# Tenable 취약성 관리 로그 ## 개요 Panther는 취약성 로그를 직접 가져오는 것을 지원합니다 [Tenable](https://www.tenable.com/products/nessus). ## Tenable 취약성 관리 로그를 Panther에 온보딩하는 방법 Tenable 로그를 온보딩하려면 Tenable에서 API 키를 생성한 후 Panther에서 소스를 설정합니다. ### 1단계: Tenable에서 API 키 생성 1. 다음에 로그인하세요 [Tenable](https://cloud.tenable.com). 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정** **>** **내 계정**. 3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **API 키** **>** **생성** **>** **계속**. * 다음 항목을 기록해 두세요 **액세스 키** 와 **시크릿 키**다음 단계에서 사용할 것이므로 기록해 두세요. ### 2단계: Panther에서 Tenable 로그 소스 생성 1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 **구성 > 로그 소스.** 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. "Tenable Nessus"를 검색한 후 해당 타일을 클릭하세요. 4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**.\ ![In the new source creation flow in the Panther Console, a slide-out panel with a "Tenable Nessus" title is shown. There is an arrow drawn from the Tenable Nessus tile to the Start Setup button in the upper right corner.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-444100f164b34c9f9f26bc88312512f34347ad9a%2FScreenshot%202023-08-10%20at%2012.04.48%20PM.png?alt=media) 5. 설명적인 이름을 입력한 다음 클릭하세요 **설정**. 6. 다음 값을 입력하세요: **액세스 키** 와 **시크릿 키** 이전 단계에서 생성한 항목입니다. 7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 성공 화면으로 이동됩니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs). * 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## 지원되는 로그 유형 ### Tenable.Vulnerability 다음은 Tenable 취약성 로그 스키마를 정의합니다: ```yaml 스키마: Tenable.Vulnerability 설명: Tenable.io의 취약성 로그 참조URL: https://developer.tenable.com/reference/exports-vulns-download-chunk 필드: - 이름: asset type: object 설명: 스캔에서 취약성이 감지된 자산에 대한 정보입니다. 필드: - 이름: agent_uuid type: string 설명: 취약성이 발견된 스캔을 수행한 에이전트의 UUID입니다. - 이름: bios_uuid type: string 설명: 취약성이 발견된 자산의 BIOS UUID입니다. - 이름: device_type type: string 설명: 취약성이 발견된 자산의 유형입니다. - 이름: fqdn type: string 지표: [호스트명] 설명: 스캔에서 취약성이 발견된 자산의 정규화된 도메인 이름(FQDN)입니다. - 이름: hostname 지표: [호스트명] type: string 설명: 스캔에서 취약성이 발견된 자산의 호스트 이름입니다. - name: uuid type: string 설명: 스캔에서 취약성이 발견된 자산의 UUID입니다. - 이름: ipv6 type: string 지표: [IP] 설명: 스캔에서 취약성이 발견된 자산의 IPv6 주소입니다. - 이름: ipv4 지표: [IP] type: string 설명: 스캔에서 취약성이 발견된 자산의 IPv4 주소입니다. - 이름: last_authenticated_results type: timestamp 시간 형식: [rfc3339] 설명: 자격 증명을 사용하여 자산을 성공적으로 스캔한 마지막 날짜입니다. - 이름: last_unauthenticated_results type: timestamp 시간 형식: [rfc3339] 설명: 자격 증명을 사용하지 않고 자산이 스캔된 마지막 날짜입니다 - 이름: mac_address 지표: [MAC] type: string 설명: 스캔에서 취약성이 발견된 자산의 MAC 주소입니다. - 이름: netbios_name type: string 설명: 스캔에서 취약성이 발견된 자산의 NETBIOS 이름입니다. - 이름: netbios_workgroup type: string 설명: 스캔에서 취약성이 발견된 자산의 NETBIOS 작업 그룹입니다. - 이름: operating_system 유형: json 설명: 스캔에서 취약성이 발견된 자산의 운영 체제입니다. - 이름: network_id type: string 설명: 자산을 식별한 스캐너와 연결된 네트워크 객체의 ID입니다. 기본 네트워크 ID는 00000000-0000-0000-0000-000000000000입니다. 네트워크 객체에 대한 자세한 내용은 네트워크 관리(Manage Networks)를 참조하세요. - 이름: tracked 유형: boolean 설명: Tenable.io가 자산 관리 시스템에서 자산을 추적하는지 여부를 지정하는 값입니다. Tenable.io는 추적되지 않는 자산에도 스캔 결과에 식별자를 할당하지만 이러한 식별자는 자산에 대한 각 새로운 스캔에서 변경됩니다. 이 매개변수는 PCI 유형 스캔 및 스캔에서 자산을 식별할 충분한 정보가 없는 특정 경우와 관련이 있습니다. 추적되지 않는 자산은 스캔 기록에는 표시되지만 워크벤치나 보고서에는 표시되지 않습니다. - 이름: output type: string 설명: Nessus 스캐너의 텍스트 출력입니다. - 이름: plugin 유형: json 설명: 취약성을 감지한 플러그인에 대한 정보입니다. index: 0 유형: json 설명: 스캐너가 자산에 연결하는 데 사용한 포트에 대한 정보입니다. - 이름: recast_reason type: string 설명: Tenable.io 사용자 인터페이스의 재평가(recast) 룰 코멘트 필드에 나타나는 텍스트입니다. - 이름: recast_rule_uuid type: string 설명: 플러그인에 적용되는 재평가(recast) 룰의 UUID입니다. - 이름: scan 유형: json 설명: 취약성을 감지한 최신 스캔에 대한 정보입니다. - 이름: severity type: string 설명: 공통 취약성 점수 시스템(CVSS) 기본 점수를 사용하여 정의된 취약성의 심각도입니다. 가능한 값은 info(CVSS 점수 0), low(CVSS 점수 0.1~3.9), medium(CVSS 점수 4.0~6.9), high(CVSS 점수 7.0~9.9), critical(CVSS 점수 10.0)가 있습니다. - 이름: severity_id type: string 설명: | 사용자가 취약성과 관련된 위험을 재평가(recast)할 때 할당된 심각도 코드입니다. 가능한 값은 다음을 포함합니다: 0—취약성의 CVSS 점수가 0이며, 이는 "info" 심각도 수준에 해당합니다. 1—취약성의 CVSS 점수가 0.1~3.9 사이이며, 이는 "low" 심각도 수준에 해당합니다. 2—취약성의 CVSS 점수가 4.0~6.9 사이이며, 이는 "medium" 심각도 수준에 해당합니다. 3—취약성의 CVSS 점수가 7.0~9.9 사이이며, 이는 "high" 심각도 수준에 해당합니다. 4—취약성의 CVSS 점수가 10.0이며, 이는 "critical" 심각도 수준에 해당합니다. - 이름: severity_default_id type: string 설명: 사용자가 취약성과 관련된 위험을 재평가(recast)하기 전에 취약성에 원래 할당된 심각도 코드입니다. 가능한 값은 severity_id 속성과 동일합니다. - 이름: severity_modification_type type: string 설명: | 사용자가 취약성의 심각도에 대해 수행한 수정 유형입니다. 가능한 값은 다음을 포함합니다: none—수정이 이루어지지 않았습니다. recasted—Tenable.io 사용자 인터페이스의 사용자가 취약성과 관련된 위험을 재평가(recast)했습니다. accepted—Tenable.io 사용자 인터페이스의 사용자가 취약성과 관련된 위험을 수락했습니다. - 이름: first_found type: timestamp isEventTime: true required: true 설명: 스캔이 자산에서 처음으로 취약성을 감지한 ISO 날짜입니다. timeFormats: - rfc3339 - 이름: last_found type: timestamp isEventTime: true required: true 설명: 스캔이 자산에서 마지막으로 취약성을 감지한 ISO 날짜입니다. timeFormats: - rfc3339 - 이름: last_fixed type: timestamp 설명: 스캔이 더 이상 이전에 감지된 취약성을 자산에서 감지하지 않은 ISO 날짜입니다. timeFormats: - rfc3339 - 이름: state type: string 설명: | Tenable.io 상태 서비스에 의해 결정된 취약성의 상태입니다. 가능한 값은 다음을 포함합니다: open—취약성이 현재 자산에 존재합니다. reopened—취약성이 이전에 자산에서 수정(fixed)된 것으로 표시되었지만 새 스캔에서 다시 감지되었습니다. fixed—취약성이 자산에 존재했지만 더 이상 감지되지 않습니다. - 이름: indexed type: timestamp 설명: 취약성이 Tenable.io에 인덱싱된 날짜 및 시간(Unix 시간)입니다. timeFormats: - rfc3339 - unix ```