이 부록은 사용자의 요구 사항에 맞는 적절한 기본 보고서 템플릿을 선택하는 데 유용합니다. 또한 보고서 템플릿을 구성하며 사용자 지정 템플릿 생성에 유용한 개별 섹션 또는 데이터 필드에 대해서도 알아 볼 수 있습니다.
이 부록에 포함된 정보:
사용자 지정 문서 템플릿을 생성하면 사용자의 요구에 따라 원하는 만큼의 정보를 보고서에 포함시킬 수 있습니다. 예를 들어 위험도에 따라서만 정리된 모든 자산의 목록이 있는 보고서를 원하는 경우 사용자 지정 보고서를 사용하는 것이 가장 좋습니다. 이러한 템플릿에는 하나의 섹션만 있습니다. 또는 취약점 목록만 있는 보고서를 원하는 경우 이러한 섹션으로 템플릿을 생성합니다.
문서 보고서 템플릿을 구성하려면 템플릿에 포함할 섹션을 선택해야 합니다. 다음 섹션의 각 보고서 템플릿에는 기본 보고서 템플릿에 나타나는 섹션 및 사용자 지정 템플릿에 포함할 수 있는 섹션을 포함해 각각의 문서 보고서 템플릿에 사용할 수 있는 모든 섹션의 목록이 있습니다. 제공되는 기본 템플릿에 사용자가 특정한 보고서를 위해 필요로 하는 모든 섹션이 이미 있어 사용자 지정 템플릿을 생성하지 않아도 되는 경우가 있습니다. 기본 보고서 및 섹션의 목록:
ARF (Asset Reporting Format) XML 템플릿은 정책 및 벤치마크 스캔 결과를 미국 정부에 제출하기 위한 데이터를 구성합니다. 데이터를 구성합니다.
모든 기본 템플릿 중에서 감사 보고서 템플릿은 그 범위가 가장 넓습니다. 이 템플릿은 사용자 환경의 보안 상태를 세부적으로 확인하는 데 사용할 수 있습니다.
감사 보고서 템플릿이 제공하는 여러 취약점 정보:
감사 보고서 템플릿에는 또한 검색된 취약점 및 심각도 수준에 대한 일반 통계가 있는 차트가 포함됩니다.
* 이러한 “세부” 정보를 수집하려면 애플리케이션이 대상 자산에 대한 로그온 자격 증명을 갖고 있어야 합니다. 자격 증명 없는 스캔에 기반한 감사 보고서에는 이러한 정보가 포함되지 않습니다. 또한 스캔 템플릿 구성에서 정책 테스트가 설정되어야 합니다.
감사 보고서 템플릿은 PCI 감사 템플릿과는 다릅니다. PCI 감사(이전)를 참조하십시오.
감사 보고서 템플릿에 포함되는 섹션:
기준치 비교를 사용해 보안 관련 추세를 관찰하거나 다음의 예와 같이 스캔 결과를 기준치인 이전 스캔 결과와 비교해서 평가할 수 있습니다.
추세 정보에서 확인할 수 있는 스캔 시 검색된 변경 사항의 예:
추세 정보는 문제 해결 조치의 진행 상황을 파악하거나 시간에 따른 환경의 변화를 관찰하는 데 유용합니다. 정확하고 의미있는 추세 파악을 위해 비교한 스캔이 다음과 같은 동일한 조건에서 실행되어야 함:
기준치 비교 보고서 템플릿에 포함되는 섹션:
개요 템플릿을 사용하면 보안 데이터를 개괄적으로 한눈에 파악할 수 있습니다. 이 템플릿에는 검색된 취약점 및 자산과 관련된 통계 데이터에 대한 일반적인 요약 및 차트가 포함됩니다.
개요 템플릿은 PCI 개요와는 다릅니다. PCI 개요(이전)를 참조하십시오.
개요 템플릿에 포함되는 섹션:
위험도가 가장 높은 취약점 템플릿에는 위험도에 따라 검색된 10개의 주요 취약점 목록이 있습니다. 이 템플릿은 가장 큰 보안 위협을 문제 해결 우선 순위로 정하는 데 유용합니다.
목록에는 각각의 취약점이 위험도 및 CVSS 지수와 같이 나열되어 있으며 중요한 정보 출처에 대한 참조 문서 및 링크도 있습니다.
위험도가 가장 높은 취약점 보고서 템플릿에 포함되는 섹션:
이 템플릿을 통해 지정된 시간대에 스캔에서 검색된 자산을 확인할 수 있습니다. 자산 인벤토리의 변경 사항을 추적하는 데 유용합니다. 보고서는 각 자산에 대한 일반 정보와 더불어 위험 지수를 목록으로 제공하며 자산이 관련 익스플로이트 또는 멀웨어 키트에 대해 취약점을 가지고 있는지 표시해 줍니다.
이 템플릿은 PCI 요건에 따라 ASV가 PCI 스캔을 위해 2010년 9월 1일부터 사용해야 하는 세 가지 보고서 템플릿 중 하나입니다.
PCI 규정 준수 증명은 완료된 PCI 보고서 설정에 대한 커버 페이지 역할을 하는 단일 페이지입니다.
페이지의 왼쪽 상단에는 고객 연락처 정보를 입력하는 양식이 있습니다. ASV가 스캔 고객 조직 정보를 스캔 데이터의 바탕이 된 사이트 구성에 추가한 경우 이 양식에는 해당 정보가 자동으로 입력됩니다. 사용자 가이드 또는 도움말에서 사이트에 조직 정보 포함을 참조하십시오. 오른쪽 상단에는 ASV에 대한 정보를 위한 자동 입력된 필드로 된 양식이 있습니다.
스캔 상태 섹션에는 전반적인 결과의 통과 또는 실패 여부, 스캔을 통해 검색된 사항에 대한 몇몇 통계, 스캔이 완료된 날짜, 스캔 결과의 유효성이 사라지는 스캔 만료 날짜 등을 비롯한 개괄적인 스캔 요약 목록이 있습니다.
이 섹션에서 ASV는 스캔 범위에서 제외된 구성 요소의 수를 파악해야 합니다.
하단에 두 개의 별도의 성명이 나타납니다. 첫 번째는 고객이 수행된 스캔의 범위가 올바르며 스캔 결과가 PCI DSS(Data Security Standard)의 외부 취약점 스캔 요건에만 적용됨을 입증하기 위한 것입니다. 여기에는 입증 날짜 및 고객 성명 입력을 위한 표시된 영역이 포함됩니다.
두 번째 성명은 ASV가 스캔, QA 테스트 및 검토가 올바르게 수행되었음을 입증하기 위한 것입니다. 여기에는 다음의 자동 입력된 정보 포함:
이러한 필드의 자동 입력을 지원하려면*, oem.xml 구성 파일에서 해당 설정을 생성해야 합니다. 기술 지원에 요청해 ASV 가이드를 참조하십시오.
PCI 증명 보고서 템플릿에 포함되는 섹션:
이 보고서는 2010년 9월 1일부터 ASV가 PCI 스캔에 더 이상 사용하지 않는 두 개의 보고서 중 하나입니다. CVSS(Common Vulnerability Scoring System) 등급에 따라 각각의 검색된 취약점 등급을 분류하는 상세한 스캔 결과를 제공합니다.
PCI 감사 템플릿은 감사 보고서 템플릿과는 다릅니다. 감사 보고서를 참조하십시오.
PCI 감사(이전) 보고서 템플릿에 포함되는 섹션:
이 보고서는 2010년 9월 1일부터 ASV가 PCI 스캔에 더 이상 사용하지 않는 두 개의 보고서 중 하나입니다. 개괄적인 스캔 정보를 제공합니다.
PCI 개요 템플릿은 PCI 요약 템플릿과는 다릅니다. PCI 요약을 참조하십시오.
PCI 개요(이전) 보고서 템플릿에 포함되는 섹션:
이 템플릿은 PCI 요건에 따라 ASV가 PCI 스캔을 위해 2010년 9월 1일부터 사용해야 하는 세 가지 보고서 템플릿 중 하나입니다.
PCI 요약 템플릿은 스캔이 완료된 날짜 및 만료 날짜의 목록이 있는 스캔 정보 섹션으로 시작합니다. 이 섹션에는 자동 입력되는 ASV 이름과 고객 회사 이름 입력을 위한 영역이 포함됩니다. ASV가 스캔 고객 조직 정보를 스캔 데이터의 바탕이 된 사이트 구성에 추가한 경우 고객 회사 이름이 자동으로 입력됩니다. 시작: 정보 및 보안을 참조하십시오.
구성 요소 규정 준수 요약 섹션 목록에는 각각의 스캔한 IP 주소가 통과 또는 실패 결과와 함께 나열되어 있습니다.
자산 및 취약점 규정 준수 개요 섹션에는 규정 준수 통계를 한눈에 확인할 수 있는 차트가 있습니다.
각 IP 주소에 대해 확인된 취약점 섹션에는 각각의 검색된 취약점이 PCI 심각도, CVSS 지수 및 취약점 스캔 결과의 통과 또는 실패 여부를 비롯한 속성과 함께 나열된 테이블이 있습니다. 이러한 자산은 IP 주소로 분류됩니다. ASV가 예외 처리할 취약점을 이 애플리케이션에 표시한 경우 이 예외 처리된 취약점은 여기에 표시됩니다. PCI 요약 보고서에서 예외 처리된 취약점, 오탐 또는 보완 통제 필드로 표시된 열에는 해당 취약점을 예외 처리한 사용자 이름이 자동으로 입력됩니다.
마지막 섹션 중요 참고 사항에서 ASV는 익스플로이트 취약점 대신 안전하지 않은 구현으로 인해 위험을 초래할 수 있는 모든 소프트웨어를 공개해야 합니다. 이 참고 사항에 포함해야 할 정보:
원격 액세스 소프트웨어 또는 디렉토리 탐색의 모든 인스턴스는 자동으로 감지됩니다. ASV는 POS(Point-of-Sale) 단말기 관련 정보 및 로드 밸런싱 장치 간의 동기화 부재와 관련된 모든 정보를 추가해야 합니다. ASV는 규정 준수 증명을 공식적으로 릴리즈하기 전에 각각의 중요 참고 사항과 관련해 고객의 성명 또는 수행된 조치에 대한 설명을 확보하고 삽입해야 합니다.
PCI 개요 보고서 템플릿에 포함되는 섹션:
이 템플릿은 PCI 스캔에 포함되는 각각의 자산 또는 호스트에 대한 상세한 유형별 스캔 정보를 제공합니다. 이러한 관점을 바탕으로 스캔 대상 사업체는 PCI 관련 문제를 자산 대 자산 기준으로 이용하고 파악하며 해결할 수 있습니다. 예를 들어 PCI 규정을 충족하지 않는 자산에는 운영 체제 또는 실행되는 특정한 네트워크 통신 서비스와 관련된 여러 취약점이 존재할 수 있음을 인식할 필요가 있습니다.
PCI 호스트 세부 정보 보고서 템플릿에 포함되는 섹션:
이 템플릿은 PCI 요건에 따라 ASV가 PCI 스캔을 위해 2010년 9월 1일부터 사용해야 하는 세 가지 보고서 템플릿 중 하나입니다.
PCI 취약점 세부 정보 보고서는 스캔이 완료된 날짜 및 만료 날짜의 목록이 있는 스캔 정보 섹션으로 시작합니다. 이 섹션에는 자동 입력되는 ASV 이름과 고객 회사 이름 입력을 위한 영역이 포함됩니다.
注意: PCI 취약점 세부 정보 보고서는 각각의 취약점 인스턴스와 관련해 규정 준수 상태를 파악하기 위해 승인된 예외 처리된 취약점을 계산에 포함합니다.
취약점 세부 정보 섹션에는 영향을 받는 IP 주소, CVE(Common Vulnerability Enumeration) 식별자, CVSS 지수, PCI 심각도, 취약점 스캔 결과의 통과 또는 실패 여부를 비롯해 각각의 검색된 취약점에 대한 통계 및 설명이 포함됩니다. 취약점은 심각도 수준에 따라 분류되며 CVSS 지수에 따라 목록에서 나열됩니다.
PCI 취약점 세부 정보 보고서 템플릿에 포함되는 섹션:
정책 평가는 스캔 시 수행된 정책 평가 결과를 나타냅니다.
이 애플리케이션은 사이트 구성 시 적절한 로그온 자격 증명을 갖고 있어야 하며 정책 테스트가 스캔 템플릿 구성에서 설정되어야 합니다. 관리자 가이드에서 스캔 자격 증명 구축 및 스캔 템플릿 변경 및 생성을 참조하십시오.
이 템플릿은 감사 보고서 템플릿에 정보의 하위 세트를 제공합니다.
정책 평가 보고서 템플릿에 포함되는 섹션:
문제 해결 계획 템플릿은 각각의 검색된 취약점에 대한 상세한 문제 해결 지침을 제공합니다. 이 보고서는 영향을 받은 대상 자산에 특별히 적용되는 솔루션 이외에도 여러 시나리오에 대한 솔루션을 제공할 수 있습니다.
문제 해결 계획 보고서 템플릿에 포함되는 섹션:
보고 카드 템플릿은 취약점 확인 여부 및 확인 방법을 파악하는 데 유용합니다. 이 템플릿에는 Nexpose가 각각의 자산의 각각의 취약점에 대해 수행한 테스트 관련 정보의 목록이 있습니다. 다음과 같은 테스트 결과가 나올 수 있습니다.
보고서에세 제외된 모든 취약점의 경우 허용할 수 있는 위험과 같은 테스트 결과가 이러한 예외의 이유가 됩니다.
이 템플릿에는 또한 각각의 취약점에 대한 상세한 정보가 포함됩니다.
보고 카드 보고서 템플릿에 포함되는 섹션:
注意: 취약점 위험별 10개의 주요 자산 및 취약점별 10개의 주요 자산 보고서 템플릿에는 사용자 지정 보고서 템플릿에 적용할 수 있는 개별적인 섹션이 포함되지 않습니다.
취약점 위험별 10개의 주요 자산 템플릿에는 위험 지수가 가장 높은 10개의 자산 목록이 있습니다. 등급에 대한 자세한 내용은 1ページの 활성 취약점 확인 활성 취약점 확인을 참조하십시오.
이 보고서는 문제 해결 팀에 사용자 환경에서 가장 위험한 자산에 대한 개요를 제공하므로 문제 해결 조치 우선 순위를 정하는 데 유용합니다.
취약점별 10개의 주요 자산 보고서에는 조직의 자산 중 취약점이 가장 많은 10개의 자산 목록이 있습니다. 이 보고서에는 누적 위험은 포함되지 않습니다.
이 보고서를 통해 가장 취약한 서비스를 확인하고 위험을 줄이기 위해 이러한 서비스를 중지할 것인지 결정할 수 있습니다. 이 보고서는 또한 취약한 서비스가 가장 많은 자산의 목록을 제공하므로 문제 해결 조치의 우선 순위를 정하는 데 유용합니다.
주요 문제 해결 템플릿은 가장 강력한 문제 해결 솔루션을 평가하기 위한 개괄적인 정보를 제공합니다. 이 템플릿에는 해결된 총 취약점의 비율, 멀웨어 키트 취약점의 비율, 알려진 익스플로이트 취약점의 비율, 주요 문제 해결 솔루션이 적용될 때 효과가 나타나는 자산의 수가 나열됩니다.
주요 문제 해결 템플릿에 포함되는 정보:
주요 문제 해결 세부 정보 템플릿은 문제 해결 솔루션 및 구현 단계를 평가하기 위한 폭넓은 정보를 제공합니다. 이 템플릿에는 해결된 총 취약점의 비율과 문제 해결 솔루션을 적용할 때 효과가 나타나는 자산의 수가 포함됩니다.
주요 문제 해결 세부 정보 템플릿에 주요 문제 해결 템플릿의 정보와 함께 포함되는 정보:
취약점 추세 템플릿은 사용자 환경에서 취약점이 변화해온 방식, 문제 해결 조치 성공 여부, 시간에 따라 자산이 변화해온 방식, 자산 그룹이 다른 자산 그룹과 비교할 때 영향을 받은 방식, 자산 스캔 프로세스의 효과에 대한 정보를 제공합니다. 보고서를 이해하기 쉽고 적절한 크기로 관리하기 위해 데이터 범위를 구성할 때 차트에 포함할 수 있는 데이터 포인트는 15개로 제한됩니다. 예를 들어 데이터를 2달 동안 주 간격으로 설정하면 보고서에 8개의 데이터 포인트를 갖게 됩니다. 보고서 기간을 구성해 보안 상태 개선 여부 및 개선이 필요한 부분을 확인할 수 있습니다.
注意: 수집되는 많은 양의 데이터를 고려해 보고서 템플릿 실행 시간을 적절하게 설정하십시오. 각 데이터 포인트는 하나의 완전한 보고서와도 같습니다. 완성하는 데 많은 시간이 걸릴 수 있습니다.
취약점 추세 템플릿이 제공하는 차트 및 세부 정보:
취약점 추세 템플릿은 스캔에 포함되는 자산의 수, 제외된 자산이 있는지 여부, 취약점 예외 처리가 적용되거나 만료되었는지 여부, 애플리케이션에 새로운 취약점 정의가 추가되었는지 여부와 관련된 정보를 제공하므로 문제 해결 조치를 개선하는 데 유용합니다. 취약점 추세 조사 템플릿은 사용자의 보안 상태 및 문제 해결 조치에 대해 상세하게 분석하기 위한 정보를 제공한다는 점에서 기준치 보고서의 취약점 추세 섹션과 다릅니다.
다음 중 몇몇 문서 보고서 섹션에는 취약점 필터가 적용될 수 있습니다. 이는 보고서 범위 구성에 따라 특정한 취약점이 이러한 섹션에 포함되거나 제외될 수 있음을 의미합니다. 보고서가 생성되면 필터링 된 취약점이 있는 섹션을 확인할 수 있습니다. 이러한 섹션이 없는 문서 보고서 템플릿에는 필터링 된 취약점 데이터가 없습니다. 문서 보고서 섹션의 목록:
PCI(Payment Card Industry) 구성 요소 규정 준수 요약
PCI(Payment Card Industry) 호스트 세부 정보
PCI(Payment Card Industry) 스캔 정보
PCI(Payment Card Industry) 스캔 호스트/네트워크
PCI(Payment Card Industry) 중요 참고 사항
각 IP 주소에 대해 확인된 PCI(Payment Card Industry) 취약점
PCI(Payment Card Industry) 취약점 세부 정보
PCI(Payment Card Industry) 취약점 요약
이 섹션에는 규정 준수 통계를 한눈에 확인할 수 있는 차트가 있습니다.
이 섹션은 기준치 보고서 템플릿을 선택하면 나타납니다. 이 섹션을 통해 가장 최근 스캔과 기준치 스캔의 데이터를 서로 비교할 수 있으며 다음과 같은 변경 사항 목록을 확인할 수 있습니다.
이 섹션은 또한 두 스캔 사이에 이러한 데이터 변경 사항이 발생한 이유를 제시합니다. 예를 들어 새로 검색된 취약점은 기준치 스캔 이후 설치된 취약한 소프트웨어로 인해 발생했을 수 있습니다.
이 섹션은 생성된 보고서에서 머리글 추세 분석과 함께 나타납니다.
커버 페이지에는 사이트 이름, 스캔 날짜 및 보고서 생성 날짜가 있습니다. 사용자 지정 제목 및 회사 로고 등을 표시하는 기타 옵션도 있습니다.
이 섹션에는 네트워크에서 데이터베이스 서버 스캔을 통해 검색한 모든 데이터베이스의 목록이 있습니다.
이 섹션에서 정보를 표시하기 위해 보고서의 바탕이 된 스캔이 충족해야 하는 조건:
이 섹션에는 스캔한 자산에서 검색된 파일 및 디렉토리의 목록이 있습니다.
이 섹션에서 정보를 표시하기 위해 보고서의 바탕이 된 스캔이 충족해야 하는 조건:
이러한 설정 구성에 대한 내용은 스캔 자격 증명 구성을 참조하십시오.
이 섹션에는 네트워크에서 실행되는 모든 서비스, 각각의 서비스를 실행하는 자산의 IP 주소, 각각의 자산에서 검색된 취약점 수의 목록이 있습니다.
취약점 필터를 적용할 수 있습니다.
이 섹션에는 스캔한 자산의 IP 주소, 별칭, 운영 체제 및 위험 지수의 목록이 있습니다.
이 섹션은 스캔 시 각각의 노드에서 검색된 모든 사용자 및 그룹에 대한 정보를 제공합니다.
注意: 생성된 보고서에서 검색된 취약점 섹션은 머리글 검색된 취약점 및 잠재적인 취약점과 함께 나타납니다.
이 섹션은 스캔 시 검색된 모든 취약점의 목록을 포함하며 영향을 받은 자산 및 포트를 알려줍니다. 이 섹션에는 또한 해당되는 CVE 식별자를 가진 각각의 취약점에 대한 CVE(Common Vulnerabilities and Exposures) 식별자 목록이 있습니다. 각 취약점은 심각도에 따라 분류됩니다.
보고서 템플릿의 기술적인 세부 정보 수준을 중으로 선택한 경우 이 애플리케이션은 각각의 취약점에 대한 기본적인 설명 및 관련 참조 문서 목록을 제공합니다. 기술적인 세부 정보 수준을 상으로 선택한 경우 취약점을 검색한 방식이 설명에 추가되고 문제 해결 옵션도 제공됩니다. 이 섹션을 취약점을 파악하고 해결하는 데 활용하십시오.
이 섹션은 잠재적인 취약점과 확인된 취약점을 구별하지 않습니다.
취약점 필터를 적용할 수 있습니다.
이 섹션은 네트워크 취약점의 수와 유형을 비롯해 스캔 데이터에 대한 통계 및 개괄적인 요약을 제공합니다.
이 섹션에는 가장 위험한 취약점, 이러한 취약점의 범주, 위험 지수 및 CVSS(Common Vulnerability Scoring System) 버전 2 지수의 목록이 있습니다. 이 섹션은 또한 각각의 취약점에 대한 추가 정보를 얻을 수 있는 참조 자료를 제공합니다.
이 섹션이 검색된 각각의 취약점과 관련해 제공하는 정보:
이 섹션은 생성된 보고서에서 머리글 취약점 세부 정보와 함께 나타납니다.
취약점 필터를 적용할 수 있습니다.
이 섹션에는 스캔한 각각의 IP 주소가 통과 또는 실패 결과와 함께 나열됩니다.
이 섹션에는 PCI 보안 표준 준수와 관련해 일련의 자산의 전반적인 통과 또는 실패에 대한 보고가 있습니다. 또한 스캔한 각각의 자산의 목록을 제공하며 이러한 자산이 표준을 준수하는 데 통과했는지 실패했는지 여부를 알려줍니다.
이 섹션에는 호스팅되는 운영 체제, 자산 이름, PCI 규정 준수 상태, PCI 스캔별 취약점 세부 정보를 비롯해 각각의 스캔한 자산에 대한 정보의 목록이 있습니다.
이 섹션에는 스캔 고객 및 ASV(Approved Scanning Vendor)의 이름 필드가 있습니다. 고객 이름은 수동으로 입력해야 합니다. ASV가 이름 필드에 항목이 자동으로 입력되도록 oem.xml 파일을 구성한 경우 필드에 ASV 이름이 나타납니다. 그렇지 않은 경우 ASV 이름도 수동으로 입력해야 합니다. 자세한 내용을 참고하려면 기술 지원에 ASV 가이드를 요청하십시오.
이 섹션에는 또한 스캔이 완료된 날짜와 PCI 기준에서 스캔 결과의 유효성이 마지막으로 적용되는 스캔 만료 날짜가 있습니다.
이 섹션은 스캔한 자산의 범위 목록을 제공합니다.
注意: 원격 액세스 소프트웨어 또는 디렉토리 탐색의 모든 인스턴스는 자동으로 감지됩니다.
이 PCI 보고서 섹션에서 ASV는 익스플로이트 취약점 대신 안전하지 않은 구현으로 인해 위험을 초래할 수 있는 모든 스캔한 소프트웨어에 대한 참고 사항을 수동으로 입력합니다. 이 참고 사항에 포함해야 할 정보:
이 섹션에는 각각의 검색된 취약점이 PCI 심각도, CVSS 지수 및 취약점 스캔 결과의 통과 또는 실패 여부를 비롯한 속성과 함께 나열된 테이블이 있습니다. 이러한 자산은 IP 주소로 분류됩니다. ASV가 예외 처리할 취약점을 표시한 경우 이 예외 처리된 취약점은 여기에 표시됩니다. PCI 요약 보고서에서 예외 처리된 취약점, 오탐 또는 보완 통제 필드로 표시된 열에는 해당 취약점을 예외 처리한 사용자 이름이 자동으로 입력됩니다.
注意: PCI 취약점 세부 정보 보고서는 각각의 취약점 인스턴스와 관련해 규정 준수 상태를 파악하기 위해 승인된 예외 처리된 취약점을 계산에 포함합니다.
이 섹션에는 PCI 감사 보고서에 포함된 각각의 취약점에 대한 세부 정보가 포함됩니다. 이 섹션은 심각도 수준 및 CVSS(Common Vulnerability Scoring System) 버전 2 등급에 따라 취약점을 수치화합니다.
이 중 두 번째 수치는 CVSS v2 메트릭에 따라 문제의 취약한 자산이 PCI 보안 표준을 준수하는지 여부를 파악하는 데 사용됩니다. 지수의 범위는 1.0~10.0입니다. 지수가 4.0이상이면 일부 예외적인 경우를 제외하고는 규정 준수에 실패한 것입니다. CVSS 지수에 대한 상세한 내용을 참조하려면 FIRST 웹 사이트http://www.first.org/cvss/cvss-guide.html을 방문하십시오.
이 섹션에는 클라이언트 애플리케이션 유형 및 서버 측 소프트웨어와 같은 범주별로 취약점이 나열되어 있습니다.
이 섹션에는 스캔한 시스템에서 Microsoft 보안 템플릿이 사용되고 있는지 여부와 같은 정책 평가 결과의 목록이 있습니다. 섹션 컨텐츠에는 시스템 설정, 레지스트리 설정, 레지스트리 ACL, 파일 ACL, 그룹 구성원 및 계정 권한이 포함됩니다.
이 섹션은 모든 취약점 관련 정보를 통합하고 문제 해결 계획을 제공합니다. 취약점 데이터베이스는 문제 해결 계획 섹션에 다운로드를 위한 웹 링크를 포함한 패치 및 수정 사항과 관련된 정보를 제공합니다. 이러한 데이터베이스는 각각의 문제 해결 예상 시간을 제공합니다. 이 섹션을 수정 사항, 패치, 해결책 및 기타 문제 해결 조치를 조사하는 데 이용하십시오.
취약점 필터를 적용할 수 있습니다.
이 섹션은 각각의 노드(자산)를 네트워크 보안에 대한 자산의 위험을 나타내는 위험 지수에 따라 평가합니다. 이 위험 지수는 자산의 확인된 취약점과 확인되지 않은 취약점의 영향을 받습니다.
이 섹션을 사용하면 위험 추세를 보여주는 그래프를 요약 템플릿의 보고서에서 생성할 수 있습니다. 이러한 보고서에 5개의 가장 위험한 사이트, 자산 그룹, 자산을 포함하거나 보고서 범위에 모든 자산을 선택할 수도 있습니다.
이 섹션에는 스캔한 자산의 목록이 있습니다. IP 주소가 연속된 경우 콘솔이 이 목록을 범위로 표시합니다.
이 섹션에는 보고서의 컨텐츠 목록이 있습니다.
이 섹션은 기준치 보고서 템플릿을 선택하면 나타납니다. 이 섹션은 스캔에서 검색된 취약점을 기준치 스캔에서 검색된 취약점과 비교합니다. 이 섹션은 취약점 감소 및 네트워크 보안과 관련된 진행 상황을 파악하는 데 사용하십시오.
이 섹션은 PCI 감사 보고서에 나타나며 PCI 규정 준수 조건 통과 또는 실패 여부와 관련해 각각의 취약점을 나열합니다. 이 섹션에는 또한 문제 해결 정보도 포함됩니다.
취약점 세부 정보 섹션에는 영향을 받는 IP 주소, CVE(Common Vulnerability Enumeration) 식별자, CVSS 지수, PCI 심각도, 취약점 스캔 결과의 통과 또는 실패 여부를 비롯해 각각의 검색된 취약점에 대한 통계 및 설명이 포함됩니다. 취약점은 심각도 수준에 따라 분류되며 CVSS 지수에 따라 목록에서 나열됩니다.
이 템플릿을 사용해 지정된 시간대에 적용 또는 요청된 예외 처리된 취약점을 모두 확인합니다. 이 보고서에는 관련 담당자, 상태, 예외 처리 사유를 포함해 각 예외 처리 또는 예외 처리 요청에 대한 정보가 포함됩니다. 해당 정보는 귀하의 조직의 취약점 관리 사례를 살펴보는 데 유용합니다.
이 섹션에는 보고서에서 제외된 모든 취약점과 이러한 예외 처리의 이유가 나열되어 있습니다. 목록에서 특정한 취약점을 문제 해결 대상 취약점과 같은 다른 취약점과 분리하고 싶지만 기업 정책에 따라 예외 처리된 취약점의 목록을 작성해야 할 수도 있습니다. 그 대표적인 예가 PCI 감사 보고서입니다. 특정한 심각도 수준의 취약점으로 인해 감사 결과가 실패로 나올 수 있습니다. 특정한 이유로 이러한 취약점을 제외할 수 있지만 이러한 예외 처리는 보고되어야 합니다.
예외 처리된 취약점과 취약점 검사 해제를 혼동해서는 안됩니다. 예외 처리된 취약점은 애플리케이션에 의해 검색되었으므로 취약점 검사가 설정되어 있는 것입니다.
취약점 필터를 적용할 수 있습니다.
이 섹션에는 네트워크에 있는 각각의 노드(자산)에 대한 취약점 테스트 결과의 목록이 있습니다. 이 섹션은 각 자산의 취약점을 진단하는 데 사용하십시오.
취약점 필터를 적용할 수 있습니다.
이 섹션은 테스트를 거친 모든 취약점의 목록을 제공하며 애플리케이션 취약점 확인을 시도했을 때 네트워크에 있는 각각의 노드(자산)가 어떻게 응답했는지 알려줍니다. 이 섹션은 네트워크에 대해 각각의 취약점이 갖는 잠재적인 영향을 전반적으로 파악하는 데 사용하십시오.
취약점 필터를 적용할 수 있습니다.
이 섹션은 예상치 못한 장애로 인해 확인되지 않은 취약점을 표시합니다. 이 섹션은 시스템 오류를 예상 또는 방지하고 스캔 매개 변수가 올바르게 설정되었는지 확인하는 데 사용하십시오.
취약점 필터를 적용할 수 있습니다.
사용자 지정 내보내기 템플릿을 생성할 때 전체 취약점 데이터 속성 중에서 선택할 수 있습니다. 다음의 표에는 선택할 수 있는 각각의 속성의 이름 및 설명의 목록이 있습니다.
| 속성 이름 | 설명 |
|---|---|
| Asset Alternate IPv4 Addresses | 검색된 자산의 대체 IPv4 주소입니다. |
| Asset Alternate IPv6 Addresses | 검색된 자산의 대체 IPv6 주소입니다. |
| Asset IP Address | 검색된 자산의 IP 주소입니다. |
| Asset MAC Addresses | 검색된 자산의 MAC 주소입니다. 멀티홈 자산의 경우 여러 MAC 주소는 쉼표로 구분됩니다. 예: 00:50:56:39:06:F5, 00:50:56:39:06:F6 |
| Asset Names | 검색된 자산의 호스트 이름입니다. 자산 페이지에서 자산 이름은 별칭으로 표시될 수 있습니다. |
| Asset OS Family | 검색된 자산의 고유한 운영 체제의 집합입니다. 가장 확실하게 핑거 프린팅된 집합만 나열됩니다. 예: Linux, Windows |
| Asset OS Name | 검색된 자산의 고유한 운영 체제입니다. 가장 확실하게 핑거 프린팅된 운영 체제만 나열됩니다. |
| Asset OS Version | 스캔한 자산 운영 체제의 핑거 프린팅된 버전 번호입니다. 가장 확실하게 핑거 프린팅된 버전만 나열됩니다. |
| Asset Risk Score | 취약점 테스트 실행 시 검색된 자산의 총 위험 지수입니다. 취약점과 관련된 특정한 위험 지수인 취약점 위험 지수와는 다릅니다. |
| Exploit Count | 취약점과 관련된 악용 횟수입니다. |
| Exploit Minimum Skill | 취약점을 악용하는 데 필요한 최소한의 기술입니다. |
| Exploit URLs | Metasploit 또는 Exploit Database에 의해 발표된 모든 악용에 대한 URL입니다. |
| Malware Kit Names | 취약점과 관련된 악성 키트입니다. 멀웨어 키트는 쉼표로 구분됩니다. |
| Malware Kit Count | 취약점과 관련된 멀웨어 키트 개수입니다. |
| Scan ID | 취약점 테스트가 수행되는 스캔에 대한 ID로서 사이트의 스캔 내역에 표시됩니다. 이는 자산이 스캔된 마지막 스캔입니다. 동일한 사이트에 있는 여러 자산은 개별적인 자산 스캔 이후 서로 다른 스캔 ID를 가질 수 있습니다(사이트 스캔과는 다름). |
| Scan Template | 스캔한 자산 사이트에 현재 적용되고 있는 스캔 템플릿 이름입니다. 사용자가 스캔이 마지막으로 실행된 이후 템플릿을 변경했을 수 있으므로 이는 취약점이 검색된 스캔에 사용된 템플릿이거나 그렇지 않은 템플릿일 수도 있습니다. |
| Service Name | 취약점 테스트가 수행되는 포트의 고유한 서비스 유형입니다. 예: HTTP, CIFS, SSH 운영 체제 검사의 경우 서비스 이름은 시스템으로 나열됩니다. |
| Service Port | 취약점이 발견된 포트입니다. 예를 들어 모든 HTTP 관련 취약점은 웹 서버가 검색된 포트로 매핑됩니다. 운영 체제 검사의 경우 포트 번호는 0입니다. |
| Service Product | 스캔한 서비스를 취약점이 발견된 포트에서 실행한 핑거 프린팅된 제품입니다. 운영 체제 검사의 경우 이 열은 비어 있습니다. |
| Service Protocol | 검색된 포트의 네트워크 프로토콜입니다. 예: TCP, UDP |
| Site Importance | CSV 내보내기 시, 현재의 사이트 구성에 따른 사이트의 중요성입니다. 정보 및 보안사이트 생성 및 편집을 참조하십시오. |
| 사이트 이름 | 검색된 자산이 해당되는 사이트의 이름입니다. |
| Vulnerability Additional URLs | 취약점 참조 URL이외에도 취약점에 대한 정보를 제공하는 URL이 있습니다. 이러한 URL은 취약점 세부 정보 페이지의 참조 테이블에 있으며 URL로 표시되어 있습니다. 여러 URL은 쉼표로 구분됩니다. |
| Vulnerability Age | 검색된 자산에서 취약점이 처음 발견된 후 경과된 일의 합계입니다. |
| Vulnerability CVE IDs | 취약점과 관련된 CVE(Common Vulnerabilities and Exposure) ID입니다. 취약점에 여러 CVE ID가 있는 경우 가장 최근의 ID 10개가 나열됩니다. 여러 값이 있는 경우 각각의 값은 쉼표 및 공백으로 구분됩니다. |
| Vulnerability CVE URLs | NIST(National Institute of Standards and Technology: 미국표준기술연구소) NVD(국가 취약점 데이터베이스)에 있는 CVE 항목의 URL입니다. 여러 값이 있는 경우 각각의 값은 쉼표 및 공백으로 구분됩니다. |
| Vulnerability CVSS Score | CVSS 2.0 사양에 따른 취약점의 CVSS(Common Vulnerability Scoring System) 지수입니다. |
| Vulnerability CVSS Vector | CVSS 2.0 사양에 따른 취약점의 CVSS(Common Vulnerability Scoring System) 벡터입니다. |
| Vulnerability Description | 취약점에 대한 유용한 정보로서 취약점 세부 정보 페이지에 있습니다. 설명에는 많은 텍스트가 포함될 수 있습니다. 텍스트를 알아 보기 쉽도록 스프레드시트 프로그램의 열을 확대해야 할 수도 있습니다. 이러한 값은 줄 바꿈을 포함할 수 있으며 큰따옴표로 나타납니다. |
| 취약점 ID | Nexpose에 의해 할당된 취약점에 대한 고유한 식별자입니다. |
| Vulnerability PCI Compliance Status | 취약한 자산의 PCI 규정 준수 상태입니다. 자산이 취약하지 않은 것으로 나타나면 PCI 심각도 수준이 계산되지 않으며 값이 적용되지 않습니다. 자산이 취약한 것으로 나타나면 PCI 심각도가 계산되고 값은 통과 또는 실패로 나타납니다. 자산의 취약점 인스턴스가 예외 처리되면 값은 통과로 나타납니다. |
| Vulnerability Proof | 스캔 엔진에 의해 보고된 취약점의 존재 유무를 입증하기 위한 방법입니다. 증명에는 많은 텍스트가 포함될 수 있습니다. 텍스트를 알아 보기 쉽도록 스프레드시트 프로그램의 열을 확대해야 할 수도 있습니다. 이러한 값은 줄 바꿈을 포함할 수 있으며 큰따옴표로 나타납니다. |
| Vulnerability Published Date | 취약점에 대한 정보가 처음 발표된 날짜입니다. |
| Vulnerability Reference IDs | 일반적으로 Microsoft, Apple, Redhat과 같은 공급업체 또는 Secunia, SANS(SysAdmin, Audit, Network, Security) 협회, CERT(Computer Emergency Readiness Team), SecurityFocus와 같은 보안 그룹에 의해 할당된 취약점 참조 식별자입니다. 취약점 세부 정보 페이지의 참조 테이블에 나타납니다. 이러한 속성의 형식은 Source:Identifier입니다. 여러 값은 쉼표 및 공백으로 구분됩니다. 예: BID:4241, CALDERA:CSSA-2002-012.0, CONECTIVA:CLA-2002:467, DEBIAN:DSA-119, MANDRAKE:MDKSA-2002:019, NETBSD:NetBSD-SA2002-004, OSVDB:730, REDHAT:RHSA-2002:043, SANS-02:U3, XF:openssh-channel-error(8383) |
| Vulnerability Reference URLs | 취약점 정보에 대한 참조 URL입니다. 취약점 세부 정보 페이지의 참조 테이블에 나타납니다. 여러 값은 쉼표로 구분됩니다. 예: http://www.securityfocus.com/bid/29179, http://www.cert.org/advisories/TA08-137A.html, http://www.kb.cert.org/vuls/id/925211, http://www.debian.org/security/DSA-/DSA-1571, http://www.debian.org/security/DSA-/DSA-1576, http://secunia.com/advisories/30136/, http://secunia.com/advisories/30220/ |
| Vulnerability Risk Score | 취약점에 할당된 위험 지수입니다. 자산에 대한 전반적인 위험 지수인 자산 위험 지수와는 다릅니다. |
| Vulnerable Since | 검색된 자산에서 취약점이 최초로 발견된 날짜입니다. |
| Vulnerability Solution | 취약점 관련 문제를 해결하기 위한 솔루션입니다. 현재에는 취약점 테스트 결과가 음성으로 나타나도 솔루션이 내보내집니다. 솔루션에는 많은 텍스트가 포함될 수 있습니다. 텍스트를 알아 보기 쉽도록 스프레드시트 프로그램의 열을 확대해야 할 수도 있습니다. 이러한 값은 줄 바꿈을 포함할 수 있으며 큰따옴표로 나타납니다. |
| Vulnerability Tags | Nexpose에 의해 할당된 취약점에 대한 태그입니다. |
| Vulnerability Test Result Description | 취약점 테스트 결과를 설명하는 단어 또는 구절입니다. 취약점 결과 코드를 참조하십시오. |
| Vulnerability Test Date | 취약점 테스트가 실시된 날짜입니다. 자산이 가장 최근 검색된 날짜와 동일한 날짜입니다. 형식: mm/dd/YYYY |
| Vulnerability Test Result Code | 취약점 테스트에 대한 결과 코드입니다. 취약점 결과 코드를 참조하십시오. |
| Vulnerability Severity Level | Nexpose에 의해 할당된 숫자로 나타낸 취약점 심각도 수준입니다. 지수의 범위는1~10이며 취약점 페이지의 취약점 목록 테이블의 심각도 등급에 다음과 같이 매핑됩니다. 1-3=약간 낮음, 4-7=중, 8-10=상. PCI 심각도 수준은 아닙니다. |
| 취약점 이름 | 취약점의 이름입니다. |