11 Berichte und Schwachstellenmanagement

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle GSM-Modelle alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für das genutzte GSM-Modell verfügbar ist, können die Tabellen in Kapitel 3 genutzt werden.

Die Scanergebnisse werden in einem Bericht zusammengefasst. Berichte können auf der Web-Oberfläche angezeigt und in unterschiedlichen Formaten heruntergeladen werden.

Der GSM speichert alle Berichte aller Scans in der lokalen Datenbank. Nicht nur der letzte Bericht wird gespeichert, sondern alle Berichte aller jemals gelaufenen Scans. Dies ermöglicht den Zugriff auf vergangene Informationen. Die Berichte enthalten erkannte Schwachstellen und Informationen über den Scan.

Nach dem Starten eines Scans kann der Bericht der bis dahin gefundenen Ergebnisse angesehen werden. Wenn der Scan abgeschlossen ist, ändert sich der Status zu Abgeschlossen und keine weiteren Ergebnisse werden hinzugefügt.

11.1 Berichtformate konfigurieren und verwalten

Berichtformate sind die Formate, aus denen ein Bericht basierend auf den Scanergebnissen erstellt wird. Viele Berichtformate reduzieren die verfügbaren Daten, um sie auf sinnvolle Weise darzustellen.

Die Berichtformate können genutzt werden, um Berichtinformationen in andere Dokumentformate zu exportieren, sodass sie von Dritt-Anwendungen (Konnektoren) verarbeitet werden können.

Der Name des exportierten Berichts kann in den Benutzereinstellungen konfiguriert werden (siehe Kapitel 8.8).

Das vom GSM verwendete XML-Format enthält alle Daten und kann genutzt werden, um exportierte Berichte in andere GSMs zu importieren. Dazu muss eine Container-Aufgabe erstellt werden (siehe Kapitel 10.5).

Greenbone Networks unterstützt das Erstellen zusätzlicher Berichtformate mithilfe von Berichtformat-Plug-ins. Anfragen, Vorschläge und konkrete Vorlagen sind willkommen.

Das Berichtformat-Plug-in-Framework hat die folgenden Eigenschaften:

Einfacher Import/Export
Ein Berichtformat-Plug-in ist immer eine einzelne XML-Datei. Der Import kann einfach durchgeführt werden.
Parametrisiert
Plug-ins können Parameter enthalten, mit denen das Plug-in über die Web-Oberfläche an besondere Anforderungen angepasst werden kann.
Inhaltstyp
Für jedes Plug-in wird bestimmt, welchen Typ das Ergebnis hat. Abhängig vom Inhaltstyp werden die Plug-ins in kontextbezogener Beziehung dargestellt. Zum Beispiel die Typen text/* für das Inline-Senden von E-Mails.
Signaturunterstützung
Der Greenbone Security Feed enthält Signaturen für vertrauenswürdige Plug-ins. Dadurch kann verifiziert werden, dass ein importiertes Plug-in von Greenbone Networks verifiziert wurde.

11.1.1 Standard-Berichtformate

Alle Standardberichtformate von Greenbone Networks sind Datenobjekte, die über den Feed verteilt werden. Sie werden mit jedem Feed-Update heruntergeladen und aktualisiert.

Falls keine Standardberichtformate verfügbar sind, ist möglicherweise ein Feed-Update nötig oder der Feed Import Owner muss festgelegt werden (siehe Kapitel 7.2.1.9.1).

Standardrichtlinien können nicht bearbeitet werden. Außerdem können sie nur temporär vom Feed Import Owner oder von einem Super-Administrator gelöscht werden. Während des nächsten Feed-Updates werden sie wieder heruntergeladen.

Bemerkung

Um ein Standardberichtformat dauerhaft zu löschen, muss der Feed Import Owner es löschen. Anschließend muss der Feed Import Owner auf (Unset) geändert werden (siehe Kapitel 7.2.1.9.1).

Die folgenden Berichtformate sind standardmäßig verfügbar:

Anonymous XML
Dies ist die anonyme Version des XML-Formats. IP-Adressen werden durch zufällige IP-Adressen ersetzt.
ARF: Asset Reporting Format v1.0.0
Dieses Format erzeugt einen Bericht, der dem NIST Asset Reporting Format entspricht.
CPE – Common Platform Enumeration CSV-Tabelle
Dieser Bericht wählt alle CPE-Tabellen und erstellt eine einzelne kommagetrennte Datei.
CSV Hosts
Dieser Bericht erstellt eine kommagetrennte Datei, die alle gefundenen Systeme enthält.
CSV Results
Dieser Bericht erstellt eine kommagetrennte Datei, die alle gefundenen Ergebnisse enthält.
GCR PDF – Greenbone Compliance Report
Dies ist der vollständige Greenbone Compliance Report für Compliance-Audits (siehe Kapitel 12.2) mit allen Schwachstellen in grafischem Format als PDF-Datei. Die Sprache des Berichts ist Englisch.
GSR HTML – Greenbone Security Report
Dies ist der vollständige Greenbone Security Report mit allen Schwachstellen und Ergebnissen. Er kann mit einem Webbrowser geöffnet werden, in dem JavaScript aktiviert sein muss. Er enthält von der Web-Oberfläche bekannte, dynamisch sortierbare Listen. Die Sprache des Berichts ist Englisch.
GSR PDF – Greenbone Security Report
Dies ist der vollständige Greenbone Security Report mit allen Schwachstellen in grafischem Format als PDF-Datei. Der Topologiegraph ist nicht enthalten, falls mehr als 100 Hosts mit dem Bericht abgedeckt sind. Die Sprache des Berichts ist Englisch.
GXCR PDF – Greenbone Executive Compliance Report
Dies ist der gekürzte Greenbone Compliance Report für Compliance-Audits (siehe Kapitel 12.2) für das Management mit allen Schwachstellen in grafischem Format als PDF-Datei. Die Sprache des Berichts ist Englisch.
GXR PDF – Greenbone Executive Report
Dies ist der gekürzte Greenbone Security Report für das Management mit allen Schwachstellen in grafischem Format als PDF-Datei. Der Topologiegraph ist nicht enthalten, falls mehr als 100 Hosts mit dem Bericht abgedeckt sind. Die Sprache des Berichts ist Englisch.
ITG – IT-Grundschutz-Katalog
Dieser Bericht wird vom IT-Grundschutz-Katalog des BSI geleitet. Er stellt eine Übersicht über die gefundenen Ergebnisse in tabellarischer Ansicht im CSV-Format bereit. Die Sprache des Berichts ist Deutsch.
LaTeX
Dieser Bericht wird als LaTeX-Quelltext bereitgestellt. Die Sprache des Berichts ist Englisch.
NBE
Dies ist das alte OpenVAS-/Nessus-Berichtformat. Es bietet keine Unterstützung für Notizen, Übersteuerungen und einige weitere Informationen.
PDF
Dies ist ein vollständiger Bericht als PDF. Wie das HTML-Format ist es neutral. Die Sprache des Berichts ist Englisch.
TLS Map
Dies ist das Berichtformat für TLS-Map-Scans (siehe Kapitel 12.6).
Topology SVG
Dies stellt die Ergebnisse in einem SVG-Bild dar.
TXT
Dies erstellt eine Textdatei. Dieses Format ist insbesondere beim Senden von E-Mail nützlich. Die Sprache des Berichts ist Englisch.
Verinice ISM
Erstellt eine Importdatei für das ISMS-Tool verinice (siehe Kapitel 18.2).
Verinice ITG (veraltet)
Erstellt eine Importdatei für das ISMS-Tool verinice (siehe Kapitel 18.2).
Vulnerability Report HTML (empfohlen)
Dies ist der neue vollständige Greenbone Security Report mit allen Schwachstellen und Ergebnissen. Er kann mit einem Webbrowser oder einem HTML-Viewer geöffnet werden. Die Sprache des Berichts ist Englisch.
Vulnerability Report PDF (empfohlen)

Dies ist der vollständige Greenbone Security Report mit allen Schwachstellen in grafischem Format als PDF-Datei. Die Sprache des Berichts ist Englisch.

Berichte mit diesem Berichtformat sind auf die ersten 500 Ergebnisse pro Host beschränkt. Nachfolgende Ergebnisse pro Host werden ausgelassen und eine Warnung wird auf der Titelseite des Berichts angezeigt.

XML
Der Bericht wird im ursprünglichen XML-Format exportiert. Im Gegensatz zu anderen Formaten enthält dieses Format alle Ergebnisse und formatiert diese nicht.

11.1.2 Berichtformate verwalten

Listenseite

Alle vorhandenen Berichtformate können angezeigt werden, indem Konfiguration > Berichtformate in der Menüleiste gewählt wird.

Für alle Berichtformate werden die folgenden Informationen angezeigt:

Name
Name des Berichtformats.
Dateiendung
Der Dateiname des heruntergeladenen Berichts besteht aus der UUID (einzigartige, interne ID des Berichts) und diese Erweiterung. Unter anderem unterstützt die Erweiterung den Browser beim Starten einer kompatiblen Anwendungen, falls ein bestimmter Inhaltstyp nicht erkannt wird.
Inhaltstyp

Der Inhaltstyp bestimmt das genutzte Format und wird beim Herunterladen übertragen. Dadurch kann eine kompatible Anwendung vom Browser gestartet werden.

Zusätzlich ist der Inhaltstyp intern wichtig: Er wird genutzt, um in seinem Kontext ein geeignetes Plug-in anzubieten. Beispielsweise werden beim Senden eines Berichts per E-Mail alle Plug-ins des Typs text/\* angeboten, da sie auf lesbare Weise in eine E-Mail eingebettet werden können.

Vertrauen (Zuletzt Verifiziert)
Einige Plug-ins bestehen aus einer Datentransformation, während andere komplexere Operationen ausführen und auch Hilfsprogramme nutzen. Um einen Missbrauch zu vermeiden, muss jedes Berichtformat-Plug-in von Greenbone Networks digital signiert werden. Die digitalen Signaturen werden über den Greenbone Security Feed verteilt. Falls die Signatur echt ist und dem Herausgeber vertraut wird, ist sichergestellt, dass das Berichtformat in exakt dem vom Herausgeber beglaubigten Format vorliegt. Die Vertrauensprüfung läuft automatisch ab und das Ergebnis wird in der Spalte Vertrauen (Zuletzt Verifiziert) angezeigt.
Aktiv
Die Berichtformate sind in den entsprechenden Auswahlmenüs nur verfügbar, wenn sie aktiviert wurden. Neu importierte Berichtformate sind am Anfang immer deaktiviert. Ein Berichtformat kann nur aktiviert werden, wenn ihm vertraut wird.

Für alle Berichtformate sind die folgenden Aktionen verfügbar:

  • trashcan Das Berichtformat in den Papierkorb verschieben. Solange das Berichtformat nicht aus dem Papierkorb gelöscht wird, wird es beim nächsten Feed-Update nicht neu heruntergeladen.
  • edit Das Berichtformat bearbeiten. Nur selbst erstellte Berichtformate können bearbeitet werden.

Bemerkung

Durch Klicken auf trashcan unterhalb der Liste von Berichtformaten können mehrere Berichtformate zur gleichen Zeit in den Papierkorb verschoben werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Berichtformate in den Papierkorb verschoben werden.

Detailseite

Durch Klicken auf den Namen eines Berichtformats werden Details des Berichtformats angezeigt. Durch Klicken auf details wird die Detailseite des Berichtformats geöffnet.

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Berichtformaten anzeigen.
  • new Ein neues Berichtformat hinzufügen (siehe Kapitel 11.1.3).
  • edit Das Berichtformat bearbeiten. Nur selbst erstellte Berichtformate können bearbeitet werden.
  • delete Das Berichtformat in den Papierkorb verschieben. Solange das Berichtformat nicht aus dem Papierkorb gelöscht wird, wird es beim nächsten Feed-Update nicht neu heruntergeladen.
_images/report_formats-de.png

Abb. 11.1 Seite Berichtformate mit allen verfügbaren Berichtformaten

11.1.3 Ein Berichtformat hinzufügen

Bemerkung

Um einen Missbrauch zu vermeiden, muss jedes zusätzlich importierte Berichtformat von Greenbone Networks überprüft und digital signiert werden. Berichtformate, die nicht von Greenbone Networks signiert sind, werden in GOS nicht unterstützt und können nicht genutzt werden.

Für mehr Informationen siehe Kapitel 11.1.2Vertrauen (Zuletzt Verifiziert).

Ein neues Berichtformat kann wie folgt importiert werden:

  1. Berichtformat-Plug-in, das von Greenbone Networks geprüft und akzeptiert wurde, bereitstellen oder besorgen.

  2. Konfiguration > Berichtformate in der Menüleiste wählen.

  3. Auf import klicken.

  4. Auf Browse… klicken und das Berichtformat-Plug-in wählen (siehe Abb. 11.2).

    _images/report_format_new-de.png

    Abb. 11.2 Importieren eines Berichtformat-Plug-ins

  5. Auf Speichern klicken.

    → Das importierte Berichtformat wird auf der Seite Berichtformate angezeigt.

  6. In der Zeile des Berichtformats auf edit klicken.

  7. Für Aktiv den Radiobutton Ja wählen (siehe Abb. 11.3).

  8. Auf Speichern klicken.

    _images/report_format_activate-de.png

    Abb. 11.3 Aktivieren eines neuen Berichtformats

11.2 Berichte nutzen und verwalten

Alle vorhandenen Berichte aller Scans können angezeigt werden, indem Scans > Berichte in der Menüleiste gewählt wird.

Die gesamte Anzahl an Berichten für eine bestimmte Aufgabe wird auf der Seite Aufgaben in der Spalte Berichte angezeigt.

Der Bericht einer bestimmten Aufgabe kann wie folgt angezeigt werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Zum Anzeigen aller Berichte bei gewünschter Aufgabe auf die Gesamtanzahl an Berichten in der Spalte Berichte klicken.

    → Die Seite Berichte wird geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.

Tipp

Durch Klicken auf das Datum in der Spalte Letzter Bericht wird die Detailseite des letzten Berichts geöffnet (siehe Kapitel 11.2.1).

_images/reports_total_amount-de.png

Abb. 11.4 Gesamtanzahl an gespeicherten Berichten und Datum des letzten Berichts

Für alle Berichte werden die folgenden Informationen angezeigt:

Datum
Datum und Zeit der Berichterstellung.
Status
Status der zugehörigen Aufgabe.
Aufgabe
Zugehörige Aufgabe.
Schweregrad
Höchster Schweregrad, der durch den Scan gefunden wurde.
Hoch/Mittel/Niedrig/Log/Falsch-Positiv
Anzahl der gefundenen Schwachstelle für jeden Schweregrad.

Für alle Berichte sind die folgenden Aktionen verfügbar:

  • delta Einen Delta-Vergleich erstellen (siehe Kapitel 11.2.5).
  • delete Den Bericht löschen.

Bemerkung

Durch Klicken auf delete unterhalb der Liste von Berichten können mehrere Berichte zur gleichen Zeit gelöscht werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Berichte gelöscht werden.

11.2.1 Einen Bericht lesen

Durch Klicken auf das Datum eines Berichts werden Details des Berichts angezeigt.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über den entsprechenden Scan.
Ergebnisse
Liste aller Ergebnisse in diesem Bericht (siehe Kapitel 11.2.1.1).
Hosts
Gescannte Hosts mit Hostnamen und IP-Adressen. Die gefundenen Betriebssysteme, die Anzahl gefundener Schwachstellen für jeden Schweregrad und der höchste durch den Scan gefundene Schweregrad werden angezeigt.
Ports
Gescannte Ports mit Portnamen, Anzahl der Hosts und höchstem durch den Scan gefundenen Schweregrad.
Anwendungen
Gescannte Anwendung mit CPE der Anwendung, Anzahl der Hosts, Anzahl der Ergebnisse, die diese CPE festgestellt haben und höchstem durch den Scan gefundenen Schweregrad.
Betriebssysteme
Gescannte Betriebssysteme mit Systemnamen, Hostnamen, Anzahl gescannter Hosts und höchstem durch den Scan gefundenen Schweregrad.
CVEs
Durch den Scan gefundene CVEs.
Geschlossene CVEs
CVEs von ursprünglich erkannten Schwachstellen, die während des Scans bereits als gelöst bestätigt wurden.
TLS-Zerifikate
Durch den Scan gefundene TLS-Zertifikate.
Fehlermeldungen
Fehlermeldungen, die während des Scans auftraten.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).

Der Inhalt des Bericht kann nach einer gewählten Spalte sortiert werden, indem auf den Spaltentitel geklickt wird. Der Inhalt kann auf- oder absteigend sortiert werden:

  • sort_ascending im Spaltentitel zeigt, dass die Objekte aufsteigend sortiert sind.
  • sort_descending im Spaltentitel zeigt, dass die Objekte absteigend sortiert sind.

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Berichtformaten anzeigen.
  • add_assets Die Inhalte des Berichts, die mindestens eine QdE von 70 % und aktivierte Übersteuerungen haben, zu den Assets hinzufügen.
  • remove_assets Die Inhalte des Berichts aus den Assets entfernen.
  • task Die zugehörige Aufgabe anzeigen.
  • results Die Seite Ergebnisse öffnen. Ein Filter ist angewendet, sodass nur die Ergebnisse für diesen Bericht angezeigt werden.
  • vulnerability Die Seite Schwachstellen öffnen. Ein Filter ist angewendet, sodass nur die Schwachstellen für diesen Bericht angezeigt werden.
  • tls Die Seite TLS-Zertifikate öffnen. Ein Filter ist angewendet, sodass nur die TLS-Zertifikate für diesen Bericht angezeigt werden.
  • performance Die Seite Leistungsdaten öffnen. Die Systemleistung für die Dauer des Scans wird angezeigt.
  • download Einen gefilterten Bericht herunterladen (siehe Kapitel 11.2.2).
  • start Eine Benachrichtigung zum Senden eines Berichts auslösen (siehe Kapitel 11.2.4).

11.2.1.1 Ergebnisse eines Berichts

Der Register Ergebnisse enthält eine Liste aller Schwachstellen, die durch den GSM gefunden wurden (siehe Abb. 11.5).

_images/report_results-de.png

Abb. 11.5 Register Ergebnisse mit einer Liste der gefundenen Schwachstellen

Bemerkung

Standardmäßig werden Übersteuerungen nicht angewendet. Sie können durch Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).

Für jedes Ergebnis werden die folgenden Informationen angezeigt:

Schwachstelle

Name der gefundenen Schwachstelle. Durch Klicken auf den Namen der Schwachstelle werden Details der Schwachstelle angezeigt (siehe Abb. 11.6). Durch Klicken auf details wird die Detailseite der Schwachstelle geöffnet.

Schwachstellen mit einer angehängten Notiz sind mit note gekennzeichnet. Schwachstellen mit einem angehängten Ticket sind mit ticket gekennzeichnet.

Bemerkung

Falls die Spalte der Schwachstelle leer ist, wurde der entsprechende VT noch nicht aktualisiert.

_images/report_result_details-de.png

Abb. 11.6 Detaillierte Informationen über die Schwachstelle

Lösungstyp solution_type

Lösung für die gefundene Schwachstelle. Die folgenden Lösungen sind möglich:

  • st_vendorfix Eine Herstellerlösung ist verfügbar.
  • st_workaround Eine Problemumgehung ist verfügbar.
  • st_mitigation Eine Schadensminderung ist verfügbar.
  • st_willnotfix Es ist kein Fix verfügbar oder wird verfügbar sein.
  • st_nonavailable Es ist keine Lösung vorhanden.
Schweregrad
Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 14.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.
QdE

Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 % und 100 % und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung.

Standardmäßig werden nur Ergebnisse angezeigt, die durch VTs mit einer QdE von 70 % oder höher erkannt wurden. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).

Für mehr Informationen über die QdE siehe Kapitel 11.2.6.

Host
Host, für den das Ergebnis gefunden wurde. Die IP-Adresse und der Name des Hosts werden getrennt voneinander angezeigt.
Ort
Zum Entdecken der Schwachstelle auf dem Host genutzte Portnummer und genutzter Protokolltyp.
Erstellt
Datum und Zeit der Berichterstellung.

11.2.1.2 Einen Bericht interpretieren

Um die Ergebnisse zu interpretieren, müssen die folgenden Informationen beachtet werden:

  • Falsch-Positiv false_positives_de

    Ein Falsch-Positiv-Ergebnis (Falschmeldung) beschreibt ein Ergebnis, das nicht wirklich vorhanden ist. Oft finden Schwachstellenscanner Hinweise, die auf eine Schwachstelle hindeuten, allerdings kann keine endgültige Entscheidung getroffen werden. Es gibt zwei Möglichkeiten:

    • Melden einer potentiell nicht vorhandenen Schwachstelle (falsch-positiv).
    • Ignorieren einer potentiell vorhandenen Schwachstelle (falsch-negativ).

    Da ein Benutzer in der Lage ist, Falsch-Positiv-Meldungen zu erkennen, zu verwalten und somit mit ihnen umzugehen, was für Falsch-Negativ-Meldungen nicht der Fall ist, meldet der Schwachstellenscanner des GSMs alle potentiell vorhandenen Schwachstellen. Falls der Benutzer weiß, dass Falsch-Positiv-Meldungen existieren, kann eine Übersteuerung konfiguriert werden (siehe Kapitel 11.8).

  • Mehrere Ergebnisse können dieselbe Ursache haben.

    Falls ein besonders altes Softwarepaket installiert ist, existieren oft mehrere Schwachstellen. Jede dieser Schwachstellen wird von einem anderen VT geprüft und löst eine Benachrichtigung aus. Die Installation eines aktuellen Pakets entfernt viele Schwachstellen auf einmal.

  • Hoch high_de und Mittel medium_de

    Ergebnisse der Schweregrade Hoch und Mittel sind am wichtigsten und sollten priorisiert behandelt werden. Bevor Ergebnisse mittleren Schweregrads behandelt werden, sollten Ergebnisse hohen Schweregrads thematisiert werden. Nur in außergewöhnlichen Fällen sollte von diesem Ansatz abgewichen werden, z. B. falls bekannt ist, dass die Ergebnisse mit hohem Schweregrad weniger beachtet werden müssen, da der Dienst durch die Firewall nicht erreichbar ist.

  • Niedrig low_de und Log log

    Ergebnisse mit dem Schweregrad Niedrig und Log sind hauptsächlich für das Detailverständnis hilfreich. Diese Ergebnisse werden standardmäßig ausgefiltert, können jedoch interessante Informationen enthalten. Ihr Berücksichtigen erhöht die Sicherheit des Netzwerks und der Systeme. Oftmals ist für ihr Verständnis eine tiefergehende Kenntnis der Anwendung nötig. Typisch für ein Ergebnis mit dem Schweregrad Log ist, dass ein Dienst ein Banner mit seinem Namen und seiner Versionsnummer nutzt. Dies kann für Angreifer hilfreich sein, falls diese Versionsnummer eine bekannte Schwachstelle besitzt.

11.2.1.3 Einen Bericht filtern

Da ein Bericht oft viele Ergebnisse enthält, kann sowohl der gesamte als auch ein gefilterter Bericht angezeigt und heruntergeladen werden.

Der Bericht kann wie folgt gefiltert werden:

  1. In der Filterleiste auf edit klicken.
  2. Ein Stichwort, nach dem gesucht werden soll, in das Eingabefeld Filter eingeben (siehe Abb. 11.7).
_images/filter_edit-de.png

Abb. 11.7 Anpassen des Filters für den Bericht

  1. Radiobutton Ja für Übersteuerungen anwenden wählen, um Übersteuerungen zu aktivieren (siehe Kapitel 11.8).

    Radiobutton Nein für Übersteuerungen anwenden wählen, um Übersteuerungen zu deaktivieren.

  2. Checkbox Nur Hosts mit Ergebnissen anzeigen aktivieren, falls nur Hosts mit Ergebnissen enthalten sein sollen.

  3. Für QdE gewünschte QdE wählen (siehe Kapitel 11.2.6).

  4. Für Schweregrad (Klasse) Checkboxen der gewünschten Schweregrade aktivieren.

  5. Für Lösungstyp Radiobuttons der gewünschten Lösungstypen wählen.

  6. (Teil eines) Schwachstellennamens, Hosts oder Orts in das entsprechende Eingabefeld eingeben.

  7. Aktualisieren klicken.

11.2.2 Einen Bericht exportieren

Für unterstützte Exportformate siehe Kapitel 11.1.

Ein Bericht kann wie folgt exportiert werden:

  1. Scans > Berichte in der Menüleiste wählen.

  2. Details des Berichts durch Klicken auf das Datum eines Berichts anzeigen lassen.

  3. Auf download klicken.

    → Ein Fenster zum Zusammenstellen des Berichtinhalts wird geöffnet (siehe Abb. 11.8).

    Bemerkung

    Der angewendete Filter wird im Eingabefeld Filter angezeigt und kann nicht verändert werden. Zum Ändern des Filters sieht Kapitel 11.2.1.3.

    _images/report_content_composer-de.png

    Abb. 11.8 Zusammenstellen des Inhalts eines Berichtexports

  4. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen.

    Bemerkung

    Übersteuerungen werden nur berücksichtigt, wenn sie beim Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).

  5. Berichtformat in der Drop-down-Liste Berichtformat wählen.

  6. Einstellungen für zukünftige Exporte durch Aktivieren der Checkbox Als Standard speichern speichern.

  7. Auf OK klicken.

  8. Bericht durch Klicken auf Datei speichern speichern.

11.2.3 Einen Bericht importieren

Berichte können wie folgt in den GSM importiert werden:

  1. Scans > Berichte in der Menüleiste wählen.

  2. Auf upload klicken.

  3. Auf Browse… klicken und die XML-Datei des Berichts wählen (siehe Abb. 11.9).

    _images/report_import-de.png

    Abb. 11.9 Importieren eines Berichts

  4. Container-Aufgabe, zu der der Bericht hinzugefügt werden soll in der Drop-down-Liste Containeraufgabe wählen.

    Tipp

    Durch Klicken auf new kann eine neue Container-Aufgabe erstellt werden (siehe Kapitel 10.5).

  5. Radiobutton Ja wählen, um den Bericht zu den Assets hinzuzufügen.

  6. Auf Importieren klicken.

11.2.4 Eine Benachrichtigung für einen Bericht auslösen

Oft beinhaltet eine Benachrichtigung das Senden eines Berichts. Der Bericht, der durch die Benachrichtigung gesendet wird, unterliegt dem Filter, der beim Erstellen der Benachrichtigung festgelegt wurde (siehe Kapitel 10.12). Das Auslösen einer Benachrichtigung für einen Bericht fügt einen zweiten Filter hinzu, der aus dem Zusammenstellen des Berichtinhalts hervorgeht (siehe Kapitel 11.2.2).

Die Benachrichtigung kann manuell wie folgt ausgelöst werden:

  1. Scans > Berichte in der Menüleiste wählen.

  2. Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.

  3. Bericht mithilfe des Powerfilters (siehe Kapitel 11.2.1.3) oder durch Wählen eines Registers filtern, sodass nur die Ergebnisse, die gesendet werden sollen, angezeigt werden.

    Bemerkung

    Der Filter, der beim Erstellen der Benachrichtigung konfiguriert wurde (siehe Kapitel 10.12), wird automatisch hinzugefügt.

    Um das Verhalten dieses Filters zu imitieren, Filter des Berichts so anpassen, dass keine Ergebnisse herausgefiltert werden.

  4. Auf start klicken.

    → Ein Fenster zum Zusammenstellen des Berichtinhalts wird geöffnet (siehe Abb. 11.8).

    Bemerkung

    Der angewendete Filter zum Anzeigen der Ergebnisse wird im Eingabefeld Filter angezeigt und kann nicht verändert werden. Zum Ändern des Filters siehe 11.2.1.3.

  5. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen.

    Bemerkung

    Übersteuerungen werden nur berücksichtigt, wenn sie beim Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).

  6. Benachrichtigung in der Drop-down-Liste Benachrichtigung wählen.

    Tipp

    Eine neue Benachrichtigung kann durch Klicken auf new erstellt werden. Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 10.12.

  7. Einstellungen für zukünftiges Senden des Berichts durch Aktivieren der Checkbox Als Standard speichern speichern.

  8. Auf OK klicken.

    _images/report_trigger_alert-de.png

    Abb. 11.10 Manuelles Auslösen einer Benachrichtigung

11.2.5 Einen Delta-Bericht erstellen

Falls mehr als ein Bericht für eine einzelne Aufgabe verfügbar ist (siehe Kapitel 11.2), kann ein Delta-Bericht wie folgt erstellt werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Auf die Gesamtanzahl der Berichte in der Spalte Berichte klicken.

    → Die Seite Berichte wird geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.

  3. Ersten Bericht durch Klicken auf delta in der Spalte Aktionen wählen (siehe Abb. 11.11).

    → Das Icon delta wird für den gewählten Bericht ausgegraut.

    _images/delta_report_1-de.png

    Abb. 11.11 Wählen des ersten Berichts

  4. Zweiten Bericht durch Klicken auf delta_double in der Spalte Aktionen wählen (siehe Abb. 11.12).

    → Der Delta-Bericht mit den Delta-Ergebnissen wird angezeigt (siehe Abb. 11.13) und kann exportiert werden.

    _images/delta_report_2-de.png

    Abb. 11.12 Wählen des zweiten Berichts

    _images/delta_report_results-de.png

    Abb. 11.13 Delta-Bericht mit Delta-Ergebnissen

Der Typ eines Delta-Ergebnisses wird in der Spalte Delta dargestellt. Es gibt vier Typen von Delta-Ergebnissen:

  • Entfallen [–]
    Das Ergebnis ist im ersten Bericht, aber nicht im zweite vorhanden (gemäß der Auswahlreihenfolge).
  • Neu [+]
    Das Ergebnis ist im zweiten, aber nicht im ersten Bericht vorhanden (gemäß der Auswahlreihenfolge).
  • Gleich [=]
    Das Ergebnis ist in beiden Berichten vorhanden und gleich.
  • Verändert [~]
    Das Ergebnis ist in beiden Berichten vorhanden, unterscheidet sich jedoch.

Der Ausdruck delta_states= kann in die Filterleiste eingegeben werden, um nur einen bestimmten Typen von Delta-Ergebnissen anzeigen zu lassen (siehe Kapitel 8.4).

  • delta_states=g zeigt alle Ergebnisse des Typs Entfallen.
  • delta_states=n zeigt alle Ergebnisse des Typs Neu.
  • delta_states=s zeigt alle Ergebnisse des Typs Gleich.
  • delta_states=c zeigt alle Ergebnisse des Typs Verändert.

Tipp

Mehrere Typen können zeitgleich angezeigt werden, z. B. zeigt delta_states=gs alle Ergebnisse des Typs Entfallen und Gleich .

11.2.6 Konzept der Qualität der Erkennung

Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 % und 100 % und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung. Sie wurde mit GOS 3.1 eingeführt. Ergebnissen, die mit früheren Versionen erstellt wurden, wurde während der Umstellung eine QdE von 75 % zugewiesen.

Obwohl der QdE-Bereich es erlaubt, die Qualität detailgenau darzustellen, nutzen die meisten Prüfroutinen eine Standardmethodik. Deshalb werden den QdE-Werten QdE-Typen zugewiesen. Die aktuelle Typenliste wird möglicherweise mit der Zeit erweitert.

Bemerkung

Die QdE eines „Erkennungs“-Ergebnisses ist höher als die eines tatsächlichen „Schwachstellen“-Ergebnisses, da sie die Qualität der Produkterkennung selbst widerspiegelt – die zuverlässig ist – und nicht die Qualität der zugehörigen Schwachstellentests, die aus verschiedenen Gründen unzuverlässig sein können (siehe Tabelle).

QdE QdE-Typ Beschreibung
100 % exploit Die Erkennung erfolgte durch die Ausnutzung einer Sicherheitslücke und ist daher vollständig bestätigt.
99 % remote_vul Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der Schwachstelle zeigt.
98 % remote_app Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der gefährdeten Anwendung zeigt.
97 % package Authentifizierte paketbasierte Prüfungen für Linux(oide) Systeme.
97 % registry Authentifizierte Prüfungen auf Basis der Registry von Microsoft Windows.
95 % remote_active Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort das wahrscheinliche Vorhandensein der gefährdeten Anwendung oder der Schwachstelle zeigt. „Wahrscheinlich“ bedeutet, dass die Erkennung nur in seltenen Fällen inkorrekt ist.
80 % remote_banner Prüfung von Anwendungsbannern auf dem Zielsystem, die den Patch-Status als Information anbieten. Zum Beispiel ist dies für viele proprietäre Produkte der Fall.
80 % executable_version Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) und Microsoft Windows Systeme, bei denen Anwendungen den Patch-Status in der Version anbieten.
75 %   Während der Systemmigration wurde dieser Wert jedem Ergebnis zugeordnet, das vor der Einführung von QdE gewonnen wurde. Trotzdem haben einige VTs möglicherweise aus anderem Grund diesen Wert.
70 % remote_analysis Prüfung auf dem Zielsystem, bei welcher Analysen durchführt werden, die nicht vollständig zuverlässig sind.
QdE QdE-Typ Beschreibung
50 % remote_probe Prüfung auf dem Zielsystem, bei welcher zwischenliegende Systeme wie Firewalls die korrekte Erkennung vortäuschen können, sodass nicht eindeutig ist, ob die Anwendung selbst geantwortet hat. Zum Beispiel kann dies für Verbindungen ohne TLS geschehen.
30 % remote_banner_unreliable Prüfung von Anwendungsbannern des Zielsystems, die den Patch-Status nicht als Information anbieten. Zum Beispiel ist dies für viele Open-Source-Produkte aufgrund von Backport-Patches der Fall.
30 % executable_version_unreliable Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) Systeme, bei denen Anwendungen den Patch-Status nicht in der Version anbieten.
1 % general_note Allgemeine Notiz zu einer potentiellen Schwachstelle ohne konkrete Erkennung einer vorhandenen Anwendung.

Standardmäßig werden nur Ergebnisse angezeigt, die durch VTs mit einer QdE von 70 % oder höher erkannt wurden. Ergebnisse, die von einem Test mit einer niedrigeren QdE erkannt werden, sind anfällig für Falsch-Positiv-Ergebnisse. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).

Bemerkung

Wenn der Standardfilter geändert wird, um Ergebnisse anzuzeigen, die von einem Test mit einer niedrigen QoD erkannt wurden, liegt es in der eigenen Verantwortung, festzustellen, ob es sich um ein Falsch-Positiv-Ergebnis handelt.

11.3 Alle vorhandenen Ergebnisse anzeigen

Listenseite

Während ein Bericht nur die Ergebnisse eines einzelnen Scans beinhaltet, werden alle Ergebnisse in der internen Datenbank gespeichert und können durch Wählen von Scans > Ergebnisse in der Menüleiste angezeigt werden.

Powerfilter können genutzt werden, um nur Ergebnisse von Interesse darzustellen (siehe Kapitel 8.4).

_images/results_all-de.png

Abb. 11.14 Seite Ergebnisse mit allen Ergebnissen aller Scans

Für alle Ergebnisse werden die folgenden Informationen angezeigt:

Schwachstelle

Name der gefundenen Schwachstelle.

Schwachstellen mit einer angehängten Notiz sind mit note gekennzeichnet. Schwachstellen mit einem angehängten Ticket sind mit ticket gekennzeichnet.

Bemerkung

Falls die Spalte der Schwachstelle leer ist, wurde der entsprechende VT noch nicht aktualisiert.

Bemerkung

Obwohl die Ergebnisse viele Informationen beinhalten, werden in den Details immer externe Referenzen aufgelistet.

Diese beziehen sich auf Webseiten, auf denen die Schwachstelle bereits diskutiert wurde.

Zusätzliche Hintergrundinformationen sind verfügbar, wie der Entdecker, die Auswirkungen und die Beseitigung der Schwachstelle.

Lösungstyp solution_type

Um die Beseitigung einer Schwachstelle zu erleichtern, bietet jedes Ergebnis eine Lösung für das Problem. Die Spalte Art der Lösung zeigt das Vorhandensein einer Lösung. Die folgenden Lösungen sind möglich:

  • st_vendorfix Eine Herstellerlösung ist verfügbar.
  • st_workaround Eine Problemumgehung ist verfügbar.
  • st_mitigation Eine Schadensminderung ist verfügbar.
  • st_willnotfix Es ist kein Fix verfügbar oder wird verfügbar sein.
  • st_nonavailable Es ist keine Lösung vorhanden.
Schweregrad
Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 14.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.
QdE

Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 % und 100 % und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung.

Standardmäßig werden nur Ergebnisse angezeigt, die durch VTs mit einer QdE von 70 % oder höher erkannt wurden. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).

Für mehr Informationen über die QdE siehe Kapitel 11.2.6.

Host
Host, für den das Ergebnis gefunden wurde. Die IP-Adresse und der Name des Hosts werden getrennt voneinander angezeigt.
Ort
Zum Entdecken des Ergebnisses auf dem Host genutzte Portnummer und genutzter Protokolltyp.
Erstellt
Datum und Zeit der Berichterstellung.

Bemerkung

Durch Klicken auf export unterhalb der Liste von Ergebnissen können mehrere Ergebnisse zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ergebnisse exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Ergebnisses werden Details des Ergebnisses angezeigt. Durch Klicken auf details wird die Detailseite des Ergebnisses geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über das Ergebnis.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Ergebnissen anzeigen.
  • export Die Ergebnisse als XML-Datei exportieren.
  • new_note Eine neue Notiz für das Ergebnis erstellen (siehe Kapitel 11.7.1).
  • new_override Eine neue Übersteuerung für das Ergebnis erstellen (siehe Kapitel 11.8.1).
  • new_ticket Ein neues Ticket für das Ergebnis erstellen (siehe Kapitel 11.6.1).
  • task Die zugehörige Aufgabe anzeigen.
  • report Den zugehörigen Bericht anzeigen.

11.4 Alle vorhandenen Schwachstellen anzeigen

Listenseite

Während ein Bericht nur die Schwachstellen eines einzelnen Scans beinhaltet, werden alle Schwachstellen in der internen Datenbank gespeichert und können durch Wählen von Scans > Schwachstellen in der Menüleiste angezeigt werden.

Powerfilter können genutzt werden, um nur Schwachstellen von Interesse darzustellen (siehe Kapitel 8.4).

_images/vuln_all-de.png

Abb. 11.15 Seite Schwachstellen mit allen Schwachstellen aller Scans

Für alle Schwachstellen werden die folgenden Informationen angezeigt:

Name
Titel der Schwachstelle.
Ältestes Ergebnis
Datum und Zeit des ältesten Ergebnisses, das für die Schwachstelle gefunden wurde.
Neuestes Ergebnis
Datum und Zeit des neuesten Ergebnisses, das für die Schwachstelle gefunden wurde.
Schweregrad
Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 14.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.
QdE

Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 % und 100 % und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung.

Standardmäßig werden nur Ergebnisse angezeigt, die durch VTs mit einer QdE von 70 % oder höher erkannt wurden. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).

Für mehr Informationen über die QdE siehe Kapitel 11.2.6.

Ergebnisse
Anzahl der Ergebnisse, die für diese Schwachstelle gefunden wurden. Durch Klicken auf die Anzahl wird die Seite Ergebnisse geöffnet. Ein Filter ist angewendet, um nur die Ergebnisse für die gewählte Schwachstelle anzuzeigen.

Bemerkung

Durch Klicken auf export unterhalb der Liste von Ergebnissen können mehrere Ergebnisse zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ergebnisse exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Schwachstelle wird die Detailseite der Schwachstelle geöffnet.

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Schwachstellen anzeigen.
  • export Die Schwachstelle als XML-Datei exportieren.
  • new_note Eine neue Notiz für die Schwachstelle erstellen (siehe Kapitel 11.7.1).
  • new_override Eine neue Übersteuerung für die Schwachstelle erstellen (siehe Kapitel 11.8.1).
  • results Die dazugehörigen Ergebnisse anzeigen.
  • vulnerability Die zugehörige Schwachstelle anzeigen.

11.5 Trend einer Schwachstelle

Falls eine Aufgabe mehrere Male durchgeführt wurde, wird der Trend der gefundenen Schwachstellen auf der Seite Aufgaben angezeigt (siehe Abb. 11.16).

_images/task_trend-de.png

Abb. 11.16 Aufgabe mit Trend

Um dorthin zu gelangen, Scans > Aufgaben in der Menüleiste wählen.

Der Trend beschreibt die Änderung der Schwachstellen zwischen dem neuesten und zweitneuesten Bericht. Er wird in der Spalte Trend angezeigt.

Die folgenden Trends sind möglich:

  • trend_up Im neuesten Bericht ist der höchste Schweregrad höher als der höchste Schweregrad im zweitneuesten Bericht.
  • trend_more Der höchste Schweregrad ist für beide Berichte gleich. Trotzdem enthält der neueste Bericht mehr Sicherheitsprobleme dieses Schweregrads als der zweitneueste Bericht.
  • trend_nochange Der höchste Schweregrad und die Anzahl an Sicherheitsproblemen ist für beide Berichte gleich.
  • trend_less Der höchste Schweregrad ist für beide Berichte gleich. Trotzdem enthält der neueste Bericht weniger Sicherheitsprobleme dieses Schweregrads als der zweitneueste Bericht.
  • trend_down Im neuesten Bericht ist der höchste Schweregrad kleiner als der höchste Schweregrad im zweitneuesten Bericht.

11.6 Tickets nutzen

Benutzer können andere Benutzer oder sich selbst mit der Beseitigung eines Scanergebnisses beauftragen.

11.6.1 Ein neues Ticket erstellen

Ein Ticket kann wie folgt erstellt werden:

  1. Scans > Berichte in der Menüleiste wählen und Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.

  2. Auf ein Objekt in der Spalte Schwachstelle und auf details klicken, um die Detailseite des Ergebnisses zu öffnen.

    oder

  1. Scans > Ergebnisse in der Menüleiste wählen.

  2. Auf ein Objekt in der Spalte Schwachstelle und auf details klicken, um die Detailseite des Ergebnisses zu öffnen.

  3. Neues Ticket durch Klicken auf new_ticket erstellen.

  4. Benutzer, dem das Ticket zugewiesen werden soll, in der Drop-down-Liste Benutzer zuweisen wählen (siehe Abb. 11.17).

  5. Notiz für das Ticket in das Eingabefeld Notiz eingeben.

    _images/ticket_new-de.png

    Abb. 11.17 Erstellen eines neuen Tickets

  6. Auf Speichern klicken.

    → Die Anzahl an Tickets für ein Ergebnis werden in der linken oberen Ecke der Detailseite angezeigt (siehe Abb. 11.18). Durch Klicken auf ticket werden die zugehörigen Tickets angezeigt.

    _images/ticket_task-de.png

    Abb. 11.18 Anzahl zugewiesener Tickets

11.6.2 Den Status eines Tickets ändern

Ein Ticket kann die folgenden Status haben:

  • Offen: Die Schwachstelle wurde noch nicht beseitigt.
  • Behoben: Die Schwachstelle wurde behoben.
  • Behoben und verifiziert: Die Aufgabe wurde noch einmal durchgeführt und die Schwachstelle wurde nicht mehr gefunden. Dieser Status wird automatisch vergeben.
  • Geschlossen: Die Behebung der Schwachstelle wurde verifiziert oder das Ticket wird nicht mehr benötigt.

Der Status eines Tickets kann wie folgt geändert werden:

  1. Resilience > Remediation Tickets in der Menüleiste wählen.

  2. In der Zeile des Tickets auf edit klicken.

  3. Neuen Status in der Drop-down-Liste Status wählen (siehe Abb. 11.19).

  4. Benutzer, dem das Ticket mit dem neuen Status zugewiesen werden soll, in der Drop-down-Liste Zugewiesener Benutzer wählen.

  5. Notiz für den neuen Status in das entsprechende Eingabefeld eingeben.

    _images/ticket_edit-de.png

    Abb. 11.19 Ändern des Status eines Tickets

  6. Auf Speichern klicken.

11.6.3 Eine Benachrichtigung für ein Ticket einrichten

Benachrichtigungen für Tickets können für die folgenden Ereignisse eingerichtet werden:

  • Ein neues Ticket wurde erhalten.
  • Der Status eines zugewiesenen Tickets hat sich verändert.
  • Der Status eines eigenen Tickets hat sich verändert.

Eine Benachrichtigung für ein Ticket wird wie folgt eingerichtet:

  1. Konfiguration > Benachrichtigungen in der Menüleiste wählen.

  2. Neue Benachrichtigung durch Klicken auf new erstellen.

  3. Benachrichtigung definieren (siehe Abb. 11.20).

  4. Auf Speichern klicken.

    _images/alert_ticket-de.png

    Abb. 11.20 Einrichten einer Benachrichtigung für ein Ticket

Die folgenden Details der Benachrichtigung können festgelegt werden:

Name
Festlegen des Namens. Der Name kann frei gewählt werden.
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Ereignis

Ticket erhalten wählen, falls eine Benachrichtigung gesendet werden soll, wenn einem selbst ein neues Ticket zugewiesen wird.

Zugewiesenes Ticket hat sich geändert wählen, falls eine Benachrichtigung gesendet werden soll, wenn sich der Status eines zugewiesenen Tickets ändert.

Eigenes Ticket hat sich geändert wählen, falls eine Benachrichtigung gesendet werden soll, wenn sich der Status eines Tickets ändert, das einem anderen Benutzer zugewiesen wurde.

Methode

Auswahl der Methode für die Benachrichtigung. Pro Benachrichtigung kann nur eine Methode gewählt werden.

Falls unterschiedliche Benachrichtigungen für das gleiche Ereignis ausgelöst werden sollen, müssen mehrere Benachrichtigungen erstellt und der gleichen Aufgabe zugewiesen werden.

Die folgenden Methoden sind möglich:

E-Mail

Eine E-Mail wird an die angegebene Adresse gesendet.

Die Übertragung der E-Mail kann mithilfe eines S/MIME-Zertifikats oder eines PGP-Verschlüsselungsschlüssel verschlüsselt sein. Die Verschlüsselung kann in der Drop-down-Liste E-Mail-Verschlüsselung gewählt oder durch Klicken auf new erstellt werden.

Aufgabe starten
Die Benachrichtigung kann eine zusätzliche Aufgabe starten. Die Aufgabe wird in der Drop-down-Liste Aufgabe starten gewählt.
System-Logger

Eine Benachrichtigung wird an einen Syslog-Daemon gesendet.

Der Syslog-Server wird mithilfe der Konsole festgelegt (siehe Kapitel 7.2.12).

11.6.4 Tickets verwalten

Listenseite

Alle vorhandenen Tickets können angezeigt werden, indem Resilience > Remediation Tickets in der Menüleiste gewählt wird.

Für alle Tickets werden die folgenden Informationen angezeigt:

Schwachstelle
Schwachstelle, für die das Ticket erstellt wurde.
Schweregrad
Schweregrad der Schwachstelle, für die das Ticket erstellt wurde.
Host
Host, für den die Schwachstelle gefunden wurde.
Lösungstyp
Art der Lösung für die Schwachstelle, für die das Ticket erstellt wurde.
Zugewiesener Benutzer
Benutzer, dem das Ticket zugewiesen wurde.
Änderungszeit
Datum und Zeit der letzten Veränderung des Tickets.
Status
Status des Tickets.

Für alle Tickets sind die folgenden Aktionen verfügbar:

  • trashcan Das Ticket in den Papierkorb verschieben.
  • edit Das Ticket bearbeiten.
  • clone Das Ticket klonen.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Tickets können mehrere Tickets zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Tickets in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Tickets werden Details des Tickets angezeigt. Durch Klicken auf details wird die Detailseite des Tickets geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über das Ticket.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Tickets anzeigen.
  • clone Das Ticket klonen.
  • edit Das Ticket bearbeiten.
  • trashcan Das Ticket in den Papierkorb verschieben.
  • export Das Ticket als XML-Datei exportieren.

11.7 Notizen nutzen

Notizen ermöglichen das Hinzufügen von Kommentaren zu einem VT und werden auch in den Berichten angezeigt. Eine Notiz kann einem Ergebnis, einer Aufgabe, einem Schweregrad, einem Port oder einem Host hinzugefügt werden und erscheint somit nur in bestimmten Berichten.

11.7.1 Eine Notiz erstellen

11.7.1.1 Eine Notiz über ein Scanergebnis erstellen

Notizen können auf unterschiedliche Arten erstellt werden. Der einfachste Weg ist das Erstellen über das entsprechende Scanergebnis in einem Bericht:

  1. Scans > Berichte in der Menüleiste wählen.

  2. Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.

  3. Register Ergebnisse wählen.

  4. Auf ein Ergebnis in der Spalte Schwachstelle klicken.

  5. Detailseite des Ergebnisses durch Klicken auf details öffnen.

  6. Auf new_note in der linken oberen Ecke der Seite klicken.

  7. Notiz definieren (siehe Abb. 11.21).

    _images/note_new-de.png

    Abb. 11.21 Erstellen einer neuen Notiz

  8. Auf Speichern klicken.

    → Die Notiz wird auf der Detailseite des Ergebnisses angezeigt (siehe Abb. 11.22).

_images/note_result-de.png

Abb. 11.22 Bericht mit einer Notiz

11.7.1.2 Eine Notiz auf der Seite Notizen erstellen

Notizen können auch auf der Seite Notizen erstellt werden:

  1. Scans > Notizen in der Menüleiste wählen.

  2. Neue Notiz durch Klicken auf new erstellen.

  3. ID des VTs in das Eingabefeld NVT-OID eingeben.

  4. Notiz definieren.

    Tipp

    Es ist möglich, Bereiche von IP-Adressen oder CIDR-Blöcke in das Eingabefeld Hosts einzugeben. Auf diesem Weg können Notizen für gesamte Teilnetze erstellt werden, ohne dass jeder Host in einer kommagetrennten Liste aufgeführt werden muss.

    Notizen können durch Wählen des Radiobuttons Beliebig für Hosts, Orte, Schweregrade, Aufgaben oder Ergebnisse generalisiert werden.

  5. Auf Speichern klicken.

11.7.2 Notizen verwalten

Listenseite

Alle vorhandenen Notizen können angezeigt werden, indem Scans > Notizen in der Menüleiste gewählt wird (siehe Abb. 11.23).

_images/notes_overview-de.png

Abb. 11.23 Verwalten von Notizen

Für alle Notizen sind die folgenden Aktionen verfügbar:

  • trashcan Die Notiz in den Papierkorb verschieben.
  • edit Die Notiz bearbeiten.
  • clone Die Notiz klonen.
  • export Die Notiz als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Notizen können mehrere Notizen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Notizen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Notiz werden Details der Notiz angezeigt. Durch Klicken auf details wird die Detailseite der Notiz geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Notiz.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Notizen anzeigen.
  • new_note Eine neue Notiz erstellen (siehe Kapitel 11.7.1).
  • clone Die Notiz klonen.
  • edit Die Notiz bearbeiten.
  • trashcan Die Notiz in den Papierkorb verschieben.
  • export Die Notiz als XML-Datei exportieren.

11.8 Übersteuerungen und Falsch-Positiv-Meldungen nutzen

Der Schweregrad eines Ergebnisses kann verändert werden. Dies wird Übersteuerung genannt.

Übersteuerungen sind insbesondere nützlich, um Ergebnisse zu verwalten, die als falsch-positiv erkannt wurden oder denen ein kritischer Schweregrad zugeordnet wurde, wobei der Schweregrad zukünftig ein anderer sein soll.

Das gleiche gilt für Ergebnisse, denen der Schweregrad Log zugeordnet wurde, die lokal aber einen höheren Schweregrad haben sollen. Dies kann auch mithilfe von Übersteuerungen verwaltet werden.

Übersteuerungen werden auch zum Verwalten vertretbarer Risiken gentuzt.

11.8.1 Eine Übersteuerung erstellen

11.8.1.1 Eine Übersteuerung über ein Scanergebnis erstellen

Übersteuerungen können auf unterschiedliche Arten erstellt werden. Der einfachste Weg ist das Erstellen über das entsprechende Scanergebnis in einem Bericht:

  1. Scans > Berichte in der Menüleiste wählen.

  2. Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.

  3. Register Ergebnisse wählen.

  4. Auf ein Ergebnis in der Spalte Schwachstelle klicken.

  5. Detailseite des Ergebnisses durch Klicken auf details öffnen.

  6. Auf new_override in der linken oberen Ecke der Seite klicken.

  7. Übersteuerung definieren. Neuen Schweregrad in der Drop-down-Liste Neuer Schweregrad wählen (siehe Abb. 11.24).

    _images/override_new-de.png

    Abb. 11.24 Erstellen einer neuen Übersteuerung

  8. Auf Speichern klicken.

Die folgenden Informationen können eingegeben werden:

Bemerkung

Falls die Übersteuerung über ein Scanergebnis erstellt wird, sind einige Einstellungen bereits ausgefüllt.

NVT
VT, für den die Übersteuerung angewendet wird.
Aktiv
Wahl, ob die Übersteuerung aktiviert werden soll. Eine Aktivierung für eine beliebige Anzahl an Tagen ist möglich.
Hosts

Host oder Bereich von Hosts, für den das Ergebnis gefunden werden muss, damit die Übersteuerung angewendet wird.

Tipp

Es ist möglich, Bereiche von IP-Adressen oder CIDR-Blöcke einzugeben. Auf diesem Weg können Übersteuerungen für gesamte Teilnetze erstellt werden, ohne dass jeder Host in einer kommagetrennten Liste aufgeführt werden muss.

Hostbereiche werden mit einem Minus angegeben, z. B. 198.168.1.1-198.168.1.25. Bereiche größer als 4096 werden nicht unterstützt.

Bemerkung

Widersprüchliche Übersteuerungen, z. B. eine Übersteuerung für einen Hostbereich und eine andere Übersteuerung für einen Host in diesem Bereich, sind nicht zulässig.

Ort
Port, für den das Ergebnis gefunden werden muss, damit die Übersteuerung angewendet wird. Nur ein spezifischer Port oder die Einstellung Beliebig werden pro Übersteuerung unterstützt. Ein konkreter Port muss als Zahl gefolgt von /tcp oder /udp eingegeben werden.
Schweregrad
Bereich des Schweregrads des VTs, für den die Übersteuerung angewendet werden soll.
Neuer Schweregrad
Schweregrad, den der VT nach Anwenden der Übersteuerung haben soll.
Aufgabe
Wahl der Aufgaben, für die die Übersteuerung angewendet werden soll.
Ergebnis

Wahl der Ergebnisse, für die die Übersteuerung angewendet werden soll.

Bemerkung

Falls die Übersteuerung auf zukünftige Berichte angewendet werden soll, muss der Radiobutton Beliebig gewählt werden.

Text
Ein Text beschreibt die Übersteuerung näher.

Bemerkung

Falls mehrere Übersteuerungen für denselben VT im selben Bericht angewendet werden, wird die neueste Übersteuerung genutzt und angewendet.

11.8.1.2 Eine Übersteuerung auf der Seite Übersteuerungen erstellen

Übersteuerungen können auch auf der Seite Übersteuerungen erstellt werden:

  1. Scans > Übersteuerungen in der Menüleiste wählen.

  2. Neue Übersteuerung durch Klicken auf new erstellen.

  3. ID des VTs in das Eingabefeld NVT-OID eingeben.

  4. Übersteuerung definieren.

    Bemerkung

    Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 11.8.1.1.

  5. Neuen Schweregrad in der Drop-down-Liste Neuer Schweregrad wählen.

  6. Auf Speichern klicken.

11.8.2 Übersteuerungen verwalten

Listenseite

Alle vorhandenen Übersteuerungen können angezeigt werden, indem Scans > Übersteuerungen in der Menüleiste gewählt wird.

Für alle Übersteuerungen sind die folgenden Aktionen verfügbar:

  • trashcan Die Übersteuerung in den Papierkorb verschieben.
  • edit Die Übersteuerung bearbeiten.
  • clone Die Übersteuerung klonen.
  • export Die Übersteuerung als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Übersteuerungen können mehrere Übersteuerungen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Übersteuerungen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Übersteuerung werden Details der Übersteuerung angezeigt. Durch Klicken auf details wird die Detailseite der Übersteuerung geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Übersteuerung.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Übersteuerungen anzeigen.
  • new_override Eine neue Übersteuerung erstellen (siehe Kapitel 11.8.1).
  • clone Die Übersteuerung klonen.
  • edit Die Übersteuerung bearbeiten.
  • trashcan Die Übersteuerung in den Papierkorb verschieben.
  • export Die Übersteuerung als XML-Datei exportieren.

11.8.3 Übersteuerungen aktivieren und deaktivieren

Falls Übersteuerungen die Anzeige der Ergebnisse ändern, können die Übersteuerungen aktiviert oder deaktiviert werden.

Dies wird durch Anpassen des Filters wie folgt durchgeführt:

  1. In der Filterleiste auf edit klicken.

  2. Übersteuerungen durch Wählen des Radiobuttons Ja für Übersteuerungen anwenden aktivieren.

    Radiobutton Nein für Übersteuerungen anwenden wählen, um Übersteuerungen zu deaktivieren.

  3. Aktualisieren klicken.

Tipp

Übersteuerungen können in exportierten Berichten gekennzeichnet werden (siehe Kapitel 11.2.2).

11.9 Geschäftsprozessanalysen nutzen

Eine Geschäftsprozessanalyse (engl. Business Process Map, BPM) wird genutzt, um die Auswirkung gesammelter Ergebnisse auf ein Unternehmen darzustellen.

Geschäftsprozesse werden mithilfe von Knoten (= Prozesse) und Kanten (= Verbindungen) modelliert.

Jedem Knoten wird der Host zugewiesen, auf dem der Prozess stattfindet. Der Knoten ist entsprechend des höchsten Schweregrads des Hosts eingefärbt.

Die folgenden Farben sind möglich:

  • Rot: ein oder mehrere Host(s) hat/haben den Schweregrad Hoch
  • Gelb: ein oder mehrere Host(s) hat/haben den Schweregrad Mittel, aber kein Host hat einen höheren Schweregrad
  • Blau: ein oder mehrere Host(s) hat/haben den Schweregrad Niedrig, aber kein Host hat einen höheren Schweregrad
  • Hellgrau: ein oder mehrere Host(s) hat/haben den Schweregrad Log, aber kein Host hat einen höheren Schweregrad
  • Dunkelgrau: es sind keine Schweregrade für den/die Host(s) verfügbar (N/A)
  • Weiß: diesem Prozess sind keine Hosts zugewiesen

Falls ein Prozess gefährdet ist und möglicherweise einen folgenden Prozess beeinflusst, wird die Färbung dieses folgenden Prozesses angepasst.

Dadurch ist es möglich, die Schwachstellen der Prozesse und ihren Einfluss auf nachfolgende Prozesse zu erkennen.

Die folgenden Regels gelten für das Überschreiben von Farben:

  • Höhere Schweregrade überschreiben niedrigere Schweregrade: Hoch > Mittel > Niedrig > Log
  • Log überschreibt nicht die fehlende Zuweisung von Hosts
  • N/A überschreibt nicht Log

Das Laden und Speichern der Geschäftsprozessanalyse geschieht komplett automatisch. Der Graph wird geladen, wenn die Seite Geschäftsprozessanalyse geöffnet wird. Änderungen werden gespeichert, sobald sie vorgenommen wurden.

Die Geschäftsprozessanalyse kann nicht geteilt oder exportiert/importiert werden.

11.9.2 Eine Geschäftsprozessanalyse erstellen

  1. Resilience > Geschäftsprozessanalyse in der Menüleiste wählen.

  2. Auf new_process klicken, um einen Prozessknoten zu erstellen.

    → Der Prozessknoten wird erstellt und in der Analyse angezeigt (siehe Abb. 11.25).

    Für jeden Prozess wird auf der Seite Tags ein Standardtag erstellt (siehe Kapitel 8.5.4). Der Name des Tags entspricht dem Namen des Prozesses mit einem vorangestellten „myBP:“. Falls der Prozess umbenannt wird, ändert sich auch der Name des Tags, während die ID des Tags gleich bleibt.

    Bemerkung

    Die erstellten Tags sollten nicht manuell bearbeitet werden.

    _images/bpm_1-de.png

    Abb. 11.25 Erstellen eines neuen Prozesses

    Bemerkung

    Es können höchstens 50 Prozesse für eine Geschäftsprozessanalyse erstellt werden.

  3. Auf den Prozessknoten klicken, um ihn auszuwählen.

    → Der Knoten wird mit einem blauen Rand markiert.

  4. Hosts, die dem Prozess zugewiesen werden sollen, in der Drop-down-Liste wählen (siehe Abb. 11.26).

    _images/bpm_2-de.png

    Abb. 11.26 Zuweisen von Hosts zu einem Prozess

  5. Auf Ausgewählte Hosts hinzufügen klicken.

    → Der Prozessknoten wird entsprechend des höchsten Schweregrads des Hosts eingefärbt.

    Wenn der Prozessknoten gewählt wird, werden die Hosts in der Tabelle auf der rechten Seite angezeigt (siehe Abb. 11.27).

    Durch Klicken auf details wird die Detailseite des Hosts geöffnet (siehe Kapitel 13.1.2).

    Durch Klicken auf einen Host werden die Ergebnisse, die für diesen Host gefunden wurden, in einer Tabelle darunter angezeigt (siehe Abb. 11.27). Durch Klicken auf ein Ergebnis öffnet sich dessen Detailseite (siehe Kapitel 11.3).

    _images/bpm_5-de.png

    Abb. 11.27 Hosts und Ergebnisse eines Prozesses

    Bemerkung

    Jeder Host, der einem Prozess zugewiesen wird, wird mit einem Standardtag verknüpft, der für den entsprechenden Prozess erstellt wurde (siehe Schritt 2) (siehe Kapitel 8.5.4).

    Bemerkung

    Obwohl die Anzahl der einem Prozess zugewiesenen Hosts nicht begrenzt ist, werden maximal 100 Hosts pro Prozess in der Tabelle auf der rechten Seite angezeigt und bei der Berechnung der Knotenfarbe berücksichtigt.

    Falls das Limit überstiegen wird, wird eine Warnung über der Hosttabelle angezeigt.

  6. Einen zweiten (oder mehr) Prozessknoten erstellen (siehe Schritte 2 – 5).

  7. Auf new_edge klicken, um eine neue Verbindung zu erstellen.

    → Der „Zeichnen“-Modus wird aktiviert.

  8. Auf den Ausgangsknoten klicken.

    → Der Knoten wird mit einem blauen Rand markiert (see Abb. 11.28).

    _images/bpm_3-de.png

    Abb. 11.28 Erstellen einer Verbindung

  9. Auf den Zielknoten klicken.

    → Die Verbindung wird erstellt. Der Pfeil zeigt die Richtung des Einflusses an (siehe Abb. 11.29).

    _images/bpm_4-de.png

    Abb. 11.29 Neu erstelle Verbindung

    Falls die bedingte Färbung aktiviert ist, wird die Farbe des ersten Knoten auch dem/den folgenden Knoten zugewiesen, d. h. die Farbe des/der folgenden Knoten(s) ist dieselbe wie die des Ausgangknotens. Ein Tooltip zeigt den ursprünglichen Schweregrad eines Prozesses an.

    Um einen Ausgangsprozess leicht zu finden, kann die bedingte Färbung durch Klicken auf color deaktiviert werden. Das Icon color wird grün hinterlegt, falls die bedingte Färbung ausgeschaltet ist.

  10. „Zeichnen“-Modus durch Klicken auf eine beliebige leere Stelle oder Drücken von Esc verlassen.

11.9.3 Eine Geschäftsprozessanalyse bearbeiten

11.9.3.1 Einen Prozess bearbeiten

Ein Prozess kann wie folgt bearbeitet werden:

  1. Resilience > Geschäftsprozessanalyse in der Menüleiste wählen.
  2. Auf den gewünschten Prozessknoten klicken.
  3. Auf edit klicken, um den Namen oder die Beschreibung eines Prozesses zu ändern.
  4. Zusätzliche Hosts, die dem Prozess zugewiesen werden sollen, in der Drop-down-Liste wählen und auf Ausgewählte Hosts hinzufügen klicken.
  5. Auf delete klicken, um den Host vom Prozess zu entfernen.

11.9.3.2 Elemente löschen

Elemente des Graphen (Prozessknoten und Verbindungen) können gelöscht werden, indem das Element ausgewählt und Entf gedrückt oder auf delete geklickt wird.

Falls ein Prozess gelöscht wird, der entweder der Ausgang oder das Ziel einer Verbindung ist, wird die Verbindung ebenfalls entfernt.