11. Berichte und Schwachstellenmanagement

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle GSM-Typen alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für den genutzten GSM-Typ verfügbar ist, können die Tabellen in Kapitel 3 überprüft werden.

Die Scanergebnisse werden in einem Bericht zusammengefasst. Berichte können auf der Web-Oberfläche angezeigt und in unterschiedlichen Formaten heruntergeladen werden.

Der GSM speichert alle Berichte aller Scans in der lokalen Datenbank. Nicht nur der letzte Bericht wird gespeichert, sondern alle Berichte aller jemals gelaufenen Scans. Dies ermöglicht den Zugriff auf vergangene Informationen. Die Berichte enthalten entdeckte Schwachstellen und Informationen über den Scan.

Nach dem Starten eines Scans kann der Bericht der bis dahin gefundenen Ergebnisse angesehen werden. Wenn der Scan abgeschlossen ist, ändert sich der Status zu Abgeschlossen und keine weiteren Ergebnisse werden hinzugefügt.

11.1. Berichtformate konfigurieren und verwalten

Berichtformate sind die Formate, aus denen ein Bericht basierend auf den Scanergebnissen erstellt wird. Viele Berichtformate reduzieren die verfügbaren Daten, um sie auf sinnvolle Weise darzustellen.

Die Berichtformate können genutzt werden, um Berichtinformationen in andere Dokumentformate zu exportieren, sodass sie von Dritt-Anwendungen (Konnektoren) verarbeitet werden können.

Der Name des exportierten Berichts kann in den Benutzereinstellungen konfiguriert werden (siehe Kapitel 8.7).

Das vom GSM verwendete XML-Format enthält alle Daten und kann genutzt werden, um exportierte Berichte in andere GSMs zu importieren. Dazu muss eine Container-Aufgabe erstellt werden (siehe Kapitel 10.5).

Greenbone Networks unterstützt das Erstellen zusätzlicher Berichtformate mithilfe von Berichtformat-Plug-ins. Anfragen, Vorschläge und konkrete Vorlagen sind willkommen.

Das Berichtformat-Plug-in-Framework hat die folgenden Eigenschaften:

Einfacher Import/Export

Ein Berichtformat-Plug-in ist immer eine einzelne XML-Datei. Der Import kann einfach durchgeführt werden.

Parametrisiert

Plug-ins können Parameter enthalten, mit denen das Plug-in über die Web-Oberfläche an besondere Anforderungen angepasst werden kann.

Inhaltstyp

Für jedes Plug-in wird bestimmt, welchen Typ das Ergebnis hat. Abhängig vom Inhaltstyp werden die Plug-ins in kontextbezogener Beziehung dargestellt. Zum Beispiel die Typen text/* für das Inline-Senden von E-Mails

Signaturunterstützung

Der Greenbone Security Feed enthält Signaturen für vertrauenswürdige Plug-ins. Dadurch kann verifiziert werden, dass ein importiertes Plug-in von Greenbone Networks verifiziert wurde.

11.1.1. Standard-Berichtformate

Die folgenden Berichtformate sind standardmäßig verfügbar:

Anonymous XML

Dies ist die anonyme Version des XML-Formats. IP-Adressen werden durch zufällige IP-Adressen ersetzt.

ARF: Asset Reporting Format v1.0.0

Dieses Format erzeugt einen Bericht, der dem NIST Asset Reporting Format entspricht.

CPE – Common Platform Enumeration CSV-Tabelle

Dieser Bericht wählt alle CPE-Tabellen und erstellt eine einzelne kommagetrennte Datei.

CSV Hosts

Dieser Bericht erstellt eine kommagetrennte Datei, die alle gefundenen Systeme enthält.

CSV Results

Dieser Bericht erstellt eine kommagetrennte Datei, die alle gefundenen Ergebnisse enthält.

GSR HTML – Greenbone Security Report (empfohlen)

Dies ist der vollständige Greenbone-Security-Bericht mit allen Schwachstellen und Ergebnissen. Er kann mit jedem Webbrowser geöffnet werden und enthält von der Web-Oberfläche bekannte, dynamisch sortierbare Listen. Die Sprache des Berichts ist Englisch.

GSR PDF – Greenbone Security Report (empfohlen)

Dies ist der vollständige Greenbone-Security-Bericht mit allen Schwachstellen in grafischem Format als PDF-Datei. Der Topologiegraph ist nicht enthalten, falls mehr als 100 Hosts mit dem Bericht abgedeckt sind. Die Sprache des Berichts ist Englisch.

GXR PDF – Greenbone Executive Report (empfohlen)

Dies ist der gekürzte Greenbone-Security-Bericht für das Management mit allen Schwachstellen in grafischem Format als PDF-Datei. Der Topologiegraph ist nicht enthalten, falls mehr als 100 Hosts mit dem Bericht abgedeckt sind. Die Sprache des Berichts ist Englisch.

ITG – IT-Grundschutz-Katalog

Dieser Bericht wird vom IT-Grundschutz-Katalog des BSI geleitet. Er stellt eine Übersicht über die gefundenen Ergebnisse in tabellarischer Ansicht im CSV-Format bereit. Die Sprache des Berichts ist Deutsch.

LaTeX

Dieser Bericht wird als LaTeX-Quelltext bereitgestellt. Die Sprache des Berichts ist Englisch.

NBE

Dies ist das alte OpenVAS-/Nessus-Berichtformat. Es bietet keine Unterstützung für Notizen, Übersteuerungen und einige weitere Informationen.

PDF

Dies ist ein vollständiger Bericht als PDF. Wie das HTML-Format ist es neutral. Die Sprache des Berichts ist Englisch.

Topology SVG

Dies stellt die Ergebnisse in einem SVG-Bild dar.

TXT

Dies erstellt eine Textdatei. Dieses Format ist insbesondere beim Senden von E-Mail nützlich. Die Sprache des Berichts ist Englisch.

Verinice ISM

Erstellt eine Importdatei für das ISMS-Tool verinice.

Verinice ITG

Erstellt eine Importdatei für das ISMS-Tool verinice.

XML

Der Bericht wird im ursprünglichen XML-Format exportiert. Im Gegensatz zu anderen Formaten enthält dieses Format alle Ergebnisse und formatiert diese nicht.

11.1.2. Berichtformate verwalten

Listenseite

Alle vorhandenen Berichtformate können angezeigt werden, indem Konfiguration > Berichtformate in der Menüleiste gewählt wird.

Abb. 11.1 Seite Berichtformate mit allen verfügbaren Berichtformaten

Für alle Berichtformate werden die folgenden Informationen angezeigt:

Name

Name des Berichtformats. Ein globales Berichtformat ist mit gekennzeichnet.

Dateiendung

Der Dateiname des heruntergeladenen Berichts besteht aus der UUID (einzigartige, interne ID des Berichts) und diese Erweiterung. Unter anderem unterstützt die Erweiterung den Browser beim Starten einer kompatiblen Anwendungen, falls ein bestimmter Inhaltstyp nicht erkannt wird.

Inhaltstyp

Der Inhaltstyp bestimmt das genutzte Format und wird beim Herunterladen übertragen. Dadurch kann eine kompatible Anwendung vom Browser gestartet werden.

Zusätzlich ist der Inhaltstyp intern wichtig: Er wird genutzt, um in seinem Kontext ein geeignetes Plug-in anzubieten. Beispielsweise werden beim Senden eines Berichts per E-Mail alle Plug-ins des Typs text/\* angeboten, da sie auf lesbare Weise in eine E-Mail eingebettet werden können.

Vertrauen (Zuletzt Verifiziert)

Einige Plug-ins bestehen aus einer Datentransformation, während andere komplexere Operationen ausführen und auch Hilfsprogramme nutzen. Um einen Missbrauch zu vermeiden, muss jedes Berichtformat-Plug-in von Greenbone Networks digital signiert werden. Die digitalen Signaturen werden über den Greenbone Security Feed verteilt. Falls die Signatur echt ist und dem Herausgeber vertraut wird, ist sichergestellt, dass das Berichtformat in exakt dem vom Herausgeber beglaubigten Format vorliegt. Die Vertrauensprüfung läuft automatisch ab und das Ergebnis wird in der Spalte Vertrauen (Zuletzt Verifiziert) angezeigt.

Aktiv

Die Berichtformate sind in den entsprechenden Auswahlmenüs nur verfügbar, wenn sie aktiviert wurden. Neu importierte Berichtformate sind am Anfang immer deaktiviert. Ein Berichtformat kann nur aktiviert werden, wenn ihm vertraut wird.

Für alle Berichtformate sind die folgenden Aktionen verfügbar:

• Das Berichtformat löschen. Nur selbst erstellte Berichtformate können gelöscht werden.
• Das Berichtformat bearbeiten. Nur selbst erstellte Berichtformate können bearbeitet werden.
• Das Berichtformat als XML-Datei exportieren.

Bemerkung

Durch Klicken auf oder unterhalb der Liste von Berichtformaten können mehrere Berichtformate zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Berichtformate gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Berichtformats werden Details des Berichtformats angezeigt. Durch Klicken auf wird die Detailseite des Berichtformats geöffnet.

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.
• Die Listenseite mit allen Berichtformaten anzeigen.
• Ein neues Berichtformat hinzufügen (siehe Kapitel 11.1.3).
• Das Berichtformat bearbeiten. Nur selbst erstellte Berichtformate können bearbeitet werden.
• Das Berichtformat löschen. Nur selbst erstellte Berichtformate können gelöscht werden.
• Das Berichtformat als XML-Datei exportieren.

11.1.3. Ein Berichtformat hinzufügen

Bemerkung

Um einen Missbrauch zu vermeiden, muss jedes zusätzlich importierte Berichtformat von Greenbone Networks überprüft und digital signiert werden. Berichtformate, die nicht von Greenbone Networks signiert sind, werden in GOS nicht unterstützt und können nicht genutzt werden.

Für mehr Informationen siehe Kapitel 11.1.2 – Vertrauen (Zuletzt Verifiziert).

Bemerkung

Greenbone Networks bietet die folgenden zusätzlichen Berichtformat-Plug-ins an:

• Sourcefire Host Input Import
• OVAL System Characteristics
• OVAL System Characteristics Archive
• Axis Scanner XML

Ein neues Berichtformat kann wie folgt importiert werden:

1. Berichtformat-Plug-in von einem der oben genannten Links herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Berichtformate in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und das zuvor heruntergeladene Berichtformat-Plug-in wählen (siehe Abb. 11.2).

5. Auf Speichern klicken.

   → Das importierte Berichtformat wird auf der Seite Berichtformate angezeigt.

   

   Abb. 11.2 Importieren eines Berichtformat-Plug-ins

6. In der Zeile des Berichtformats auf klicken.

7. Für Aktiv den Radiobutton Ja wählen (siehe Abb. 11.3).

8. Auf Speichern klicken.

   

   Abb. 11.3 Aktivieren eines neuen Berichtformats

11.2. Berichte nutzen und verwalten

Alle vorhandenen Berichte aller Scans können angezeigt werden, indem Scans > Berichte in der Menüleiste gewählt wird.

Die gesamte Anzahl an Berichten für eine bestimmte Aufgabe wird auf der Seite Aufgaben in der Spalte Berichte angezeigt.

Der Bericht einer bestimmten Aufgabe kann wie folgt angezeigt werden:

1. Scans > Aufgaben in der Menüleiste wählen.

2. Zum Anzeigen aller Berichte bei gewünschter Aufgabe auf die Gesamtanzahl an Berichten in der Spalte Berichte klicken.

   → Die Seite Berichte wird geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.

Tipp

Durch Klicken auf das Datum in der Spalte Letzter Bericht wird die Detailseite des letzten Bericht geöffnet (siehe Kapitel 11.2.1).

Abb. 11.4 Gesamtanzahl an Berichten und Datum des letzten Berichts

Für alle Berichte werden die folgenden Informationen angezeigt:

Datum

Datum und Zeit der Berichterstellung.

Status

Status der zugehörigen Aufgabe.

Aufgabe

Zugehörige Aufgabe.

Schweregrad

Höchster Schweregrad, der durch den Scan gefunden wurde.

Hoch/Mittel/Niedrig/Log/Falsch-Positiv

Anzahl der gefundenen Schwachstelle für jeden Schweregrad.

Für alle Berichte sind die folgenden Aktionen verfügbar:

• Einen Delta-Vergleich erstellen (siehe Kapitel 11.2.5).
• Den Bericht löschen.

Bemerkung

Durch Klicken auf unterhalb der Liste von Berichten können mehrere Berichte zur gleichen Zeit gelöscht werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Berichte gelöscht werden.

11.2.1. Einen Bericht lesen

Durch Klicken auf das Datum eines Berichts werden Details des Berichts angezeigt.

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über den entsprechenden Scan.

Ergebnisse

Liste aller Ergebnisse in diesem Bericht (siehe Kapitel 11.2.1.1).

Hosts

Gescannte Hosts mit Hostnamen und IP-Adressen. Die gefundenen Betriebssysteme, die Anzahl gefundener Schwachstellen für jeden Schweregrad und der höchste durch den Scan gefundene Schweregrad werden angezeigt.

Ports

Gescannte Ports mit Portnamen, Anzahl der Hosts und höchstem durch den Scan gefundenen Schweregrad.

Anwendungen

Gescannte Anwendung mit CPE der Anwendung, Anzahl der Hosts, Anzahl der Ergebnisse, die diese CPE festgestellt haben und höchstem durch den Scan gefundenen Schweregrad.

Betriebssysteme

Gescannte Betriebssysteme mit Systemnamen, Hostnamen, Anzahl gescannter Hosts und höchstem durch den Scan gefundenen Schweregrad.

CVEs

Durch den Scan gefundene CVEs.

Geschlossene CVEs

CVEs von ursprünglich erkannten Schwachstellen, die während des Scans bereits als gelöst bestätigt wurden.

TLS-Zerifikate

Durch den Scan gefundene TLS-Zertifikate.

Fehlermeldungen

Fehlermeldungen, die während des Scans auftraten.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.5).

Der Inhalt des Bericht kann nach einer gewählten Spalte sortiert werden, indem auf den Spaltentitel geklickt wird. Der Inhalt kann auf- oder absteigend sortiert werden:

• im Spaltentitel zeigt, dass die Objekte aufsteigend sortiert sind.
• im Spaltentitel zeigt, dass die Objekte absteigend sortiert sind.

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.
• Die Listenseite mit allen Berichtformaten anzeigen.
• Die Inhalte des Berichts, die mindestens eine QdE von 70 % und aktivierte Übersteuerungen haben, zu den Assets hinzufügen.
• Die Inhalte des Berichts aus den Assets entfernen.
• Die zugehörige Aufgabe anzeigen.
• Die Seite Ergebnisse öffnen. Ein Filter ist angewendet, sodass nur die Ergebnisse für diesen Bericht angezeigt werden.
• Die Seite Schwachstellen öffnen. Ein Filter ist angewendet, sodass nur die Schwachstellen für diesen Bericht angezeigt werden.
• Die Seite Leistungsdaten öffnen. Das Datum, die Start- und die Endzeit der entsprechenden Aufgabe sind voreingestellt.
• Einen gefilterten Bericht herunterladen (siehe Kapitel 11.2.2).
• Eine Benachrichtigung zum Senden eines Berichts auslösen (siehe Kapitel 11.2.4).

11.2.1.1. Ergebnisse eines Berichts

Der Register Ergebnisse enthält eine Liste aller Schwachstellen, die durch den GSM gefunden wurden (siehe Abb. 11.5).

Abb. 11.5 Register Ergebnisse mit einer Liste der gefundenen Schwachstellen

Bemerkung

Standardmäßig werden Übersteuerungen nicht angewendet. Sie können durch Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).

Für jedes Ergebnis werden die folgenden Informationen angezeigt:

Schwachstelle

Name der gefundenen Schwachstelle. Durch Klicken auf den Namen der Schwachstelle werden Details der Schwachstelle angezeigt (siehe Abb. 11.6). Durch Klicken auf wird die Detailseite der Schwachstelle geöffnet.

Schwachstellen mit einer angehängten Notiz sind mit gekennzeichnet. Schwachstellen mit einem angehängten Ticket sind mit gekennzeichnet.

Bemerkung

Falls die Spalte der Schwachstelle leer ist, wurde der entsprechende NVT noch nicht aktualisiert.

Abb. 11.6 Detaillierte Informationen über die Schwachstelle

Lösungstyp

Lösung für die gefundene Schwachstelle. Die folgenden Lösungen sind möglich:

• Eine Herstellerlösung ist verfügbar.
• Eine Problemumgehung ist verfügbar.
• Eine Schadensminderung ist verfügbar.
• Es ist kein Fix verfügbar oder wird verfügbar sein.
• Es ist keine Lösung vorhanden.

Schweregrad

Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 13.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.

QdE

QdE ist kurz für Qualität der Entdeckung und zeigt, wie verlässlich die Entdeckung einer Schwachstelle ist. Die QdE wurde mit GOS 3.1 eingeführt. Ergebnisse, die mit früheren Versionen erstellt wurden, wurde während der Umstellung eine QdE von 75 % zugewiesen.

Standardmäßig werden nur Ergebnisse angezeigt, die durch NVTs mit einer QdE von 70 % oder höher erkannt wurden. Die Möglichkeit von Falschmeldungen ist dadurch geringer. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).

Host

Host, für den das Ergebnis gefunden wurde. Die IP-Adresse und der Name des Hosts werden getrennt voneinander angezeigt.

Ort

Zum Entdecken der Schwachstelle auf dem Host genutzte Portnummer und genutzter Protokolltyp.

Erstellt

Datum und Zeit der Berichterstellung.

11.2.1.2. Einen Bericht interpretieren

Um die Ergebnisse zu interpretieren, müssen die folgenden Informationen beachtet werden:

• Falsch-Positiv

  Ein Falsch-Positiv-Ergebnis (Falschmeldung) beschreibt ein Ergebnis, das nicht wirklich vorhanden ist. Oft finden Schwachstellenscanner Hinweise, die auf eine Schwachstelle hindeuten, allerdings kann keine endgültige Entscheidung getroffen werden. Es gibt zwei Möglichkeiten:

  • Melden einer potentiell nicht vorhandenen Schwachstelle (falsch-positiv).
  • Ignorieren einer potentiell vorhandenen Schwachstelle (falsch-negativ).

  Da ein Benutzer in der Lage ist, Falsch-Positiv-Meldungen zu erkennen, zu verwalten und somit mit ihnen umzugehen, was für Falsch-Negativ-Meldungen nicht der Fall ist, meldet der Schwachstellenscanner des GSMs alle potentiell vorhandenen Schwachstellen. Falls der Benutzer weiß, dass Falsch-Positiv-Meldungen existieren, kann eine Übersteuerung konfiguriert werden (siehe Kapitel 11.8). Die AutoFP-Funktion kann ebenfalls genutzt werden (siehe Kapitel 11.8.4).

• Mehrere Ergebnisse können dieselbe Ursache haben.

  Falls ein besonders altes Softwarepaket installiert ist, existieren oft mehrere Schwachstellen. Jede dieser Schwachstellen wird von einem anderen NVT geprüft und löst eine Benachrichtigung aus. Die Installation eines aktuellen Pakets entfernt viele Schwachstellen auf einmal.

• Hoch und Mittel

  Ergebnisse der Schweregrade Hoch und Mittel sind am wichtigsten und sollten priorisiert behandelt werden. Bevor Ergebnisse mittleren Schweregrads behandelt werden, sollten Ergebnisse hohen Schweregrads thematisiert werden. Nur in außergewöhnlichen Fällen sollte von diesem Ansatz abgewichen werden, z. B. falls bekannt ist, dass die Ergebnisse mit hohem Schweregrad weniger beachtet werden müssen, da der Dienst durch die Firewall nicht erreichbar ist.

• Niedrig und Log

  Ergebnisse mit dem Schweregrad Niedrig und Log sind hauptsächlich für das Detailverständnis hilfreich. Diese Ergebnisse werden standardmäßig ausgefiltert, können jedoch interessante Informationen enthalten. Ihr Berücksichtigen erhöht die Sicherheit des Netzwerks und der Systeme. Oftmals ist für ihr Verständnis eine tiefergehende Kenntnis der Anwendung nötig. Typisch für ein Ergebnis mit dem Schweregrad Log ist, dass ein Dienst ein Banner mit seinem Namen und seiner Versionsnummer nutzt. Dies kann für Angreifer hilfreich sein, falls diese Versionsnummer eine bekannte Schwachstelle besitzt.

11.2.1.3. Einen Bericht filtern

Da ein Bericht oft viele Ergebnisse enthält, kann sowohl der gesamte als auch ein gefilterter Bericht angezeigt und heruntergeladen werden.

Der Bericht kann wie folgt gefiltert werden:

1. In der Filterleiste auf klicken.

2. Ein Stichwort, nach dem gesucht werden soll, in das Eingabefeld Filter eingeben (siehe Abb. 11.7).

3. Radiobutton Ja für Übersteuerungen anwenden wählen, um Übersteuerungen zu aktivieren (siehe Kapitel 11.8).

   Radiobutton Nein für Übersteuerungen anwenden wählen, um Übersteuerungen zu deaktivieren.

4. Checkbox Sicherheitsupdates des Anbieters vertrauen aktivieren, um automatische Falsch-Positiv-Meldungen anzuwenden.

   Radiobutton Vollständige CVE-Übereinstimmung für eine vollständige oder Teilweise CVE-Übereinstimmung für eine teilweise Übereinstimmung wählen (siehe Kapitel 11.8.4).

   Bemerkung

   Falls autofp=1 (Vollständige CVE-Übereinstimmung), müssen alle CVEs als „geschlossen“ gelistet sein, damit das Ergebnis als Falsch-Positiv gekennzeichnet wird.

   Falls autofp=2 (Teilweise CVE-Übereinstimmung), muss wenigstens eine der CVEs als „geschlossen“ gelistet sein, damit das Ergebnis als Falsch-Positiv gekennzeichnet wird.

5. Checkbox Nur Hosts mit Ergebnissen anzeigen aktivieren, falls nur Hosts mit Ergebnissen enthalten sein sollen.

6. Für QdE gewünschte QdE wählen.

7. Für Schweregrad (Klasse) Checkboxen der gewünschten Schweregrade aktivieren.

8. Für Lösungstyp Radiobuttons der gewünschten Lösungstypen wählen.

9. Aktualisieren klicken.

Abb. 11.7 Anpassen des Filters für den Bericht

11.2.2. Einen Bericht exportieren

Für unterstützte Exportformate siehe Kapitel 11.1.

Ein Bericht kann wie folgt exportiert werden:

1. Scans > Berichte in der Menüleiste wählen.

2. Details des Berichts durch Klicken auf das Datum eines Berichts anzeigen lassen.

3. Auf klicken.

   → Ein Fenster zum Zusammenstellen des Berichtinhalts wird geöffnet (siehe Abb. 11.8).

   Bemerkung

   Der angewendete Filter wird im Eingabefeld Filter angezeigt und kann nicht verändert werden. Zum Ändern des Filters sieht Kapitel 11.2.1.3.

   

   Abb. 11.8 Zusammenstellen des Inhalts eines Berichtexports

4. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen.

   Bemerkung

   Übersteuerungen werden nur berücksichtigt, wenn sie beim Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).

5. Berichtformat in der Drop-down-Liste Berichtformat wählen.

6. Einstellungen für zukünftige Exporte durch Aktivieren der Checkbox Als Standard speichern speichern.

7. Auf OK klicken.

8. Bericht durch Klicken auf Datei speichern speichern.

11.2.3. Einen Bericht importieren

Berichte können wie folgt in den GSM importiert werden:

1. Scans > Berichte in der Menüleiste wählen.

2. Auf klicken.

3. Auf Browse… klicken und die XML-Datei des Berichts wählen (siehe Abb. 11.9).

   

   Abb. 11.9 Importieren eines Berichts

4. Container-Aufgabe, zu der der Bericht hinzugefügt werden soll in der Drop-down-Liste Containeraufgabe wählen.

   Tipp

   Durch Klicken auf kann eine neue Container-Aufgabe erstellt werden (siehe Kapitel 10.5).

5. Bericht durch Wählen des Radiobuttons Ja zu den Assets hinzufügen.

6. Auf Importieren klicken.

11.2.4. Eine Benachrichtigung für einen Bericht auslösen

Oft beinhaltet eine Benachrichtigung das Senden eines Berichts. Der Bericht, der durch die Benachrichtigung gesendet wird, unterliegt dem Filter, der beim Erstellen der Benachrichtigung festgelegt wurde (siehe Kapitel 10.12). Das Auslösen einer Benachrichtigung für einen Bericht fügt einen zweiten Filter hinzu, der aus dem Zusammenstellen des Berichtinhalts hervorgeht (siehe Kapitel 11.2.2).

Die Benachrichtigung kann manuell wie folgt ausgelöst werden:

1. Scans > Berichte in der Menüleiste wählen.

2. Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.

3. Bericht mithilfe des Powerfilters (siehe Kapitel 11.2.1.3) oder durch Wählen eines Registers filtern, sodass nur die Ergebnisse, die gesendet werden sollen, angezeigt werden.

   Bemerkung

   Der Filter, der beim Erstellen der Benachrichtigung konfiguriert wurde (siehe Kapitel 10.12), wird automatisch hinzugefügt.

   Um das Verhalten dieses Filters zu imitieren, Filter des Berichts so anpassen, dass keine Ergebnisse herausgefiltert werden.

4. Auf klicken.

   → Ein Fenster zum Zusammenstellen des Berichtinhalts wird geöffnet (siehe Abb. 11.8).

   Bemerkung

   Der angewendete Filter zum Anzeigen der Ergebnisse wird im Eingabefeld Filter angezeigt und kann nicht verändert werden. Zum Ändern des Filters siehe 11.2.1.3.

5. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen.

   Bemerkung

   Übersteuerungen werden nur berücksichtigt, wenn sie beim Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).

6. Benachrichtigung in der Drop-down-Liste Benachrichtigung wählen.

   Tipp

   Eine neue Benachrichtigung kann durch Klicken auf erstellt werden. Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 10.12.

7. Einstellungen für zukünftiges Senden des Berichts durch Aktivieren der Checkbox Als Standard speichern speichern.

8. Auf OK klicken.

   

   Abb. 11.10 Manuelles Auslösen einer Benachrichtigung

11.2.5. Einen Delta-Bericht erstellen

Falls mehr als ein Bericht für eine einzelne Aufgabe verfügbar ist (siehe Kapitel 11.2), kann ein Delta-Bericht wie folgt erstellt werden:

1. Scans > Aufgaben in der Menüleiste wählen.

2. Auf die Gesamtanzahl der Berichte in der Spalte Berichte klicken.

   → Die Seite Berichte wird geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.

3. Ersten Bericht durch Klicken auf in der Spalte Aktionen wählen (siehe Abb. 11.11).

   → Das Icon wird für den gewählten Bericht ausgegraut.

   

   Abb. 11.11 Wählen des ersten Berichts

4. Zweiten Bericht durch Klicken auf in der Spalte Aktionen wählen (siehe Abb. 11.12).

   → Der Delta-Bericht mit den Delta-Ergebnissen wird angezeigt (siehe Abb. 11.13) und kann exportiert werden.

Abb. 11.12 Wählen des zweiten Berichts

Abb. 11.13 Delta-Bericht mit Delta-Ergebnissen

Der Typ eines Delta-Ergebnisses wird in der Spalte Delta dargestellt. Es gibt vier Typen von Delta-Ergebnissen:

• Entfallen [–]

  Das Ergebnis ist im ersten Bericht, aber nicht im zweite vorhanden (gemäß der Auswahlreihenfolge).

• Neu [+]

  Das Ergebnis ist im zweiten, aber nicht im ersten Bericht vorhanden (gemäß der Auswahlreihenfolge).

• Gleich [=]

  Das Ergebnis ist in beiden Berichten vorhanden und gleich.

• Verändert [~]

  Das Ergebnis ist in beiden Berichten vorhanden, unterscheidet sich jedoch.

Tipp

Der Ausdruck delta_states= kann in die Filterleiste eingegeben werden, um nur einen bestimmten Typen von Delta-Ergebnissen anzeigen zu lassen (siehe Kapitel 8.4).

• delta_states=g zeigt alle Ergebnisse des Typs Entfallen.
• delta_states=n zeigt alle Ergebnisse des Typs Neu.
• delta_states=s zeigt alle Ergebnisse des Typs Gleich.
• delta_states=c zeigt alle Ergebnisse des Typs Verändert.

Mehrere Typen können zeitgleich angezeigt werden, z. B. zeigt delta_states=gs alle Ergebnisse des Typs Entfallen und Gleich .

11.3. Alle vorhandenen Ergebnisse anzeigen

Listenseite

Während ein Bericht nur die Ergebnisse eines einzelnen Scans beinhaltet, werden alle Ergebnisse in der internen Datenbank gespeichert und können durch Wählen von Scans > Ergebnisse in der Menüleiste angezeigt werden.

Powerfilter können genutzt werden, um nur Ergebnisse von Interesse darzustellen (siehe Kapitel 8.4).

Abb. 11.14 Seite Ergebnisse mit allen Ergebnissen aller Scans

Für alle Ergebnisse werden die folgenden Informationen angezeigt:

Schwachstelle

Name der gefundenen Schwachstelle.

Schwachstellen mit einer angehängten Notiz sind mit gekennzeichnet. Schwachstellen mit einem angehängten Ticket sind mit gekennzeichnet.

Bemerkung

Falls die Spalte der Schwachstelle leer ist, wurde der entsprechende NVT noch nicht aktualisiert.

Bemerkung

Obwohl die Ergebnisse viele Informationen beinhalten, werden in den Details immer externe Referenzen aufgelistet.

Diese beziehen sich auf Websites, auf denen die Schwachstelle bereits diskutiert wurde.

Zusätzliche Hintergrundinformationen sind verfügbar, wie der Entdecker, die Auswirkungen und die Beseitigung der Schwachstelle.

Lösungstyp

Um die Beseitigung einer Schwachstelle zu erleichtern, bietet jedes Ergebnis eine Lösung für das Problem. Die Spalte Art der Lösung zeigt das Vorhandensein einer Lösung. Die folgenden Lösungen sind möglich:

• Eine Herstellerlösung ist verfügbar.
• Eine Problemumgehung ist verfügbar.
• Eine Schadensminderung ist verfügbar.
• Es ist kein Fix verfügbar oder wird verfügbar sein.
• Es ist keine Lösung vorhanden.

Schweregrad

Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 13.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.

QdE

QdE ist kurz für Qualität der Entdeckung und zeigt, wie verlässlich die Entdeckung einer Schwachstelle ist. Die QdE wurde mit GOS 3.1 eingeführt. Ergebnisse, die mit früheren Versionen erstellt wurden, wurde während der Umstellung eine QdE von 75 % zugewiesen.

Standardmäßig werden nur Ergebnisse angezeigt, die durch NVTs mit einer QdE von 70 % oder höher erkannt wurden. Die Möglichkeit von Falschmeldungen ist dadurch geringer. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).

Host

Host, für den das Ergebnis gefunden wurde. Die IP-Adresse und der Name des Hosts werden getrennt voneinander angezeigt.

Ort

Zum Entdecken des Ergebnisses auf dem Host genutzte Portnummer und genutzter Protokolltyp.

Erstellt

Datum und Zeit der Berichterstellung.

Bemerkung

Durch Klicken auf unterhalb der Liste von Ergebnissen können mehrere Ergebnisse zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ergebnisse exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Ergebnisses werden Details des Ergebnisses angezeigt. Durch Klicken auf wird die Detailseite des Ergebnisses geöffnet.

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über das Ergebnis.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.5).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.
• Die Listenseite mit allen Ergebnissen anzeigen.
• Die Ergebnisse als XML-Datei exportieren.
• Eine neue Notiz für das Ergebnis erstellen (siehe Kapitel 11.7.1).
• Eine neue Übersteuerung für das Ergebnis erstellen (siehe Kapitel 11.8.1).
• Ein neues Ticket für das Ergebnis erstellen (siehe Kapitel 11.6.1).
• Die zugehörige Aufgabe anzeigen.
• Den zugehörigen Bericht anzeigen.

11.4. Alle vorhandenen Schwachstellen anzeigen

Listenseite

Während ein Bericht nur die Schwachstellen eines einzelnen Scans beinhaltet, werden alle Schwachstellen in der internen Datenbank gespeichert und können durch Wählen von Scans > Schwachstellen in der Menüleiste angezeigt werden.

Powerfilter können genutzt werden, um nur Schwachstellen von Interesse darzustellen (siehe Kapitel 8.4).

Abb. 11.15 Seite Schwachstellen mit allen Schwachstellen aller Scans

Für alle Schwachstellen werden die folgenden Informationen angezeigt:

Name

Titel der Schwachstelle.

Ältestes Ergebnis

Datum und Zeit des ältesten Ergebnisses, das für die Schwachstelle gefunden wurde.

Neuestes Ergebnis

Datum und Zeit des neuesten Ergebnisses, das für die Schwachstelle gefunden wurde.

Schweregrad

Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 13.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.

QdE

QdE ist kurz für Qualität der Entdeckung und zeigt, wie verlässlich die Entdeckung einer Schwachstelle ist. Die QdE wurde mit GOS 3.1 eingeführt. Ergebnisse, die mit früheren Versionen erstellt wurden, wurde während der Umstellung eine QdE von 75 % zugewiesen.

Standardmäßig werden nur Schwachstellen angezeigt, die durch NVTs mit einer QdE von 70 % oder höher erkannt wurden. Die Möglichkeit von Falschmeldungen ist dadurch geringer. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).

Ergebnisse

Anzahl der Ergebnisse, die für diese Schwachstelle gefunden wurden. Durch Klicken auf die Anzahl wird die Seite Ergebnisse geöffnet. Ein Filter ist angewendet, um nur die Ergebnisse für die gewählte Schwachstelle anzuzeigen.

Bemerkung

Durch Klicken auf unterhalb der Liste von Ergebnissen können mehrere Ergebnisse zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ergebnisse exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Schwachstelle wird die Detailseite der Schwachstelle geöffnet.

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.
• Die Listenseite mit allen Schwachstellen anzeigen.
• Die Schwachstelle als XML-Datei exportieren.
• Eine neue Notiz für die Schwachstelle erstellen (siehe Kapitel 11.7.1).
• Eine neue Übersteuerung für die Schwachstelle erstellen (siehe Kapitel 11.8.1).
• Die dazugehörigen Ergebnisse anzeigen.
• Die zugehörige Schwachstelle anzeigen.

11.5. Trend einer Schwachstelle

Falls eine Aufgabe mehrere Male durchgeführt wurde, wird der Trend der gefundenen Schwachstellen auf der Seite Aufgaben angezeigt (siehe Abb. 11.16).

Um dorthin zu gelangen, Scans > Aufgaben in der Menüleiste wählen.

Der Trend beschreibt die Änderung der Schwachstellen zwischen dem neuesten und zweitneuesten Bericht. Er wird in der Spalte Trend angezeigt.

Abb. 11.16 Aufgabe mit Trend

Die folgenden Trends sind möglich:

• Im neuesten Bericht ist der höchste Schweregrad höher als der höchste Schweregrad im zweitneuesten Bericht.
• Der höchste Schweregrad ist für beide Berichte gleich. Trotzdem enthält der neueste Bericht mehr Sicherheitsprobleme dieses Schweregrads als der zweitneueste Bericht.
• Der höchste Schweregrad und die Anzahl an Sicherheitsproblemen ist für beide Berichte gleich.
• Der höchste Schweregrad ist für beide Berichte gleich. Trotzdem enthält der neueste Bericht weniger Sicherheitsprobleme dieses Schweregrads als der zweitneueste Bericht.
• Im neuesten Bericht ist der höchste Schweregrad kleiner als der höchste Schweregrad im zweitneuesten Bericht.

11.6. Tickets nutzen

Benutzer können andere Benutzer oder sich selbst mit der Beseitigung eines Scanergebnisses beauftragen.

11.6.1. Ein neues Ticket erstellen

Ein Ticket kann wie folgt erstellt werden:

1. Scans > Berichte in der Menüleiste wählen und Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.

2. Auf ein Objekt in der Spalte Schwachstelle und auf klicken, um die Detailseite des Ergebnisses zu öffnen.

   oder

1. Scans > Ergebnisse in der Menüleiste wählen.

2. Auf ein Objekt in der Spalte Schwachstelle und auf klicken, um die Detailseite des Ergebnisses zu öffnen.

3. Neues Ticket durch Klicken auf erstellen.

4. Benutzer, dem das Ticket zugewiesen werden soll, in der Drop-down-Liste Benutzer zuweisen wählen (siehe Abb. 11.17).

5. Notiz für das Ticket in das Eingabefeld Notiz eingeben.

   

   Abb. 11.17 Erstellen eines neuen Tickets

6. Auf Speichern klicken.

   → Die Anzahl an Tickets für ein Ergebnis werden in der linken oberen Ecke der Detailseite angezeigt (siehe Abb. 11.18). Durch Klicken auf werden die zugehörigen Tickets angezeigt.

   

   Abb. 11.18 Anzahl zugewiesener Tickets

11.6.2. Den Status eines Tickets ändern

Ein Ticket kann die folgenden Status haben:

• Offen: Die Schwachstelle wurde noch nicht beseitigt.
• Behoben: Die Schwachstelle wurde behoben.
• Behoben und verifiziert: Die Aufgabe wurde noch einmal durchgeführt und die Schwachstelle wurde nicht mehr gefunden. Dieser Status wird automatisch vergeben.
• Geschlossen: Die Behebung der Schwachstelle wurde verifiziert oder das Ticket wird nicht mehr benötigt.

Der Status eines Tickets kann wie folgt geändert werden:

1. Scans > Remediation Tickets in der Menüleiste wählen.

2. In der Zeile des Tickets auf klicken.

3. Neuen Status in der Drop-down-Liste Status wählen (siehe Abb. 11.19).

4. Benutzer, dem das Ticket mit dem neuen Status zugewiesen werden soll, in der Drop-down-Liste Zugewiesener Benutzer wählen.

5. Notiz für den neuen Status in das entsprechende Eingabefeld eingeben.

   

   Abb. 11.19 Ändern des Status eines Tickets

6. Auf Speichern klicken.

11.6.3. Eine Benachrichtigung für ein Ticket einrichten

Benachrichtigungen für Tickets können für die folgenden Ereignisse eingerichtet werden:

• Ein neues Ticket wurde erhalten.
• Der Status eines zugewiesenen Tickets hat sich verändert.
• Der Status eines eigenen Tickets hat sich verändert.

Eine Benachrichtigung für ein Ticket wird wie folgt eingerichtet:

1. Konfiguration > Benachrichtigungen in der Menüleiste wählen.

2. Neue Benachrichtigung durch Klicken auf erstellen.

3. Benachrichtigung definieren (siehe Abb. 11.20).

4. Auf Speichern klicken.

   

   Abb. 11.20 Einrichten einer Benachrichtigung für ein Ticket

Die folgenden Details der Benachrichtigung können festgelegt werden:

Name

Festlegen des Namens. Der Name kann frei gewählt werden.

Kommentar

Ein optionaler Kommentar kann zusätzliche Informationen enthalten.

Ereignis

Ticket erhalten wählen, falls eine Benachrichtigung gesendet werden soll, wenn einem selbst ein neues Ticket zugewiesen wird.

Zugewiesenes Ticket hat sich geändert wählen, falls eine Benachrichtigung gesendet werden soll, wenn sich der Status eines zugewiesenen Tickets ändert.

Eigenes Ticket hat sich geändert wählen, falls eine Benachrichtigung gesendet werden soll, wenn sich der Status eines Tickets ändert, das einem anderen Benutzer zugewiesen wurde.

Methode

Auswahl der Methode für die Benachrichtigung. Pro Benachrichtigung kann nur eine Methode gewählt werden.

Falls unterschiedliche Benachrichtigungen für das gleiche Ereignis ausgelöst werden sollen, müssen mehrere Benachrichtigungen erstellt und der gleichen Aufgabe zugewiesen werden.

Die folgenden Methoden sind möglich:

E-Mail

Eine E-Mail wird an die angegebene Adresse gesendet.

Die Übertragung der E-Mail kann mithilfe eines S/MIME-Zertifikats oder eines PGP-Verschlüsselungsschlüssel verschlüsselt sein. Die Verschlüsselung kann in der Drop-down-Liste E-Mail-Verschlüsselung gewählt oder durch Klicken auf erstellt werden.

Aufgabe starten

Die Benachrichtigung kann eine zusätzliche Aufgabe starten. Die Aufgabe wird in der Drop-down-Liste Aufgabe starten gewählt.

System-Logger

Eine Benachrichtigung wird an einen Syslog-Daemon gesendet.

Der Syslog-Server wird mithilfe der Konsole festgelegt (siehe Kapitel 7.2.11).

11.6.4. Tickets verwalten

Listenseite

Alle vorhandenen Tickets können angezeigt werden, indem Scans > Remediation Tickets in der Menüleiste gewählt wird.

Für alle Tickets werden die folgenden Informationen angezeigt:

Schwachstelle

Schwachstelle, für die das Ticket erstellt wurde.

Schweregrad

Schweregrad der Schwachstelle, für die das Ticket erstellt wurde.

Host

Host, für den die Schwachstelle gefunden wurde.

Lösungstyp

Art der Lösung für die Schwachstelle, für die das Ticket erstellt wurde.

Zugewiesener Benutzer

Benutzer, dem das Ticket zugewiesen wurde.

Änderungszeit

Datum und Zeit der letzten Veränderung des Tickets.

Status

Status des Tickets.

Für alle Tickets sind die folgenden Aktionen verfügbar:

• Das Ticket löschen.
• Das Ticket bearbeiten.
• Das Ticket klonen.

Bemerkung

Durch Klicken auf oder unterhalb der Liste von Tickets können mehrere Tickets zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Tickets gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Tickets werden Details des Tickets angezeigt. Durch Klicken auf wird die Detailseite des Tickets geöffnet.

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über das Ticket.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.5).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.
• Die Listenseite mit allen Tickets anzeigen.
• Das Ticket klonen.
• Das Ticket bearbeiten.
• Das Ticket löschen.
• Das Ticket als XML-Datei exportieren.

11.7. Notizen nutzen

Notizen ermöglichen das Hinzufügen von Kommentaren zu einem NVT und werden auch in den Berichten angezeigt. Eine Notiz kann einem Ergebnis, einer Aufgabe, einem Schweregrad, einem Port oder einem Host hinzugefügt werden und erscheint somit nur in bestimmten Berichten.

11.7.1. Eine Notiz erstellen

11.7.1.1. Eine Notiz über ein Scanergebnis erstellen

Notizen können auf unterschiedliche Arten erstellt werden. Der einfachste Weg ist das Erstellen über das entsprechende Scanergebnis in einem Bericht:

1. Scans > Berichte in der Menüleiste wählen.

2. Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.

3. Register Ergebnisse wählen.

4. Auf ein Ergebnis in der Spalte Schwachstelle klicken.

5. Detailseite des Ergebnisses durch Klicken auf öffnen.

6. Auf in der linken oberen Ecke der Seite klicken.

7. Notiz definieren.

   

   Abb. 11.21 Erstellen einer neuen Notiz

8. Auf Speichern klicken.

   → Die Notiz wird auf der Detailseite des Ergebnisses angezeigt (siehe Abb. 11.22).

Abb. 11.22 Bericht mit einer Notiz

11.7.1.2. Eine Notiz auf der Seite Notizen erstellen

Notizen können auch auf der Seite Notizen erstellt werden:

1. Scans > Notizen in der Menüleiste wählen.

2. Neue Notiz durch Klicken auf erstellen.

3. ID des NVTs in das Eingabefeld NVT-OID eingeben.

4. Notiz definieren.

   Tipp

   Es ist möglich, Bereiche von IP-Adressen oder CIDR-Blöcke in das Eingabefeld Hosts einzugeben. Auf diesem Weg können Notizen für gesamte Teilnetze erstellt werden, ohne dass jeder Host in einer kommagetrennten Liste aufgeführt werden muss.

   Notizen können durch Wählen des Radiobuttons Beliebig für Hosts, Orte, Schweregrade, Aufgaben oder Ergebnisse generalisiert werden.

5. Auf Speichern klicken.

11.7.2. Notizen verwalten

Listenseite

Alle vorhandenen Notizen können angezeigt werden, indem Scans > Notizen in der Menüleiste gewählt wird.

Abb. 11.23 Verwalten von Notizen

Für alle Notizen sind die folgenden Aktionen verfügbar:

• Die Notiz löschen.
• Die Notiz bearbeiten.
• Die Notiz klonen.
• Die Notiz als XML-Datei exportieren.

Bemerkung

Durch Klicken auf oder unterhalb der Liste von Notizen können mehrere Notizen zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Notizen gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Notiz werden Details der Notiz angezeigt. Durch Klicken auf wird die Detailseite der Notiz geöffnet.

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über die Notiz.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.5).

Berechtigungen

Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.
• Die Listenseite mit allen Notizen anzeigen.
• Eine neue Notiz erstellen (siehe Kapitel 11.7.1).
• Die Notiz klonen.
• Die Notiz bearbeiten.
• Die Notiz löschen.
• Die Notiz als XML-Datei exportieren.

11.8. Übersteuerungen und Falsch-Positiv-Meldungen nutzen

Der Schweregrad eines Ergebnisses kann verändert werden. Dies wird Übersteuerung genannt.

Übersteuerungen sind insbesondere nützlich, um Ergebnisse zu verwalten, die als falsch-positiv erkannt wurden oder denen ein kritischer Schweregrad zugeordnet wurde, wobei der Schweregrad zukünftig ein anderer sein soll.

Das gleiche gilt für Ergebnisse, denen der Schweregrad Log zugeordnet wurde, die lokal aber einen höheren Schweregrad haben sollen. Dies kann auch mithilfe von Übersteuerungen verwaltet werden.

Übersteuerungen werden auch zum Verwalten vertretbarer Risiken gentuzt.

11.8.1. Eine Übersteuerung erstellen

11.8.1.1. Eine Übersteuerung über ein Scanergebnis erstellen

Übersteuerungen können auf unterschiedliche Arten erstellt werden. Der einfachste Weg ist das Erstellen über das entsprechende Scanergebnis in einem Bericht:

1. Scans > Berichte in der Menüleiste wählen.

2. Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.

3. Register Ergebnisse wählen.

4. Auf ein Ergebnis in der Spalte Schwachstelle klicken.

5. Detailseite des Ergebnisses durch Klicken auf öffnen.

6. Auf in der linken oberen Ecke der Seite klicken.

7. Übersteuerung definieren. Neuen Schweregrad in der Drop-down-Liste Neuer Schweregrad wählen (siehe Abb. 11.24).

   

   Abb. 11.24 Erstellen einer neuen Übersteuerung

8. Auf Speichern klicken.

Die folgenden Informationen können eingegeben werden:

Bemerkung

Falls die Übersteuerung über ein Scanergebnis erstellt wird, sind einige Einstellungen bereits ausgefüllt.

NVT

NVT, für den die Übersteuerung angewendet wird.

Aktiv

Wahl, ob die Übersteuerung aktiviert werden soll. Eine Aktivierung für eine beliebige Anzahl an Tagen ist möglich.

Hosts

Host oder Bereich von Hosts, für den das Ergebnis gefunden werden muss, damit die Übersteuerung angewendet wird.

Tipp

Es ist möglich, Bereiche von IP-Adressen oder CIDR-Blöcke einzugeben. Auf diesem Weg können Notizen für gesamte Teilnetze erstellt werden, ohne dass jeder Host in einer kommagetrennten Liste aufgeführt werden muss.

Hostbereiche werden mit einem Minus angegeben, z. B. 198.168.1.1-198.168.1.25. Größere Bereiche als 4096 werden nicht unterstützt.

Bemerkung

Widersprüchliche Übersteuerungen, z. B. eine Übersteuerung für einen Hostbereich und eine andere Übersteuerung für einen Host in diesem Bereich, sind nicht zulässig.

Ort

Port, für den das Ergebnis gefunden werden muss, damit die Übersteuerung angewendet wird. Nur ein spezifischer Port oder die Einstellung Beliebig werden pro Übersteuerung unterstützt. Ein konkreter Port muss als Zahl gefolgt von /tcp oder /udp eingegeben werden.

Schweregrad

Bereicht des Schweregrads des NVTs, für den die Übersteuerung angewendet werden soll.

Neuer Schweregrad

Schweregrad, den der NVT nach Anwenden der Übersteuerung haben soll.

Aufgabe

Wahl der Aufgaben, für die die Übersteuerung angewendet werden soll.

Ergebnis

Wahl der Ergebnisse, für die die Übersteuerung angewendet werden soll.

Bemerkung

Falls die Übersteuerung auf zukünftige Berichte angewendet werden soll, muss der Radiobutton Beliebig gewählt werden.

Text

Ein Text beschreibt die Übersteuerung näher.

Bemerkung

Falls mehrere Übersteuerungen für denselben NVT im selben Bericht angewendet werden, wird die neueste Übersteuerung genutzt und angewendet.

11.8.1.2. Eine Übersteuerung auf der Seite Übersteuerungen erstellen

Übersteuerungen können auch auf der Seite Übersteuerungen erstellt werden:

1. Scans > Übersteuerungen in der Menüleiste wählen.

2. Neue Übersteuerung durch Klicken auf erstellen.

3. ID des NVTs in das Eingabefeld NVT-OID eingeben.

4. Übersteuerung definieren.

   Bemerkung

   Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 11.8.1.1.

5. Neuen Schweregrad in der Drop-down-Liste Neuer Schweregrad wählen.

6. Auf Speichern klicken.

11.8.2. Übersteuerungen verwalten

Listenseite

Alle vorhandenen Übersteuerungen können angezeigt werden, indem Scans > Übersteuerungen in der Menüleiste gewählt wird.

Für alle Übersteuerungen sind die folgenden Aktionen verfügbar:

• Die Übersteuerung löschen.
• Die Übersteuerung bearbeiten.
• Die Übersteuerung klonen.
• Die Übersteuerung als XML-Datei exportieren.

Detailseite

Durch Klicken auf den Namen einer Übersteuerung werden Details der Übersteuerung angezeigt. Durch Klicken auf wird die Detailseite der Übersteuerung geöffnet.

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über die Übersteuerung.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.5).

Berechtigungen

Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.
• Die Listenseite mit allen Übersteuerungen anzeigen.
• Eine neue Übersteuerung erstellen (siehe Kapitel 11.8.1).
• Die Übersteuerung klonen.
• Die Übersteuerung bearbeiten.
• Die Übersteuerung löschen.
• Die Übersteuerung als XML-Datei exportieren.

11.8.3. Übersteuerungen aktivieren und deaktivieren

Falls Übersteuerungen die Anzeige der Ergebnisse ändern, können die Übersteuerungen aktiviert oder deaktiviert werden.

Dies wird durch Anpassen des Filters wie folgt durchgeführt:

1. In der Filterleiste auf klicken.

2. Übersteuerungen durch Wählen des Radiobuttons Ja für Übersteuerungen anwenden aktivieren.

   Radiobutton Nein für Übersteuerungen anwenden wählen, um Übersteuerungen zu deaktivieren.

3. Aktualisieren klicken.

Tipp

Übersteuerungen können in exportierten Berichten gekennzeichnet werden (siehe Kapitel 11.2.2).

11.8.4. Automatische Falsch-Positiv-Meldungen

Der GSM ist in der Lage, automatisch Falsch-Positiv-Meldungen zu erkennen und eine Übersteuerung zuzuweisen. Trotzdem muss das System intern und extern mit einem authentifizierten Scan analysiert werden (siehe Kapitel 10.3).

Ein authentifizierter Scan kann Schwachstellen in lokal installierter Software identifizieren. Schwachstellen, die von lokalen Nutzern ausgenutzt werden können oder für einen Angreifer zugänglich sind, wenn dieser bereits lokalen Zurgiff als unprivilegierter Nutzer hat, können gefunden werden. In vielen Fällen geschieht ein Angriff in unterschiedlichen Phasen und ein Angreifer nutzt mehrere Schwachstellen, um seine Privilegien zu erhöhen.

Ein authentifizierter Scan bietet eine zweite, mächtigere Funktionalität, die die Ausführung des Scans rechtfertigt. Durch externes Scannen des Systems kann oft nicht erkannt werden, ob eine Schwachstelle wirklich existiert. Der Greenbone Security Manager meldet alle potentiellen Schwachstellen. Mit einem authentifizierten Scan können viele potentielle Schwachstellen besser bewertet und dadurch als falsch-positiv erkannt werden.

Automatische Falsch-Positiv-Meldungen werden beim Filtern eines Berichts aktiviert (siehe Kapitel 11.2.1.3).

Es gibt zwei mögliche Einstellung für automatische Falsch-Positiv-Meldungen.

• Vollständige CVE-Übereinstimmung (autofp=1)
• Teilweise CVE-Übereinstimmung (autofp=2)

Automatische Falsch-Positiv-Meldungen funktionieren wie folgt:

1. Manchmal erkennt ein Schwachstellentest (VT A) eine Schwachstelle, doch ein anderer Schwachstellentest (VT B) ist in der Lage, zu verifizieren, dass diese Schwachstelle bereits behoben wurde.

   → Alle CVEs, die in VT B aufgelistet sind, werden in den Hostdetails als Geschlossene CVE gekennzeichnet.

2. Für jedes Ergebnis, das nicht mit einem VT aus der Familie Local Security Checks erkannt wurde, werden die aufgelisteten CVEs betrachtet.

   Bemerkung

   VTs der Familien Local Security Checks werden als verbindlich angesehen, d. h. ein Ergebnis aus diesen Familien kann niemals falsch-positiv sein.

3. Für jede mit dem Ergebnis verknüpfte CVE wird geprüft, ob die CVE als Geschlossene CVE in den Hostdetails gelistet ist.

4. Falls autofp=1 (Vollständige CVE-Übereinstimmung), müssen alle CVEs als „geschlossen“ gelistet sein, damit das Ergebnis als Falsch-Positiv gekennzeichnet wird.

   Falls autofp=2 (Teilweise CVE-Übereinstimmung), muss wenigstens eine der CVEs als „geschlossen“ gelistet sein, damit das Ergebnis als Falsch-Positiv gekennzeichnet wird.

Bemerkung

Dadurch, dass das Bestimmen von Falsch-Positiv-Meldungen sehr komplex ist, kann das Aktivieren von automatischen Falsch-Positiv-Meldungen im Filter den Filterprozess, insbesondere bei großen Ergebnismengen, verlangsamen.