v 156 페이지의 『비밀번호 재설정』v 비밀번호 예외 오류v 157 페이지의 『취약성 스캔 데이터가 BigFix로 보내지지 않음』v 157 페이지의 『자산 모델이 업데이트되었습니까?』

IBM BigFix 서버에 대한 연결 실패로 인해 BigFix 인증서를 가져오지 못했습니다.

BigFix 서버에 대한 연결 실패로 인해 인증서를 QRadar로 가져오지 못한 경우다음 오류 메시지가 표시될 수 있습니다.

ERROR [TrustStoreConfig] Failed to configure trust store with peer certificates :

Connection timed out java.net.ConnectException: Connection timed out.


구성에 성공했지만 신임 정보가 신뢰 저장소에 없습니다.

BigFix 서버에 대한 액세스 권한이 있는 경우 다음 단계를 수행하여 인증서를 수동으로 로드해야 합니다.

1. /store/qvm/adaptor 디렉토리로 이동하십시오.

2. 다음 설정 스크립트를 실행하십시오. ./install-cert.sh

< t r u s t s t o r e _ l o c a t i o n >

<truststore_password><truststore_IP_address:port> - 여기서, port는 인증서가 속한 서비스의 포트입니다.

IBM BigFix와의 연결성 확인

IBM BigFix와의 연결성을 확인하려면 다음 단계를 수행하십시오.

1. 웹 브라우저에서 다음 URL을 입력하십시오.

https://BigFix의 IP_address 또는 DNS_hostname:8080/

webreports?page=QNA

2. 명령 프롬프트의 단일 행에 다음 문자열을 입력하십시오.

(id of site of it,id of it,name of it,cve id list of it) of fixlets

whose (cve id list of it as lowercase contains "cve") of bes sites

3. 평가를 클릭하십시오.

다음 문자열은 하나의 결과에 대한 출력의 예입니다.

2, 104301, MS01-043: NNTP Service in Windows NT 4.0Contains Memory Leak, CVE-2001-0543

다음 표에서는 이 결과의 각 부분을 알기 쉽게 나누어 설명합니다.

표 14. 조회 결과결과 조회 매개변수 설명2 (id of site of it) Fixlet 사이트 ID

104301 (id of it) Fixlet ID

MS01-043: NNTP Service in

Windows NT 4.0 Contains

Memory Leak

(name of it) Fixlet 이름

CVE-2001-0543 (cve id list of it) CVE ID

최신 스캔 도구가 설치되어 있습니까?

이 통합이 작동하는 데 필요하므로 QRadar의 새 설치에 필요한 최신 스캔 도구를 가져오려면 자동 업데이트를 실행해야 합니다. 자동 업데이트 아이콘을 클릭하여 관리 탭에서 자동 업데이트를 실행하십시오.


QRadar 자동 업데이트 설치에 대한 자세한 정보는 IBM Security QRadar 관리안내서를 참조하십시오.

BigFix 스캔 기능이 설치되어 있습니까?

BigFix 스캔 기능이 QRadar에 설치되어 있는지 테스트하려면 다음 명령을 실행하십시오.

grep -rl 'BIG_FIX_AGENT_ID' /opt/qvm

BigFix 스캔 기능이 설치되어 있는 경우 다음 결과가 리턴됩니다.

v /opt/qvm/sys/perl/scanner/FusionVM/smb_patch_scanning.pm

v /opt/qvm/bin/ssh/packages/bin/ssh-packages

이러한 파일이 표시되지 않으면 자동 업데이트 아이콘을 클릭하여 관리 탭에서자동 업데이트를 실행하십시오.

비밀번호 재설정

BigFix 세부사항이 변경되면 비밀번호를 변경해야 할 수 있습니다.

1. /opt/qvm/adaptor/config 디렉토리에 있는 plugin-bigfix.properties 파일을 편집하십시오.

2. 다음 행을

_decrypt.bes.rest.password=lUb5qzr7FIVH+J319erc+g== 다음 행으로 바꾸십시오.

_encrypt.bes.rest.password=newpassword

여기서 newpassword는 새 비밀번호입니다.

3. 다음 스크립트를 실행하여 새 비밀번호를 암호화하십시오.

./password-property-encrypt.sh plugin-bigfix.properties

/var/log/iem-cron.log 파일의 비밀번호 예외 오류

/var/log/iem-cron.log 파일에 다음 오류가 표시될 수 있습니다.

Exception in thread "main" java.lang.NoClassDefFoundError:com.sun.org.apache.xerces.internal.dom.ElementNSImpl

이 비밀번호 예외 오류는 /opt/qvm/iem/webreports.properties 파일이 올바르지 않은 비밀번호를 사용할 때 발생합니다.

이 오류를 수정하려면 쉘 프롬프트에서 /opt/qvm/ iem/ iem-setup-

webreports.pl을 실행한 후에 올바른 비밀번호를 입력하십시오.


취약성 스캔 데이터가 BigFix로 보내지지 않음

스캐너가 자산에서 인증하고 필요한 정보에 액세스할 수 있는지 확인하십시오.


2. 스캔 이름 행의 자산 컬럼에서 번호를 클릭하십시오.

3. 플래그 아이콘이 있는 컬럼에 표시되는 경고 기호 위로 마우스를 움직이십시오.

4. 스캔 프로파일에서 신임 정보 문제를 확인하거나 스캐너가 필수 정보에 액세스하지 못하게 하는 자산 구성 문제를 확인하십시오.

자산 모델이 업데이트되었습니까?

자산 모델이 스캔 결과로 업데이트되었는지 확인하려면 다음을 수행하십시오.



빨간색 삼각형의 경고가 표시되면 자산 모델이 스캔 결과로 업데이트되지 않은 것입니다.



제 17 장 IBM Security SiteProtector 통합

QRadar Vulnerability Manager는 IBM Security SiteProtector와 통합되어IPS(Intrusion Prevention System) 정책을 관리하는 데 도움을 줍니다.

IBM Security SiteProtector를 구성하면, 스캔에서 발견되는 취약성은 자동으로SiteProtector로 전달됩니다.

IBM Security SiteProtector는 통합이 구성된 이후에 수행된 QRadar Vulnerability

Manager 스캔에서만 취약성 데이터를 수신합니다.

IBM Security SiteProtector에 연결취약성 데이터를 IBM Security QRadar Vulnerability Manager에서 IBM

Security SiteProtector에 전달하여 IPS(Intrusion Prevention System) 정책을 관리하는 데 도움을 줄 수 있습니다.


2. SiteProtector 사용을 클릭하십시오.

3. SiteProtector IP 주소 필드에 IBM Security SiteProtector 에이전트 관리자서버의 IP 주소를 입력하십시오.

이 연결의 기본 포트는 3995입니다.

4. 저장을 클릭한 후 닫기를 클릭하십시오.




네트워크 자산을 스캔하여 IBM Security SiteProtector 설치에 취약성 데이터가표시되는지 판별하십시오.



제 18 장 취약성 조사, 뉴스 및 권고

IBM Security QRadar Vulnerability Manager를 사용하여 취약성 위협 레벨을계속 파악하고 조직 내의 보안을 관리할 수 있습니다.

취약성 라이브러리에는 외부 소스의 목록에서 수집한 공통 취약성이 포함되어 있습니다. 가장 주된 외부 자원은 NVD(National Vulnerability Database)입니다.

공급업체, 제품 및 날짜 범위와 같은 몇 가지 기준을 사용하여 특정 취약성을 조사할 수 있습니다. 사용자의 엔터프라이즈에서 사용하는 제품 또는 서비스에 있는 특정 취약성에 관심을 가질 수도 있습니다.

QRadar Vulnerability Manager는 또한 자원과 공급업체의 외부 목록에서 수집한 보안 관련 뉴스 기사 및 권고의 목록을 제공합니다. 기사와 권고는 전세계 보안 정보의 유용한 소스입니다. 기사는 또한 최신 보안 위험을 파악하는 데 도움을 줍니다.

게시된 취약성에 대한 자세한 정보 보기IBM Security QRadar Vulnerability Manager에서는 자세한 취약성 정보를 표시할 수 있습니다.

취약성 조사 페이지를 사용하여, IBM X-Force® 조사 및 개발의 CVSS 지표 및액세스 정보를 조사할 수 있습니다.


2. 탐색 분할창에서 조사 > 취약성을 선택하십시오.

3. 옵션: 취약성이 표시되지 않는 경우 취약성 보기 지점 목록에서 다른 시간 범위를 선택하십시오.

4. 옵션: 취약성을 검색하려면 도구 모음에서 검색 > 새 검색을 선택하십시오.

5. 조사할 취약성을 식별하십시오.

6. 취약성 이름 컬럼에서 해당 취약성 링크를 클릭하십시오.

글로벌 보안 개발 정보 파악IBM Security QRadar Vulnerability Manager에서는 최신 보안 개발 정보를 파악하는 데 도움을 주는 전 세계의 보안 뉴스를 볼 수 있습니다.



2. 탐색 분할창에서 조사 > 뉴스를 클릭하십시오.

3. 뉴스 기사가 표시되지 않는 경우 뉴스 보기 지점 목록에서 다른 시간 범위를선택하십시오.

4. 뉴스 기사를 검색하려면 도구 모음에서 검색 > 새 검색을 선택하십시오.

5. 더 자세히 알아볼 뉴스 기사를 식별하십시오.

6. 기사 제목 컬럼에서 해당 뉴스 기사 링크를 클릭하십시오.

취약성 공급업체의 보안 권고 보기IBM Security QRadar Vulnerability Manager에서는 소프트웨어 공급업체에서발행한 취약성 권고를 볼 수 있습니다. 권고 정보를 사용하면 사용자의 기술에 존재하는 위험을 식별하고 위험이 미치는 영향을 이해하는 데 도움이 됩니다.


2. 탐색 분할창에서 조사 > 권고를 클릭하십시오.

3. 권고가 표시되지 않는 경우 권고 보기 지점 목록에서 다른 시간 범위를 선택하십시오.

4. 보안 권고를 검색하는 경우에는 도구 모음에서 검색 > 새 검색을 선택하십시오.

5. 권고 컬럼에서 해당 권고 링크를 클릭하십시오.

각 보안 권고에는 취약성 참조, 솔루션 및 임시 해결책이 포함되어 있을 수있습니다.

취약성, 뉴스 및 권고 검색IBM Security QRadar Vulnerability Manager에서는 소프트웨어 공급업체에서발행한 최신 취약성 뉴스 및 권고를 검색할 수 있습니다.


2. 탐색 분할창에서 다음 옵션 중 하나를 클릭하십시오.

v 조사 > 취약성v 조사 > 뉴스v 조사 > 권고



4. 문구 필드에 검색 문구를 입력하십시오.

5. 뉴스 항목을 검색하는 경우에는 소스 목록에서 뉴스 소스를 선택하십시오.

6. 날짜 범위별 영역에서 관심있는 뉴스 또는 권고의 날짜 기간을 지정하십시오.

7. 게시된 취약성을 검색하는 경우 제품별 영역에서 공급업체, 제품 및 제품 버전을 지정하십시오.

8. 게시된 취약성을 검색하는 경우 ID별 영역에서 CVE, 취약성 또는 OSVDB

ID를 지정하십시오.

뉴스 피드RSS 피드 대시보드 항목을 사용하면 최신 IBM 보안 뉴스, 권고문, 게시된 취약성 정보, 그리고 완료되거나 진행 중인 스캔에 대한 업데이트를 확인할 수 있습니다.

취약성 탭의 조사 또는 스캔 결과 페이지에서 정보를 검색할 필요가 없도록 RSS

피드 대시보드 항목은 최신 뉴스 및 스캔 결과 10개를 번갈아 가며 표시합니다.

대시보드 탭에서 항목 추가 > 보고서 > RSS 피드 메뉴를 사용하여 대시보드에RSS 피드를 추가하십시오.

제 18 장 취약성 조사, 뉴스 및 권고 163


주의사항

이 정보는 미국에서 제공되는 제품 및 서비스용으로 작성된 것입니다.

IBM은 다른 국가에서 이 책에 기술된 제품, 서비스 또는 기능을 제공하지 않을수도 있습니다. 현재 사용할 수 있는 제품 및 서비스에 대한 정보는 한국 IBM

담당자에게 문의하십시오. 이 책에서 IBM 제품, 프로그램 또는 서비스를 언급했다고 해서 해당 IBM 제품, 프로그램 또는 서비스만을 사용할 수 있다는 것을 의미하지는 않습니다. IBM의 지적 재산권을 침해하지 않는 한, 기능상으로 동등한제품, 프로그램 또는 서비스를 대신 사용할 수도 있습니다. 그러나 비IBM 제품,

프로그램 또는 서비스의 운영에 대한 평가 및 검증은 사용자의 책임입니다.

IBM은 이 책에서 다루고 있는 특정 내용에 대해 특허를 보유하고 있거나 현재특허 출원 중일 수 있습니다. 이 책을 제공한다고 해서 특허에 대한 라이센스까지 부여하는 것은 아닙니다. 라이센스에 대한 의문사항은 다음으로 문의하십시오.

07326

서울특별시 영등포구국제금융로 10, 3IFC

한국 아이.비.엠 주식회사대표전화서비스: 02-3781-7114

2바이트 문자 세트(DBCS) 정보에 관한 라이센스 문의는 한국 IBM에 문의하거나 다음 주소로 서면 문의하시기 바랍니다.

Intellectual Property Licensing

Legal and Intellectual Property Law

IBM Japan Ltd.

19-21, Nihonbashi-Hakozakicho, Chuo-ku

Tokyo 103-8510, Japan

IBM은 타인의 권리 비침해, 상품성 및 특정 목적에의 적합성에 대한 묵시적 보증을 포함하여(단, 이에 한하지 않음) 묵시적이든 명시적이든 어떠한 종류의 보증 없이 이 책을 "현상태대로" 제공합니다. 일부 국가에서는 특정 거래에서 명시적 또는 묵시적 보증의 면책사항을 허용하지 않으므로, 이 사항이 적용되지 않을수도 있습니다.


이 정보에는 기술적으로 부정확한 내용이나 인쇄상의 오류가 있을 수 있습니다.

이 정보는 주기적으로 변경되며, 변경된 사항은 최신판에 통합됩니다. IBM은 이책에서 설명한 제품 및/또는 프로그램을 사전 통지 없이 언제든지 개선 및/또는변경할 수 있습니다.

이 정보에서 언급되는 비IBM 웹 사이트는 단지 편의상 제공된 것으로, 어떤 방식으로든 이들 웹 사이트를 옹호하고자 하는 것은 아닙니다. 해당 웹 사이트의 자료는 본 IBM 제품 자료의 일부가 아니므로 해당 웹 사이트 사용으로 인한 위험은 사용자 본인이 감수해야 합니다.

IBM은 귀하의 권리를 침해하지 않는 범위 내에서 적절하다고 생각하는 방식으로 귀하가 제공한 정보를 사용하거나 배포할 수 있습니다.

(i) 독립적으로 작성된 프로그램과 기타 프로그램(본 프로그램 포함) 간의 정보 교환 및 (ii) 교환된 정보의 상호 이용을 목적으로 본 프로그램에 관한 정보를 얻고자 하는 라이센스 사용자는 다음 주소로 문의하십시오.

07326

서울특별시 영등포구국제금융로 10, 3IFC

한국 아이.비.엠 주식회사대표전화서비스: 02-3781-7114

이러한 정보는 해당 조건(예를 들면, 사용료 지불 등)하에서 사용될 수 있습니다.

이 정보에 기술된 라이센스가 부여된 프로그램 및 이 프로그램에 대해 사용 가능한 모든 라이센스가 부여된 자료는 IBM이 IBM 기본 계약, IBM 프로그램 라이센스 계약(IPLA) 또는 이와 동등한 계약에 따라 제공한 것입니다.

인용된 성능 데이터와 고객 예제는 예시 용도로만 제공됩니다. 실제 성능 결과는특정 구성과 운영 조건에 따라 다를 수 있습니다.

비IBM 제품에 관한 정보는 해당 제품의 공급업체, 공개 자료 또는 기타 범용 소스로부터 얻은 것입니다. IBM에서는 이러한 제품들을 테스트하지 않았으므로, 비IBM 제품과 관련된 성능의 정확성, 호환성 또는 기타 청구에 대해서는 확신할 수없습니다. 비IBM 제품의 성능에 대한 의문사항은 해당 제품의 공급업체에 문의하십시오.

IBM이 제시하는 방향 또는 의도에 관한 모든 언급은 특별한 통지 없이 변경될수 있습니다.

여기에 나오는 모든 IBM의 가격은 IBM이 제시하는 현 소매가이며 통지 없이 변경될 수 있습니다. 실제 판매가는 다를 수 있습니다.


이 정보에는 일상의 비즈니스 운영에서 사용되는 자료 및 보고서에 대한 예제가들어 있습니다. 이들 예제에는 개념을 가능한 완벽하게 설명하기 위하여 개인, 회사, 상표 및 제품의 이름이 사용될 수 있습니다. 이들 이름은 모두 가공의 것이며 실제 인물 또는 기업의 이름과 유사하더라도 이는 전적으로 우연입니다.

상표IBM, IBM 로고 및 ibm.com®은 전세계 여러 국가에 등록된 International

Business Machines Corp.의 상표 또는 등록상표입니다. 기타 제품 및 서비스 이름은 IBM 또는 타사의 상표입니다. 현재 IBM 상표 목록은 웹 "저작권 및 상표정보"(www.ibm.com/legal/copytrade.shtml)에 있습니다.

Linux는 미국 또는 기타 국가에서 사용되는 Linus Torvalds의 등록상표입니다.

UNIX는 미국 또는 기타 국가에서 사용되는 The Open Group의 등록상표입니다.

Java 및 모든 Java 기반 상표와 로고는 Oracle 및/또는 그 계열사의 상표 또는등록상표입니다.

Microsoft, Windows, Windows NT 및 Windows 로고는 미국 또는 기타 국가에서 사용되는 Microsoft Corporation의 상표입니다.

제품 문서의 이용 약관다음 이용 약관에 따라 이 책을 사용할 수 있습니다.

적용성

본 이용 약관은 IBM 웹 사이트의 모든 이용 약관에 추가됩니다.

개인적 사용

모든 소유권 사항을 표시하는 경우에 한하여 귀하는 이 책을 개인적, 비상업적 용도로 복제할 수 있습니다. 귀하는 IBM의 명시적 동의 없이 본 발행물 또는 그일부를 배포 또는 전시하거나 2차적 저작물을 만들 수 없습니다.

주의사항 167

http://www.ibm.com/legal/copytrade.shtml

상업적 사용

모든 소유권 사항을 표시하는 경우에 한하여 귀하는 이 책을 귀하 기업집단 내에서만 복제, 배포 및 전시할 수 있습니다. 귀하는 귀하의 기업집단 외에서는 IBM

의 명시적 동의 없이 이 책의 2차적 저작물을 만들거나 이 책 또는 그 일부를 복제, 배포 또는 전시할 수 없습니다.

권한

본 허가에서 명시적으로 부여된 경우를 제외하고, 이 책이나 이 책에 포함된 정보, 데이터, 소프트웨어 또는 기타 지적 재산권에 대한 어떠한 허가나 라이센스또는 권한도 명시적 또는 묵시적으로 부여되지 않습니다.

IBM은 이 책의 사용이 IBM의 이익을 해친다고 판단하거나 위에서 언급된 지시사항이 준수되지 않는다고 판단하는 경우 언제든지 부여한 허가를 철회할 수 있습니다.

귀하는 미국 수출법 및 관련 규정을 포함하여 모든 적용 가능한 법률 및 규정을철저히 준수하는 경우에만 본 정보를 다운로드, 송신 또는 재송신할 수 있습니다.

IBM은 이 책의 내용과 관련하여 아무런 보장을 하지 않습니다. 타인의 권리 비침해, 상품성 및 특정 목적에의 적합성에 대한 묵시적 보증을 포함하여 (단 이에한하지 않음) 묵시적이든 명시적이든 어떠한 종류의 보증 없이 현 상태대로 제공합니다.

IBM 온라인 개인정보 보호정책SaaS(Software as a Service) 솔루션을 포함한 IBM 소프트웨어 제품(이하 "소프트웨어 오퍼링")은 제품 사용 정보를 수집하거나 일반 사용자의 사용 경험을 개선하거나 일반 사용자와의 상호 작용을 조정하거나 그 외의 용도로 쿠키나 기타다른 기술을 사용할 수 있습니다. 많은 경우에 있어서, 소프트웨어 오퍼링은 개인 식별 정보를 수집하지 않습니다. IBM의 일부 소프트웨어 오퍼링은 귀하가 개인 식별 정보를 수집하도록 도울 수 있습니다. 본 소프트웨어 오퍼링이 쿠키를 사용하여 개인 식별 정보를 수집할 경우, 본 오퍼링의 쿠키 사용에 대한 특정 정보가 다음에 규정되어 있습니다.

본 소프트웨어 오퍼링은 배치된 구성에 따라 세션 관리 및 인증의 용도로 각 사용자의 세션 ID를 수집하는 세션 쿠키를 사용할 수 있습니다. 쿠키를 사용하지못하도록 할 수 있지만 이 경우 쿠키를 통해 사용 가능한 기능도 제거됩니다.


본 소프트웨어 오퍼링에 배치된 구성이 쿠키 및 기타 기술을 통해 최종 사용자의 개인 식별 정보 수집 기능을 고객인 귀하에게 제공하는 경우, 귀하는 통지와동의를 위한 요건을 포함하여 이러한 정보 수집과 관련된 법률 자문을 스스로 구해야 합니다.

이러한 목적의 쿠키를 포함한 다양한 기술의 사용에 대한 자세한 정보는 IBM 개인정보 보호정책(http://www.ibm.com/privacy/kr/ko), IBM 온라인 개인정보보호정책(http://www.ibm.com/privacy/details/kr/ko), "쿠키, 웹 비콘 및 기타 기술" 및 "IBM 소프트웨어 제품 및 SaaS(Software-as-a-Service) 개인정보 보호정책"(http://www.ibm.com/software/info/product-privacy) 부분을 참조하십시오.

주의사항 169

http://www.ibm.com/privacy/kr/ko

http://www.ibm.com/privacy/details/kr/ko/

http://www.ibm.com/software/info/product-privacy


용어집이 용어집은 IBM Security QRadar Vulnerability

Manager 소프트웨어 및 제품의 용어 및 정의를제공합니다.

이 용어집에 사용되는 상호 참조는 다음과 같습니다.

v 참조하십시오(See)는 비선호 용어에서부터 선호용어까지 또는 약어에서 완전한 형태까지를 참조하도록 합니다.

v 도 참조하십시오(See also)는 관련 용어 또는 대조되는 용어를 참조하도록 합니다.

기타 용어 및 정의는 IBM Terminology 웹사이트(새 창에서 열림)를 참조하십시오.

『가』『사』『아』 172 페이지의 『자』 172

페이지의 『차』 172 페이지의 『카』 172 페이지의 『C』 172 페이지의 『D』 172 페이지의『F』 172 페이지의 『H』 172 페이지의 『I』173 페이지의 『N』 173 페이지의 『P』 173 페이지의 『S』 173 페이지의 『T』 173 페이지의『U』

가개선 프로세스(remediation process)

자산에서 식별된 취약성을 지정하고 추적하고 수정하는 프로세스입니다.

고가용성(HA, high availability)

클러스터에서 남아 있는 노드에 워크로드를 다시 분배할 수 있도록 노드 또는 디먼이 실패하면 재구성되는 클러스터형 시스템과 관련되어 있습니다.

권고(advisory)

위협 또는 취약성에 대한 정보 및 분석이포함된 문서입니다.

사스캔 제외 목록(scan exclusion list)

스캔에서 무시되는 자산, 네트워크 그룹및 CIDR 범위의 목록입니다.

스캔 프로파일(scan profile)

네트워크 상의 자산을 스캔하는 방법 및시점을 지정하는 구성 정보입니다.

아암호화(encryption)

컴퓨터 보안에서, 원본 데이터를 획득하지못하도록 하거나 복호화 프로세스를 사용해서만 획득할 수 있도록 데이터를 난해한 형식으로 변환하는 프로세스입니다.

오펜스(offense)

모니터되는 조건에 대한 응답으로 전송된메시지 또는 생성된 이벤트입니다. 예를들면, 오펜스는 정책이 위반되었는지 또는네트워크가 공격받고 있는지에 대한 정보를 제공합니다.

요청 시 스캔(on-demand scan)

사용자가 시작하는 경우에만 실행되는 스캔입니다. 스캔의 유형에는 전체 스캔, 감지 스캔, 패치 스캔, PCI 스캔, 데이터베이스 스캔 및 웹 스캔이 있습니다.

운영 창(operational window)

스캔 실행이 허용되는 구성된 시간대입니다.


http://www-306.ibm.com/software/globalization/terminology/

http://www-306.ibm.com/software/globalization/terminology/

자자산(asset)

운영 환경에 배치되거나 배치될 예정인 관리 가능한 오브젝트입니다.

잠재적인 부수적 손상 가능성(CDP, collateral

damage potential)

실제 자산 또는 조직에 대한, 악용된 취약성의 잠재적 영향에 대한 측정치입니다.

차취약성(vulnerability)

운영 체제, 시스템 소프트웨어 또는 애플리케이션 소프트웨어 구성요소에서 보안위험이 노출된 부분입니다.

카콘솔(console)

운영자가 시스템 운영을 제어하고 관찰할수 있는 웹 기반 인터페이스입니다.

클라이언트(client)

서버로부터 서비스를 요청하는 소프트웨어프로그램 또는 컴퓨터입니다.

C

CDP 잠재적인 부수적 손상 가능성 (CDP,

collateral damage potential)을 참조하십시오.

CIDR

CIDR(Classless Inter-Domain Routing)

을 참조하십시오.

CIDR(Classless Inter-Domain Routing)

클래스 C IP(Internet Protocol) 주소를 추가하기 위한 방법입니다. 이들 주소는 고객이 사용할 수 있도록 인터넷 서비스 제공자(ISP)에게 제공됩니다. CIDR 주소는

라우팅 테이블 크기를 줄여 조직 내에서더 많은 IP 주소를 사용할 수 있게 해 줍니다.

CVSS

CVSS(Common Vulnerability Scoring

System)를 참조하십시오.

CVSS(Common Vulnerability Scoring

System)

취약성의 심각도를 측정하는 스코어링 시스템입니다.

D

DNS DNS(Domain Name System)를 참조하십시오.

DNS 구역 전송(DNS zone transfer)

DNS(Domain Name System) 데이터베이스를 복제하는 트랜잭션입니다.

DNS(Domain Name System)

도메인 이름을 IP 주소에 맵핑하는 분산데이터베이스 시스템입니다.

F

False Positive 예외 룰(false positive exception

rule) 괸리하는 취약성의 양을 최소화하는, 위험성이 낮은 취약성에 한정된 룰입니다.

H

HA 고가용성(HA, high availability)을 참조하십시오.

I

IP IP(Internet Protocol)를 참조하십시오.

IP(Internet Protocol)

네트워크 또는 상호 연결된 네트워크를 통해 데이터를 라우팅하는 프로토콜입니다.


이 프로토콜은 상위 프로토콜 계층과 물리적 네트워크 간의 중개자 역할을 합니다. TCP(Transmission Control Protocol)

도 참조하십시오.

N

NVD NVD(National Vulnerability Database)

를 참조하십시오.

NVD(National Vulnerability Database)

미국의 표준 기반 취약성 관리 데이터 저장소입니다.

P

PCI DSS

PCI DSS(Payment Card Industry Data

Security Standard)를 참고하십시오.

PCI DSS(Payment Card Industry Data

Security Standard)

PCI SSC(Payment Card Industry

Security Standards Council)에서 종합한세계적 정보 보안 표준입니다. 이 표준은데이터 및 데이터의 위험 노출에 대한 제어를 강화하여 신용카드 지불을 처리하는조직에서 신용카드 사기를 방지하는 데 도움을 주기 위해 작성되었습니다. 이 표준은 카드 브랜드 로고가 있는 모든 카드 브랜드의 카드 소유자 정보를 보관하고, 처리하고 전달하는 모든 조직에 적용됩니다.

PCI 심각도 레벨(PCI severity level)

취약성이 PCI(Payment Card Industry)

에 미치는 위험의 수준입니다.

S

SNMP

SNMP(Simple Network Management

Protocol)를 참조하십시오.

SNMP(Simple Network Management

Protocol)

복잡한 네트워크에서 시스템 및 장치를 모니터링하는 데 사용되는 프로토콜 세트입니다 . 관리 디바이스에 대한 정보는MIB(Management Information Base)에정의되고 저장됩니다.

T

TCP TCP(Transmission Control Protocol)를참조하십시오.

TCP(Transmission Control Protocol)

인터넷, 그리고 네트워크간 프로토콜의IETF(Internet Engineering Task Force)

표준을 준수하는 모든 네트워크에서 사용되는 통신 프로토콜입니다. TCP는 패킷교환 통신 네트워크와 이러한 네트워크가상호 연결된 시스템에 신뢰할 수 있는 호스트 간 프로토콜을 제공합니다 .

IP(Internet Protocol)도 참조하십시오.

U

UDP UDP(User Datagram Protocol)를 참조하십시오.

UDP(User Datagram Protocol)

신뢰할 수 없고 연결이 없는 데이터그램서비스를 제공하는 인터넷 프로토콜입니다. 이는 한 시스템이나 프로세스의 애플리케이션 프로그램이 다른 시스템이나 프로세스의 애플리케이션 프로그램으로 데이터그램을 전송할 수 있게 합니다.

용어집 173


색인［가］고위험 자산 및 취약성식별 120

고위험 취약성 보고서이메일 전송 132

공개 서비스 취약성분석 118

관리 공유 93, 94

관리 호스트설치 및 프로세서 배치 8

스캐너 배치 12

프로세서 배치 8

기본 취약성 관리 대시보드표시 28

기본 취약성 보고서실행 131

기술 소유자 자산 세부사항구성 134

［나］네트워크 관리자 ix

네트워크 구성DMZ 스캐닝 14

네트워크 인터페이스 카드(NIC) 41

네트워크 취약성검토 118

뉴스 기사조사 162

［다］대시보드취약성 관리를 위해 작성 28, 29

취약성 관리를 위해 표시 28

취약성 관리에 대한 정보 28

도메인 스캐닝스케줄링 57

도메인 스캔구성 57

동적 스캐닝 40

［마］문서 모드

Internet Explorer 웹 브라우저 16

［바］배치관리 호스트 스캐너 12

관리 호스트 프로세서 8

취약성 프로세서 제거 10

취약성 프로세서 확인 10

DMZ 스캐너 14

QRadar Vulnerability Manager 프로세서 9

배치 편집기취약성 프로세서 확인 10

백업 및 복구취약성 데이터 6

보류 중인 패치 다운로드 104

보안 소프트웨어통합 143

보안 통합IBM BigFix 145

IBM Security SiteProtector 159

QRadar Risk Manager 143

브라우저 모드Internet Explorer 웹 브라우저 16

［사］사용자 정의된 취약성 대시보드작성 28

새 기능버전 7.3.0 사용자 안내서 개요 1

새 자산 스캔스케줄링 58, 59

새로운 기능버전 7.3.0 사용자 안내서 개요 1

설치 및 배치QRadar Vulnerability Manager 3, 17

소개 ix

스캐너 유형 124

스캐닝DMZ 14

UNIX 77

스캔실행 53, 54

스캔 결과 125

개요 99

검색 100

관리 101

재게시 102

스캔 시간 35

스캔 유형감지 스캔 32

전체 스캔 32

패치 스캔 32

스캔 정책 71

스캔 제외관리 61

작성 61

스캔 프로파일구성 51

구성 옵션 55

수동 실행 53, 54

스캔 대상 지정 59

스캔에서 자산 제외 61

운영 창 제거 66

작성 49, 51

포트 범위 스캐닝 61, 62

스캔 프로파일 세부사항구성 55

스케줄된 스캔스캔하지 않은 새 자산 58, 59

실행스캔 53, 54

［아］열린 포트스캔 63

열린 포트 스캔구성 63

예외 룰관리 95, 96

용어집 171


운영 창스캔 65

스캔 프로파일에서 제거 66

작성 64

편집 66

원격 레지스트리 89

원격 스캐너 39, 41

위험 점수색상 코딩 122

조사 111

인증된 스캐닝 82

Linux, UNIX 81

［자］자산 검색 필터사용자 정의 자산 특성 100, 136

자산 구성DMZ 스캐닝 14

자산 스캐닝 41

자산 취약성분석 118

자산 프로파일러 구성 125

작성벤치마크 스캔 프로파일 52

저장된 취약성 검색삭제 117

정품 인증 키QRadar Vulnerability Manager 5

QRadar Vulnerability Manager 어플라이언스 5

제외된 스캔 대상관리 61

［차］취약성개선을 위해 지정수동 127

자동 128, 129

검색 113

관리 109

권고 조사 162

백업 및 복구 6

스캐닝 19, 20, 49

위험 점수 111

조사 161

히스토리 보기 119

취약성 개선관리 127

취약성 검색기준 저장 116

매개변수 114

취약성 관리 41

개요 19

기본 대시보드 표시 28

사용자 정의된 대시보드 작성 28

패치 준수 대시보드 작성 29

취약성 권고검토 162

취약성 데이터 124

검토 103

취약성 데이터의 제거 125

취약성 보고서개요 131

이메일 전송 132

작성 및 스케줄링 134

PCI 준수 133

취약성 스캐닝 31, 32, 35, 39, 40, 41

스캔 대상 지정 59

스캔 프로파일 49

취약성 스캔 73, 82, 85, 88, 89, 90

공개 키 인증 80

스캔 시작 및 중지 시 이메일 전송 106

스캔에서 자산 제외 61

열린 포트 스캐닝 63

포트 범위 62

허용된 스캔 간격 64

허용된 시간 중 취약성 스캔 65

UNIX 인증된 스캔 81

취약성 예외검색 112

자동 구성 119

취약성 예외 룰자동 적용 119

작성 95

취약성 위험취약성 스코어링 111

취약성 위험 레벨검토 102

취약성 위험 및 PCI 심각도검토 104

취약성 인스턴스분석 117

취약성 조사개요 161

취약성 패치 상태식별 124

취약성 프로세서관리 호스트로 이동 7

관리 호스트에 배치 7

배치 확인 10

배치에 추가 9

제거 10

QRadar Console에 배치 9

QRadar Vulnerability Manager 관리호스트에 배치 9

취약성 히스토리보기 119

［파］패치 스캐닝 88, 89, 90, 92, 93, 94

Linux 77

UNIX 77

Windows 77, 87

패치 준수 대시보드작성 29

포트 범위스캐닝 61

포트 범위 스캔구성 62

［하］허용된 스캔 간격관리 66

구성 64

CCIDR 범위스캐닝 59

DDCOM 92

DMZ

스캐닝 14

DMZ 스캐닝QRadar Vulnerability Manager 구성

14

DMZ 스캔네트워크 구성 14


DMZ 스캔 (계속)

자산 구성 14

FFalse Positive 취약성감소 119

IIBM BigFix

사용 가능한 패치가 있는 취약성 123

통합 145

QRadar Vulnerability Manager와 통합150, 151

IBM Security SiteProtector

통합 159

QRadar Vulnerability Manager에 연결159

IP 범위스캐닝 59

IP 주소스캐닝 59

LLinux 82

패치 스캐닝 77

QQRadar Risk Manager

통합 143

QRadar Vulnerability Manager

개요 19

설치 및 배치 3, 17

정품 인증 키 5

DMZ 스캐너 배치 14

DMZ 스캐닝 14

IBM BigFix 통합 150, 151

IBM Security SiteProtector에 연결159

QRadar Vulnerability Manager 스캐너배치 12

QRadar Vulnerability Manager 어플라이언스정품 인증 키 5

QRadar Vulnerability Manager 프로세서배치 9

제거 10

QRadar 관리 호스트스캐너 배치 13

RRSS 163

SSNMP 커뮤니티 이름스캐닝 77

UUNIX 82

패치 스캐닝 77

UNIX 인증된 스캔 82

WWindows 88, 89, 90

패치 스캐닝 77

Windows 스캐닝원격 레지스트리 액세스 사용 설정 89

Windows 원격 레지스트리 액세스구성 89

Windows 패치 스캐닝 88, 89, 90, 92,

93, 94

WMI 88, 90, 92

색인 177


IBM®

Documents

QRadar Vulnerability Managerpublic.dhe.ibm.com/software/security/products/q...제 1 장 사용자를 위한 QR adar V ulner ability Manag er V7.3.0 의 새로운 기능 ..... . 1 제