이 부록은 인증되지 않은 스캔 제품에 대한 SCAP 표준 적용 방식과 관련된 정보를 제공합니다.
스캔 시
데이터베이스의 CPE 이름은 변경 사항과 함께 NIST(National Institute of Standards and Technology: 미국표준기술연구소) CPE 사전에 계속 업데이트됩니다. 사전이 개정될 때마다 이 애플리케이션은 이전에는 CPE 이름이 없었던 애플리케이션 설명에 새롭게 생성된 CPE 이름을 매핑합니다.
보안 콘솔 웹 인터페이스는 스캔 데이터 테이블에 CPE 이름을 표시합니다. 자산, 소프트웨어 및 운영 체제의 목록과 특정한 자산에 대한 페이지에서 이러한 이름을 확인할 수 있습니다. CPE 이름은 XML Export 형식의 보고서에서도 나타납니다.
CVE 식별자는 보안 콘솔 웹 인터페이스의 취약점 세부 정보 페이지에서 확인할 수 있습니다. 목록에 있는 각 식별자에는 관련된 추가 정보 및 링크를 찾을 수 있는 nvd.nist.gov의 CVE 온라인 데이터베이스로의 하이퍼텍스트 링크가 있습니다.
애플리케이션 인터페이스에서 CVE 식별자를 검색 조건으로 사용해 취약점을 검색할 수 있습니다.
CVE 식별자는 보고서의 검색된 취약점 섹션에도 나와 있습니다.
이 애플리케이션은 CVE 메일링 리스트 및 변경 로그의 최신 CVE 목록을 사용합니다. 애플리케이션이 항상 최신 CVE 목록을 사용하므로 CVE 버전 번호 목록은 필요하지 않습니다. 이 애플리케이션은 기존의 정의 및 링크를 보유하고 있으며 지속적으로 새로운 항목을 추가하는 등록 서비스를 통해 취약점에 대한 정의를 6시간마다 업데이트합니다.
이 애플리케이션은 상세한 PCI(Payment Card Industry) 규정 준수 결과를 제공하는 PCI 개요 및 PCI 취약점 세부 정보 보고서에 CVSS 지수를 통합합니다. 검색된 각 취약점은 CVSS 지수에 따라 등급이 결정됩니다.
이 애플리케이션은 또한 CVSS 지수를 여러 보고서 템플릿에 있는 보고서 섹션에 추가합니다. 위험도가 가장 높은 취약점의 세부 정보 섹션에는 위험도가 가장 높은 취약점, 이러한 취약점의 범주, 위험 지수 및 CVSS 지수의 목록이 있습니다. 취약점 인덱스 섹션에는 각 취약점의 심각도 수준 및 CVSS 등급이 있습니다.
PCI 취약점 세부 정보 섹션에는 PCI 감사(기존) 보고서에 포함된 각 취약점에 대한 세부 정보가 있습니다. 이 섹션은 심각도 수준과 CVSS 등급에 따라 취약점을 수치화합니다.
목록에 있는 모든 정책에는 정책을 구성하는 규칙의 테이블이 있는 해당 정책 페이지로의 하이퍼링크가 있습니다. 목록에 있는 모든 규칙에는 해당 규칙에 대한 페이지로의 하이퍼링크가 있습니다. 이러한 규칙 페이지에는 해당 규칙에 대한 상세한 기술적인 정보와 관련 CCE 식별자 목록이 있습니다.
CCE 항목은 검색 기능을 통해 검색할 수 있습니다. 사용자 가이드에서 검색 기능 사용을 참조하십시오.
SCAP 페이지에 있는 4개의 테이블:
각 테이블에는 새로운 SCAP 데이터가 포함된 최신 컨텐츠 업데이트 및 NIST가 새로운 데이터를 생성한 최신 날짜의 목록이 있습니다.
또한 SCAP 페이지에서는 구성 정책 검사 시 가져온 OVAL(Open Vulnerability and Assessment Language) 파일 목록을 확인할 수도 있습니다. FDCC 요건에 따라 목록에 있는 각 파일 이름에는 XML 구조의 검사 컨텐츠를 다운로드할 수 있는 하이퍼링크가 있습니다.