11. Berichte und Schwachstellenmanagement¶
Bemerkung
Dieses Kapitel dokumentiert alle möglichen Menüoptionen.
Allerdings unterstützen nicht alle GSM-Typen alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für den genutzten GSM-Typ verfügbar ist, können die Tabellen in Kapitel 3 überprüft werden.
Die Scanergebnisse werden in einem Bericht zusammengefasst. Berichte können auf der Web-Oberfläche angezeigt und in unterschiedlichen Formaten heruntergeladen werden.
Der GSM speichert alle Berichte aller Scans in der lokalen Datenbank. Nicht nur der letzte Bericht wird gespeichert, sondern alle Berichte aller jemals gelaufenen Scans. Dies ermöglicht den Zugriff auf vergangene Informationen. Die Berichte enthalten entdeckte Schwachstellen und Informationen über den Scan.
Nach dem Starten eines Scans kann der Bericht der bis dahin gefundenen Ergebnisse angesehen werden. Wenn der Scan abgeschlossen ist, ändert sich der Status zu Abgeschlossen und keine weiteren Ergebnisse werden hinzugefügt.
11.1. Berichtformate konfigurieren und verwalten¶
Berichtformate sind die Formate, aus denen ein Bericht basierend auf den Scanergebnissen erstellt wird. Viele Berichtformate reduzieren die verfügbaren Daten, um sie auf sinnvolle Weise darzustellen.
Die Berichtformate können genutzt werden, um Berichtinformationen in andere Dokumentformate zu exportieren, sodass sie von Dritt-Anwendungen (Konnektoren) verarbeitet werden können.
Der Name des exportierten Berichts kann in den Benutzereinstellungen konfiguriert werden (siehe Kapitel 8.7).
Das vom GSM verwendete XML-Format enthält alle Daten und kann genutzt werden, um exportierte Berichte in andere GSMs zu importieren. Dazu muss eine Container-Aufgabe erstellt werden (siehe Kapitel 10.5).
Greenbone Networks unterstützt das Erstellen zusätzlicher Berichtformate mithilfe von Berichtformat-Plug-ins. Anfragen, Vorschläge und konkrete Vorlagen sind willkommen.
Das Berichtformat-Plug-in-Framework hat die folgenden Eigenschaften:
- Einfacher Import/Export
- Ein Berichtformat-Plug-in ist immer eine einzelne XML-Datei. Der Import kann einfach durchgeführt werden.
- Parametrisiert
- Plug-ins können Parameter enthalten, mit denen das Plug-in über die Web-Oberfläche an besondere Anforderungen angepasst werden kann.
- Inhaltstyp
- Für jedes Plug-in wird bestimmt, welchen Typ das Ergebnis hat. Abhängig vom Inhaltstyp werden die Plug-ins in kontextbezogener Beziehung dargestellt. Zum Beispiel die Typen text/* für das Inline-Senden von E-Mails
- Signaturunterstützung
- Der Greenbone Security Feed enthält Signaturen für vertrauenswürdige Plug-ins. Dadurch kann verifiziert werden, dass ein importiertes Plug-in von Greenbone Networks verifiziert wurde.
11.1.1. Standard-Berichtformate¶
Die folgenden Berichtformate sind standardmäßig verfügbar:
- Anonymous XML
- Dies ist die anonyme Version des XML-Formats. IP-Adressen werden durch zufällige IP-Adressen ersetzt.
- ARF: Asset Reporting Format v1.0.0
- Dieses Format erzeugt einen Bericht, der dem NIST Asset Reporting Format entspricht.
- CPE – Common Platform Enumeration CSV-Tabelle
- Dieser Bericht wählt alle CPE-Tabellen und erstellt eine einzelne kommagetrennte Datei.
- CSV Hosts
- Dieser Bericht erstellt eine kommagetrennte Datei, die alle gefundenen Systeme enthält.
- CSV Results
- Dieser Bericht erstellt eine kommagetrennte Datei, die alle gefundenen Ergebnisse enthält.
- GSR HTML – Greenbone Security Report (empfohlen)
- Dies ist der vollständige Greenbone-Security-Bericht mit allen Schwachstellen und Ergebnissen. Er kann mit jedem Webbrowser geöffnet werden und enthält von der Web-Oberfläche bekannte, dynamisch sortierbare Listen. Die Sprache des Berichts ist Englisch.
- GSR PDF – Greenbone Security Report (empfohlen)
- Dies ist der vollständige Greenbone-Security-Bericht mit allen Schwachstellen in grafischem Format als PDF-Datei. Der Topologiegraph ist nicht enthalten, falls mehr als 100 Hosts mit dem Bericht abgedeckt sind. Die Sprache des Berichts ist Englisch.
- GXR PDF – Greenbone Executive Report (empfohlen)
- Dies ist der gekürzte Greenbone-Security-Bericht für das Management mit allen Schwachstellen in grafischem Format als PDF-Datei. Der Topologiegraph ist nicht enthalten, falls mehr als 100 Hosts mit dem Bericht abgedeckt sind. Die Sprache des Berichts ist Englisch.
- ITG – IT-Grundschutz-Katalog
- Dieser Bericht wird vom IT-Grundschutz-Katalog des BSI geleitet. Er stellt eine Übersicht über die gefundenen Ergebnisse in tabellarischer Ansicht im CSV-Format bereit. Die Sprache des Berichts ist Deutsch.
- LaTeX
- Dieser Bericht wird als LaTeX-Quelltext bereitgestellt. Die Sprache des Berichts ist Englisch.
- NBE
- Dies ist das alte OpenVAS-/Nessus-Berichtformat. Es bietet keine Unterstützung für Notizen, Übersteuerungen und einige weitere Informationen.
- Dies ist ein vollständiger Bericht als PDF. Wie das HTML-Format ist es neutral. Die Sprache des Berichts ist Englisch.
- Topology SVG
- Dies stellt die Ergebnisse in einem SVG-Bild dar.
- TXT
- Dies erstellt eine Textdatei. Dieses Format ist insbesondere beim Senden von E-Mail nützlich. Die Sprache des Berichts ist Englisch.
- Verinice ISM
- Erstellt eine Importdatei für das ISMS-Tool verinice.
- Verinice ITG
- Erstellt eine Importdatei für das ISMS-Tool verinice.
- XML
- Der Bericht wird im ursprünglichen XML-Format exportiert. Im Gegensatz zu anderen Formaten enthält dieses Format alle Ergebnisse und formatiert diese nicht.
11.1.2. Berichtformate verwalten¶
Listenseite
Alle vorhandenen Berichtformate können angezeigt werden, indem Konfiguration > Berichtformate in der Menüleiste gewählt wird.
Für alle Berichtformate werden die folgenden Informationen angezeigt:
- Name
- Name des Berichtformats. Ein globales Berichtformat ist mit gekennzeichnet.
- Dateiendung
- Der Dateiname des heruntergeladenen Berichts besteht aus der UUID (einzigartige, interne ID des Berichts) und diese Erweiterung. Unter anderem unterstützt die Erweiterung den Browser beim Starten einer kompatiblen Anwendungen, falls ein bestimmter Inhaltstyp nicht erkannt wird.
- Inhaltstyp
Der Inhaltstyp bestimmt das genutzte Format und wird beim Herunterladen übertragen. Dadurch kann eine kompatible Anwendung vom Browser gestartet werden.
Zusätzlich ist der Inhaltstyp intern wichtig: Er wird genutzt, um in seinem Kontext ein geeignetes Plug-in anzubieten. Beispielsweise werden beim Senden eines Berichts per E-Mail alle Plug-ins des Typs
text/\*
angeboten, da sie auf lesbare Weise in eine E-Mail eingebettet werden können.- Vertrauen (Zuletzt Verifiziert)
- Einige Plug-ins bestehen aus einer Datentransformation, während andere komplexere Operationen ausführen und auch Hilfsprogramme nutzen. Um einen Missbrauch zu vermeiden, muss jedes Berichtformat-Plug-in von Greenbone Networks digital signiert werden. Die digitalen Signaturen werden über den Greenbone Security Feed verteilt. Falls die Signatur echt ist und dem Herausgeber vertraut wird, ist sichergestellt, dass das Berichtformat in exakt dem vom Herausgeber beglaubigten Format vorliegt. Die Vertrauensprüfung läuft automatisch ab und das Ergebnis wird in der Spalte Vertrauen (Zuletzt Verifiziert) angezeigt.
- Aktiv
- Die Berichtformate sind in den entsprechenden Auswahlmenüs nur verfügbar, wenn sie aktiviert wurden. Neu importierte Berichtformate sind am Anfang immer deaktiviert. Ein Berichtformat kann nur aktiviert werden, wenn ihm vertraut wird.
Für alle Berichtformate sind die folgenden Aktionen verfügbar:
- Das Berichtformat löschen. Nur selbst erstellte Berichtformate können gelöscht werden.
- Das Berichtformat bearbeiten. Nur selbst erstellte Berichtformate können bearbeitet werden.
- Das Berichtformat als XML-Datei exportieren.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Berichtformaten können mehrere Berichtformate zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Berichtformate gelöscht oder exportiert werden.
Detailseite
Durch Klicken auf den Namen eines Berichtformats werden Details des Berichtformats angezeigt. Durch Klicken auf wird die Detailseite des Berichtformats geöffnet.
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
- Das entsprechende Kapitel im Anwenderhandbuch öffnen.
- Die Listenseite mit allen Berichtformaten anzeigen.
- Ein neues Berichtformat hinzufügen (siehe Kapitel 11.1.3).
- Das Berichtformat bearbeiten. Nur selbst erstellte Berichtformate können bearbeitet werden.
- Das Berichtformat löschen. Nur selbst erstellte Berichtformate können gelöscht werden.
- Das Berichtformat als XML-Datei exportieren.
11.1.3. Ein Berichtformat hinzufügen¶
Bemerkung
Um einen Missbrauch zu vermeiden, muss jedes zusätzlich importierte Berichtformat von Greenbone Networks überprüft und digital signiert werden. Berichtformate, die nicht von Greenbone Networks signiert sind, werden in GOS nicht unterstützt und können nicht genutzt werden.
Für mehr Informationen siehe Kapitel 11.1.2 – Vertrauen (Zuletzt Verifiziert).
Bemerkung
Greenbone Networks bietet die folgenden zusätzlichen Berichtformat-Plug-ins an:
Ein neues Berichtformat kann wie folgt importiert werden:
Berichtformat-Plug-in von einem der oben genannten Links herunterladen.
Wichtig
Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.
Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.
Konfiguration > Berichtformate in der Menüleiste wählen.
Auf Browse… klicken und das zuvor heruntergeladene Berichtformat-Plug-in wählen (siehe Abb. 11.2).
Auf Speichern klicken.
→ Das importierte Berichtformat wird auf der Seite Berichtformate angezeigt.
Für Aktiv den Radiobutton Ja wählen (siehe Abb. 11.3).
Auf Speichern klicken.
11.2. Berichte nutzen und verwalten¶
Alle vorhandenen Berichte aller Scans können angezeigt werden, indem Scans > Berichte in der Menüleiste gewählt wird.
Die gesamte Anzahl an Berichten für eine bestimmte Aufgabe wird auf der Seite Aufgaben in der Spalte Berichte angezeigt.
Der Bericht einer bestimmten Aufgabe kann wie folgt angezeigt werden:
Scans > Aufgaben in der Menüleiste wählen.
Zum Anzeigen aller Berichte bei gewünschter Aufgabe auf die Gesamtanzahl an Berichten in der Spalte Berichte klicken.
→ Die Seite Berichte wird geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.
Tipp
Durch Klicken auf das Datum in der Spalte Letzter Bericht wird die Detailseite des letzten Bericht geöffnet (siehe Kapitel 11.2.1).
Für alle Berichte werden die folgenden Informationen angezeigt:
- Datum
- Datum und Zeit der Berichterstellung.
- Status
- Status der zugehörigen Aufgabe.
- Aufgabe
- Zugehörige Aufgabe.
- Schweregrad
- Höchster Schweregrad, der durch den Scan gefunden wurde.
- Hoch/Mittel/Niedrig/Log/Falsch-Positiv
- Anzahl der gefundenen Schwachstelle für jeden Schweregrad.
Für alle Berichte sind die folgenden Aktionen verfügbar:
- Einen Delta-Vergleich erstellen (siehe Kapitel 11.2.5).
- Den Bericht löschen.
Bemerkung
Durch Klicken auf unterhalb der Liste von Berichten können mehrere Berichte zur gleichen Zeit gelöscht werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Berichte gelöscht werden.
11.2.1. Einen Bericht lesen¶
Durch Klicken auf das Datum eines Berichts werden Details des Berichts angezeigt.
Die folgenden Register sind verfügbar:
- Informationen
- Allgemeine Informationen über den entsprechenden Scan.
- Ergebnisse
- Liste aller Ergebnisse in diesem Bericht (siehe Kapitel 11.2.1.1).
- Hosts
- Gescannte Hosts mit Hostnamen und IP-Adressen. Die gefundenen Betriebssysteme, die Anzahl gefundener Schwachstellen für jeden Schweregrad und der höchste durch den Scan gefundene Schweregrad werden angezeigt.
- Ports
- Gescannte Ports mit Portnamen, Anzahl der Hosts und höchstem durch den Scan gefundenen Schweregrad.
- Anwendungen
- Gescannte Anwendung mit CPE der Anwendung, Anzahl der Hosts, Anzahl der Ergebnisse, die diese CPE festgestellt haben und höchstem durch den Scan gefundenen Schweregrad.
- Betriebssysteme
- Gescannte Betriebssysteme mit Systemnamen, Hostnamen, Anzahl gescannter Hosts und höchstem durch den Scan gefundenen Schweregrad.
- CVEs
- Durch den Scan gefundene CVEs.
- Geschlossene CVEs
- CVEs von ursprünglich erkannten Schwachstellen, die während des Scans bereits als gelöst bestätigt wurden.
- TLS-Zerifikate
- Durch den Scan gefundene TLS-Zertifikate.
- Fehlermeldungen
- Fehlermeldungen, die während des Scans auftraten.
- Benutzer-Tags
- Zugewiesene Tags (siehe Kapitel 8.5).
Der Inhalt des Bericht kann nach einer gewählten Spalte sortiert werden, indem auf den Spaltentitel geklickt wird. Der Inhalt kann auf- oder absteigend sortiert werden:
- im Spaltentitel zeigt, dass die Objekte aufsteigend sortiert sind.
- im Spaltentitel zeigt, dass die Objekte absteigend sortiert sind.
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
- Das entsprechende Kapitel im Anwenderhandbuch öffnen.
- Die Listenseite mit allen Berichtformaten anzeigen.
- Die Inhalte des Berichts, die mindestens eine QdE von 70 % und aktivierte Übersteuerungen haben, zu den Assets hinzufügen.
- Die Inhalte des Berichts aus den Assets entfernen.
- Die zugehörige Aufgabe anzeigen.
- Die Seite Ergebnisse öffnen. Ein Filter ist angewendet, sodass nur die Ergebnisse für diesen Bericht angezeigt werden.
- Die Seite Schwachstellen öffnen. Ein Filter ist angewendet, sodass nur die Schwachstellen für diesen Bericht angezeigt werden.
- Die Seite Leistungsdaten öffnen. Das Datum, die Start- und die Endzeit der entsprechenden Aufgabe sind voreingestellt.
- Einen gefilterten Bericht herunterladen (siehe Kapitel 11.2.2).
- Eine Benachrichtigung zum Senden eines Berichts auslösen (siehe Kapitel 11.2.4).
11.2.1.1. Ergebnisse eines Berichts¶
Der Register Ergebnisse enthält eine Liste aller Schwachstellen, die durch den GSM gefunden wurden (siehe Abb. 11.5).
Bemerkung
Standardmäßig werden Übersteuerungen nicht angewendet. Sie können durch Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).
Für jedes Ergebnis werden die folgenden Informationen angezeigt:
- Schwachstelle
Name der gefundenen Schwachstelle. Durch Klicken auf den Namen der Schwachstelle werden Details der Schwachstelle angezeigt (siehe Abb. 11.6). Durch Klicken auf wird die Detailseite der Schwachstelle geöffnet.
Schwachstellen mit einer angehängten Notiz sind mit gekennzeichnet. Schwachstellen mit einem angehängten Ticket sind mit gekennzeichnet.
Bemerkung
Falls die Spalte der Schwachstelle leer ist, wurde der entsprechende NVT noch nicht aktualisiert.
- Lösungstyp
Lösung für die gefundene Schwachstelle. Die folgenden Lösungen sind möglich:
- Schweregrad
- Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 13.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.
- QdE
QdE ist kurz für Qualität der Entdeckung und zeigt, wie verlässlich die Entdeckung einer Schwachstelle ist. Die QdE wurde mit GOS 3.1 eingeführt. Ergebnisse, die mit früheren Versionen erstellt wurden, wurde während der Umstellung eine QdE von 75 % zugewiesen.
Standardmäßig werden nur Ergebnisse angezeigt, die durch NVTs mit einer QdE von 70 % oder höher erkannt wurden. Die Möglichkeit von Falschmeldungen ist dadurch geringer. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).
- Host
- Host, für den das Ergebnis gefunden wurde. Die IP-Adresse und der Name des Hosts werden getrennt voneinander angezeigt.
- Ort
- Zum Entdecken der Schwachstelle auf dem Host genutzte Portnummer und genutzter Protokolltyp.
- Erstellt
- Datum und Zeit der Berichterstellung.
11.2.1.2. Einen Bericht interpretieren¶
Um die Ergebnisse zu interpretieren, müssen die folgenden Informationen beachtet werden:
- Falsch-Positiv
Ein Falsch-Positiv-Ergebnis (Falschmeldung) beschreibt ein Ergebnis, das nicht wirklich vorhanden ist. Oft finden Schwachstellenscanner Hinweise, die auf eine Schwachstelle hindeuten, allerdings kann keine endgültige Entscheidung getroffen werden. Es gibt zwei Möglichkeiten:
- Melden einer potentiell nicht vorhandenen Schwachstelle (falsch-positiv).
- Ignorieren einer potentiell vorhandenen Schwachstelle (falsch-negativ).
Da ein Benutzer in der Lage ist, Falsch-Positiv-Meldungen zu erkennen, zu verwalten und somit mit ihnen umzugehen, was für Falsch-Negativ-Meldungen nicht der Fall ist, meldet der Schwachstellenscanner des GSMs alle potentiell vorhandenen Schwachstellen. Falls der Benutzer weiß, dass Falsch-Positiv-Meldungen existieren, kann eine Übersteuerung konfiguriert werden (siehe Kapitel 11.8). Die AutoFP-Funktion kann ebenfalls genutzt werden (siehe Kapitel 11.8.4).
- Mehrere Ergebnisse können dieselbe Ursache haben.
Falls ein besonders altes Softwarepaket installiert ist, existieren oft mehrere Schwachstellen. Jede dieser Schwachstellen wird von einem anderen NVT geprüft und löst eine Benachrichtigung aus. Die Installation eines aktuellen Pakets entfernt viele Schwachstellen auf einmal.
- Hoch und Mittel
Ergebnisse der Schweregrade Hoch und Mittel sind am wichtigsten und sollten priorisiert behandelt werden. Bevor Ergebnisse mittleren Schweregrads behandelt werden, sollten Ergebnisse hohen Schweregrads thematisiert werden. Nur in außergewöhnlichen Fällen sollte von diesem Ansatz abgewichen werden, z. B. falls bekannt ist, dass die Ergebnisse mit hohem Schweregrad weniger beachtet werden müssen, da der Dienst durch die Firewall nicht erreichbar ist.
- Niedrig und Log
Ergebnisse mit dem Schweregrad Niedrig und Log sind hauptsächlich für das Detailverständnis hilfreich. Diese Ergebnisse werden standardmäßig ausgefiltert, können jedoch interessante Informationen enthalten. Ihr Berücksichtigen erhöht die Sicherheit des Netzwerks und der Systeme. Oftmals ist für ihr Verständnis eine tiefergehende Kenntnis der Anwendung nötig. Typisch für ein Ergebnis mit dem Schweregrad Log ist, dass ein Dienst ein Banner mit seinem Namen und seiner Versionsnummer nutzt. Dies kann für Angreifer hilfreich sein, falls diese Versionsnummer eine bekannte Schwachstelle besitzt.
11.2.1.3. Einen Bericht filtern¶
Da ein Bericht oft viele Ergebnisse enthält, kann sowohl der gesamte als auch ein gefilterter Bericht angezeigt und heruntergeladen werden.
Der Bericht kann wie folgt gefiltert werden:
Ein Stichwort, nach dem gesucht werden soll, in das Eingabefeld Filter eingeben (siehe Abb. 11.7).
Radiobutton Ja für Übersteuerungen anwenden wählen, um Übersteuerungen zu aktivieren (siehe Kapitel 11.8).
Radiobutton Nein für Übersteuerungen anwenden wählen, um Übersteuerungen zu deaktivieren.
Checkbox Sicherheitsupdates des Anbieters vertrauen aktivieren, um automatische Falsch-Positiv-Meldungen anzuwenden.
Radiobutton Vollständige CVE-Übereinstimmung für eine vollständige oder Teilweise CVE-Übereinstimmung für eine teilweise Übereinstimmung wählen (siehe Kapitel 11.8.4).
Bemerkung
Falls
autofp=1
(Vollständige CVE-Übereinstimmung), müssen alle CVEs als „geschlossen“ gelistet sein, damit das Ergebnis als Falsch-Positiv gekennzeichnet wird.Falls
autofp=2
(Teilweise CVE-Übereinstimmung), muss wenigstens eine der CVEs als „geschlossen“ gelistet sein, damit das Ergebnis als Falsch-Positiv gekennzeichnet wird.Checkbox Nur Hosts mit Ergebnissen anzeigen aktivieren, falls nur Hosts mit Ergebnissen enthalten sein sollen.
Für QdE gewünschte QdE wählen.
Für Schweregrad (Klasse) Checkboxen der gewünschten Schweregrade aktivieren.
Für Lösungstyp Radiobuttons der gewünschten Lösungstypen wählen.
Aktualisieren klicken.
11.2.2. Einen Bericht exportieren¶
Für unterstützte Exportformate siehe Kapitel 11.1.
Ein Bericht kann wie folgt exportiert werden:
Scans > Berichte in der Menüleiste wählen.
Details des Berichts durch Klicken auf das Datum eines Berichts anzeigen lassen.
-
→ Ein Fenster zum Zusammenstellen des Berichtinhalts wird geöffnet (siehe Abb. 11.8).
Bemerkung
Der angewendete Filter wird im Eingabefeld Filter angezeigt und kann nicht verändert werden. Zum Ändern des Filters sieht Kapitel 11.2.1.3.
Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen.
Bemerkung
Übersteuerungen werden nur berücksichtigt, wenn sie beim Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).
Berichtformat in der Drop-down-Liste Berichtformat wählen.
Einstellungen für zukünftige Exporte durch Aktivieren der Checkbox Als Standard speichern speichern.
Auf OK klicken.
Bericht durch Klicken auf Datei speichern speichern.
11.2.3. Einen Bericht importieren¶
Berichte können wie folgt in den GSM importiert werden:
Scans > Berichte in der Menüleiste wählen.
Auf Browse… klicken und die XML-Datei des Berichts wählen (siehe Abb. 11.9).
Container-Aufgabe, zu der der Bericht hinzugefügt werden soll in der Drop-down-Liste Containeraufgabe wählen.
Tipp
Durch Klicken auf kann eine neue Container-Aufgabe erstellt werden (siehe Kapitel 10.5).
Bericht durch Wählen des Radiobuttons Ja zu den Assets hinzufügen.
Auf Importieren klicken.
11.2.4. Eine Benachrichtigung für einen Bericht auslösen¶
Oft beinhaltet eine Benachrichtigung das Senden eines Berichts. Der Bericht, der durch die Benachrichtigung gesendet wird, unterliegt dem Filter, der beim Erstellen der Benachrichtigung festgelegt wurde (siehe Kapitel 10.12). Das Auslösen einer Benachrichtigung für einen Bericht fügt einen zweiten Filter hinzu, der aus dem Zusammenstellen des Berichtinhalts hervorgeht (siehe Kapitel 11.2.2).
Die Benachrichtigung kann manuell wie folgt ausgelöst werden:
Scans > Berichte in der Menüleiste wählen.
Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.
Bericht mithilfe des Powerfilters (siehe Kapitel 11.2.1.3) oder durch Wählen eines Registers filtern, sodass nur die Ergebnisse, die gesendet werden sollen, angezeigt werden.
Bemerkung
Der Filter, der beim Erstellen der Benachrichtigung konfiguriert wurde (siehe Kapitel 10.12), wird automatisch hinzugefügt.
Um das Verhalten dieses Filters zu imitieren, Filter des Berichts so anpassen, dass keine Ergebnisse herausgefiltert werden.
-
→ Ein Fenster zum Zusammenstellen des Berichtinhalts wird geöffnet (siehe Abb. 11.8).
Bemerkung
Der angewendete Filter zum Anzeigen der Ergebnisse wird im Eingabefeld Filter angezeigt und kann nicht verändert werden. Zum Ändern des Filters siehe 11.2.1.3.
Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen.
Bemerkung
Übersteuerungen werden nur berücksichtigt, wenn sie beim Filtern des Berichts angewendet werden (siehe Kapitel 11.2.1.3).
Benachrichtigung in der Drop-down-Liste Benachrichtigung wählen.
Tipp
Eine neue Benachrichtigung kann durch Klicken auf erstellt werden. Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 10.12.
Einstellungen für zukünftiges Senden des Berichts durch Aktivieren der Checkbox Als Standard speichern speichern.
Auf OK klicken.
11.2.5. Einen Delta-Bericht erstellen¶
Falls mehr als ein Bericht für eine einzelne Aufgabe verfügbar ist (siehe Kapitel 11.2), kann ein Delta-Bericht wie folgt erstellt werden:
Scans > Aufgaben in der Menüleiste wählen.
Auf die Gesamtanzahl der Berichte in der Spalte Berichte klicken.
→ Die Seite Berichte wird geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.
Ersten Bericht durch Klicken auf in der Spalte Aktionen wählen (siehe Abb. 11.11).
Zweiten Bericht durch Klicken auf in der Spalte Aktionen wählen (siehe Abb. 11.12).
→ Der Delta-Bericht mit den Delta-Ergebnissen wird angezeigt (siehe Abb. 11.13) und kann exportiert werden.
Der Typ eines Delta-Ergebnisses wird in der Spalte Delta dargestellt. Es gibt vier Typen von Delta-Ergebnissen:
- Entfallen [–]
- Das Ergebnis ist im ersten Bericht, aber nicht im zweite vorhanden (gemäß der Auswahlreihenfolge).
- Neu [+]
- Das Ergebnis ist im zweiten, aber nicht im ersten Bericht vorhanden (gemäß der Auswahlreihenfolge).
- Gleich [=]
- Das Ergebnis ist in beiden Berichten vorhanden und gleich.
- Verändert [~]
- Das Ergebnis ist in beiden Berichten vorhanden, unterscheidet sich jedoch.
Tipp
Der Ausdruck delta_states=
kann in die Filterleiste eingegeben werden, um nur einen bestimmten Typen von Delta-Ergebnissen anzeigen zu lassen (siehe Kapitel 8.4).
delta_states=g
zeigt alle Ergebnisse des Typs Entfallen.delta_states=n
zeigt alle Ergebnisse des Typs Neu.delta_states=s
zeigt alle Ergebnisse des Typs Gleich.delta_states=c
zeigt alle Ergebnisse des Typs Verändert.
Mehrere Typen können zeitgleich angezeigt werden, z. B. zeigt delta_states=gs
alle Ergebnisse des Typs Entfallen und Gleich .
11.3. Alle vorhandenen Ergebnisse anzeigen¶
Listenseite
Während ein Bericht nur die Ergebnisse eines einzelnen Scans beinhaltet, werden alle Ergebnisse in der internen Datenbank gespeichert und können durch Wählen von Scans > Ergebnisse in der Menüleiste angezeigt werden.
Powerfilter können genutzt werden, um nur Ergebnisse von Interesse darzustellen (siehe Kapitel 8.4).
Für alle Ergebnisse werden die folgenden Informationen angezeigt:
- Schwachstelle
Name der gefundenen Schwachstelle.
Schwachstellen mit einer angehängten Notiz sind mit gekennzeichnet. Schwachstellen mit einem angehängten Ticket sind mit gekennzeichnet.
Bemerkung
Falls die Spalte der Schwachstelle leer ist, wurde der entsprechende NVT noch nicht aktualisiert.
Bemerkung
Obwohl die Ergebnisse viele Informationen beinhalten, werden in den Details immer externe Referenzen aufgelistet.
Diese beziehen sich auf Websites, auf denen die Schwachstelle bereits diskutiert wurde.
Zusätzliche Hintergrundinformationen sind verfügbar, wie der Entdecker, die Auswirkungen und die Beseitigung der Schwachstelle.
- Lösungstyp
Um die Beseitigung einer Schwachstelle zu erleichtern, bietet jedes Ergebnis eine Lösung für das Problem. Die Spalte Art der Lösung zeigt das Vorhandensein einer Lösung. Die folgenden Lösungen sind möglich:
- Schweregrad
- Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 13.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.
- QdE
QdE ist kurz für Qualität der Entdeckung und zeigt, wie verlässlich die Entdeckung einer Schwachstelle ist. Die QdE wurde mit GOS 3.1 eingeführt. Ergebnisse, die mit früheren Versionen erstellt wurden, wurde während der Umstellung eine QdE von 75 % zugewiesen.
Standardmäßig werden nur Ergebnisse angezeigt, die durch NVTs mit einer QdE von 70 % oder höher erkannt wurden. Die Möglichkeit von Falschmeldungen ist dadurch geringer. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).
- Host
- Host, für den das Ergebnis gefunden wurde. Die IP-Adresse und der Name des Hosts werden getrennt voneinander angezeigt.
- Ort
- Zum Entdecken des Ergebnisses auf dem Host genutzte Portnummer und genutzter Protokolltyp.
- Erstellt
- Datum und Zeit der Berichterstellung.
Bemerkung
Durch Klicken auf unterhalb der Liste von Ergebnissen können mehrere Ergebnisse zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ergebnisse exportiert werden.
Detailseite
Durch Klicken auf den Namen eines Ergebnisses werden Details des Ergebnisses angezeigt. Durch Klicken auf wird die Detailseite des Ergebnisses geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
- Allgemeine Informationen über das Ergebnis.
- Benutzer-Tags
- Zugewiesene Tags (siehe Kapitel 8.5).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
- Das entsprechende Kapitel im Anwenderhandbuch öffnen.
- Die Listenseite mit allen Ergebnissen anzeigen.
- Die Ergebnisse als XML-Datei exportieren.
- Eine neue Notiz für das Ergebnis erstellen (siehe Kapitel 11.7.1).
- Eine neue Übersteuerung für das Ergebnis erstellen (siehe Kapitel 11.8.1).
- Ein neues Ticket für das Ergebnis erstellen (siehe Kapitel 11.6.1).
- Die zugehörige Aufgabe anzeigen.
- Den zugehörigen Bericht anzeigen.
11.4. Alle vorhandenen Schwachstellen anzeigen¶
Listenseite
Während ein Bericht nur die Schwachstellen eines einzelnen Scans beinhaltet, werden alle Schwachstellen in der internen Datenbank gespeichert und können durch Wählen von Scans > Schwachstellen in der Menüleiste angezeigt werden.
Powerfilter können genutzt werden, um nur Schwachstellen von Interesse darzustellen (siehe Kapitel 8.4).
Für alle Schwachstellen werden die folgenden Informationen angezeigt:
- Name
- Titel der Schwachstelle.
- Ältestes Ergebnis
- Datum und Zeit des ältesten Ergebnisses, das für die Schwachstelle gefunden wurde.
- Neuestes Ergebnis
- Datum und Zeit des neuesten Ergebnisses, das für die Schwachstelle gefunden wurde.
- Schweregrad
- Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 13.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.
- QdE
QdE ist kurz für Qualität der Entdeckung und zeigt, wie verlässlich die Entdeckung einer Schwachstelle ist. Die QdE wurde mit GOS 3.1 eingeführt. Ergebnisse, die mit früheren Versionen erstellt wurden, wurde während der Umstellung eine QdE von 75 % zugewiesen.
Standardmäßig werden nur Schwachstellen angezeigt, die durch NVTs mit einer QdE von 70 % oder höher erkannt wurden. Die Möglichkeit von Falschmeldungen ist dadurch geringer. Der Filter kann angepasst werden, sodass auch Ergebnisse mit niedrigerer QdE angezeigt werden (siehe Kapitel 8.4.1).
- Ergebnisse
- Anzahl der Ergebnisse, die für diese Schwachstelle gefunden wurden. Durch Klicken auf die Anzahl wird die Seite Ergebnisse geöffnet. Ein Filter ist angewendet, um nur die Ergebnisse für die gewählte Schwachstelle anzuzeigen.
Bemerkung
Durch Klicken auf unterhalb der Liste von Ergebnissen können mehrere Ergebnisse zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ergebnisse exportiert werden.
Detailseite
Durch Klicken auf den Namen einer Schwachstelle wird die Detailseite der Schwachstelle geöffnet.
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
- Das entsprechende Kapitel im Anwenderhandbuch öffnen.
- Die Listenseite mit allen Schwachstellen anzeigen.
- Die Schwachstelle als XML-Datei exportieren.
- Eine neue Notiz für die Schwachstelle erstellen (siehe Kapitel 11.7.1).
- Eine neue Übersteuerung für die Schwachstelle erstellen (siehe Kapitel 11.8.1).
- Die dazugehörigen Ergebnisse anzeigen.
- Die zugehörige Schwachstelle anzeigen.
11.5. Trend einer Schwachstelle¶
Falls eine Aufgabe mehrere Male durchgeführt wurde, wird der Trend der gefundenen Schwachstellen auf der Seite Aufgaben angezeigt (siehe Abb. 11.16).
Um dorthin zu gelangen, Scans > Aufgaben in der Menüleiste wählen.
Der Trend beschreibt die Änderung der Schwachstellen zwischen dem neuesten und zweitneuesten Bericht. Er wird in der Spalte Trend angezeigt.
Die folgenden Trends sind möglich:
- Im neuesten Bericht ist der höchste Schweregrad höher als der höchste Schweregrad im zweitneuesten Bericht.
- Der höchste Schweregrad ist für beide Berichte gleich. Trotzdem enthält der neueste Bericht mehr Sicherheitsprobleme dieses Schweregrads als der zweitneueste Bericht.
- Der höchste Schweregrad und die Anzahl an Sicherheitsproblemen ist für beide Berichte gleich.
- Der höchste Schweregrad ist für beide Berichte gleich. Trotzdem enthält der neueste Bericht weniger Sicherheitsprobleme dieses Schweregrads als der zweitneueste Bericht.
- Im neuesten Bericht ist der höchste Schweregrad kleiner als der höchste Schweregrad im zweitneuesten Bericht.
11.6. Tickets nutzen¶
Benutzer können andere Benutzer oder sich selbst mit der Beseitigung eines Scanergebnisses beauftragen.
11.6.1. Ein neues Ticket erstellen¶
Ein Ticket kann wie folgt erstellt werden:
Scans > Berichte in der Menüleiste wählen und Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.
Auf ein Objekt in der Spalte Schwachstelle und auf klicken, um die Detailseite des Ergebnisses zu öffnen.
oder
Scans > Ergebnisse in der Menüleiste wählen.
Auf ein Objekt in der Spalte Schwachstelle und auf klicken, um die Detailseite des Ergebnisses zu öffnen.
Benutzer, dem das Ticket zugewiesen werden soll, in der Drop-down-Liste Benutzer zuweisen wählen (siehe Abb. 11.17).
Notiz für das Ticket in das Eingabefeld Notiz eingeben.
Auf Speichern klicken.
→ Die Anzahl an Tickets für ein Ergebnis werden in der linken oberen Ecke der Detailseite angezeigt (siehe Abb. 11.18). Durch Klicken auf werden die zugehörigen Tickets angezeigt.
11.6.2. Den Status eines Tickets ändern¶
Ein Ticket kann die folgenden Status haben:
- Offen: Die Schwachstelle wurde noch nicht beseitigt.
- Behoben: Die Schwachstelle wurde behoben.
- Behoben und verifiziert: Die Aufgabe wurde noch einmal durchgeführt und die Schwachstelle wurde nicht mehr gefunden. Dieser Status wird automatisch vergeben.
- Geschlossen: Die Behebung der Schwachstelle wurde verifiziert oder das Ticket wird nicht mehr benötigt.
Der Status eines Tickets kann wie folgt geändert werden:
Scans > Remediation Tickets in der Menüleiste wählen.
Neuen Status in der Drop-down-Liste Status wählen (siehe Abb. 11.19).
Benutzer, dem das Ticket mit dem neuen Status zugewiesen werden soll, in der Drop-down-Liste Zugewiesener Benutzer wählen.
Notiz für den neuen Status in das entsprechende Eingabefeld eingeben.
Auf Speichern klicken.
11.6.3. Eine Benachrichtigung für ein Ticket einrichten¶
Benachrichtigungen für Tickets können für die folgenden Ereignisse eingerichtet werden:
- Ein neues Ticket wurde erhalten.
- Der Status eines zugewiesenen Tickets hat sich verändert.
- Der Status eines eigenen Tickets hat sich verändert.
Eine Benachrichtigung für ein Ticket wird wie folgt eingerichtet:
Konfiguration > Benachrichtigungen in der Menüleiste wählen.
Benachrichtigung definieren (siehe Abb. 11.20).
Auf Speichern klicken.
Die folgenden Details der Benachrichtigung können festgelegt werden:
- Name
- Festlegen des Namens. Der Name kann frei gewählt werden.
- Kommentar
- Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
- Ereignis
Ticket erhalten wählen, falls eine Benachrichtigung gesendet werden soll, wenn einem selbst ein neues Ticket zugewiesen wird.
Zugewiesenes Ticket hat sich geändert wählen, falls eine Benachrichtigung gesendet werden soll, wenn sich der Status eines zugewiesenen Tickets ändert.
Eigenes Ticket hat sich geändert wählen, falls eine Benachrichtigung gesendet werden soll, wenn sich der Status eines Tickets ändert, das einem anderen Benutzer zugewiesen wurde.
- Methode
Auswahl der Methode für die Benachrichtigung. Pro Benachrichtigung kann nur eine Methode gewählt werden.
Falls unterschiedliche Benachrichtigungen für das gleiche Ereignis ausgelöst werden sollen, müssen mehrere Benachrichtigungen erstellt und der gleichen Aufgabe zugewiesen werden.
Die folgenden Methoden sind möglich:
Eine E-Mail wird an die angegebene Adresse gesendet.
Die Übertragung der E-Mail kann mithilfe eines S/MIME-Zertifikats oder eines PGP-Verschlüsselungsschlüssel verschlüsselt sein. Die Verschlüsselung kann in der Drop-down-Liste E-Mail-Verschlüsselung gewählt oder durch Klicken auf erstellt werden.
- Aufgabe starten
- Die Benachrichtigung kann eine zusätzliche Aufgabe starten. Die Aufgabe wird in der Drop-down-Liste Aufgabe starten gewählt.
- System-Logger
Eine Benachrichtigung wird an einen Syslog-Daemon gesendet.
Der Syslog-Server wird mithilfe der Konsole festgelegt (siehe Kapitel 7.2.11).
11.6.4. Tickets verwalten¶
Listenseite
Alle vorhandenen Tickets können angezeigt werden, indem Scans > Remediation Tickets in der Menüleiste gewählt wird.
Für alle Tickets werden die folgenden Informationen angezeigt:
- Schwachstelle
- Schwachstelle, für die das Ticket erstellt wurde.
- Schweregrad
- Schweregrad der Schwachstelle, für die das Ticket erstellt wurde.
- Host
- Host, für den die Schwachstelle gefunden wurde.
- Lösungstyp
- Art der Lösung für die Schwachstelle, für die das Ticket erstellt wurde.
- Zugewiesener Benutzer
- Benutzer, dem das Ticket zugewiesen wurde.
- Änderungszeit
- Datum und Zeit der letzten Veränderung des Tickets.
- Status
- Status des Tickets.
Für alle Tickets sind die folgenden Aktionen verfügbar:
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Tickets können mehrere Tickets zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Tickets gelöscht oder exportiert werden.
Detailseite
Durch Klicken auf den Namen eines Tickets werden Details des Tickets angezeigt. Durch Klicken auf wird die Detailseite des Tickets geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
- Allgemeine Informationen über das Ticket.
- Benutzer-Tags
- Zugewiesene Tags (siehe Kapitel 8.5).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
11.7. Notizen nutzen¶
Notizen ermöglichen das Hinzufügen von Kommentaren zu einem NVT und werden auch in den Berichten angezeigt. Eine Notiz kann einem Ergebnis, einer Aufgabe, einem Schweregrad, einem Port oder einem Host hinzugefügt werden und erscheint somit nur in bestimmten Berichten.
11.7.1. Eine Notiz erstellen¶
11.7.1.1. Eine Notiz über ein Scanergebnis erstellen¶
Notizen können auf unterschiedliche Arten erstellt werden. Der einfachste Weg ist das Erstellen über das entsprechende Scanergebnis in einem Bericht:
Scans > Berichte in der Menüleiste wählen.
Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.
Register Ergebnisse wählen.
Auf ein Ergebnis in der Spalte Schwachstelle klicken.
Notiz definieren.
Auf Speichern klicken.
→ Die Notiz wird auf der Detailseite des Ergebnisses angezeigt (siehe Abb. 11.22).
11.7.1.2. Eine Notiz auf der Seite Notizen erstellen¶
Notizen können auch auf der Seite Notizen erstellt werden:
Scans > Notizen in der Menüleiste wählen.
ID des NVTs in das Eingabefeld NVT-OID eingeben.
Notiz definieren.
Tipp
Es ist möglich, Bereiche von IP-Adressen oder CIDR-Blöcke in das Eingabefeld Hosts einzugeben. Auf diesem Weg können Notizen für gesamte Teilnetze erstellt werden, ohne dass jeder Host in einer kommagetrennten Liste aufgeführt werden muss.
Notizen können durch Wählen des Radiobuttons Beliebig für Hosts, Orte, Schweregrade, Aufgaben oder Ergebnisse generalisiert werden.
Auf Speichern klicken.
11.7.2. Notizen verwalten¶
Listenseite
Alle vorhandenen Notizen können angezeigt werden, indem Scans > Notizen in der Menüleiste gewählt wird.
Für alle Notizen sind die folgenden Aktionen verfügbar:
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Notizen können mehrere Notizen zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Notizen gelöscht oder exportiert werden.
Detailseite
Durch Klicken auf den Namen einer Notiz werden Details der Notiz angezeigt. Durch Klicken auf wird die Detailseite der Notiz geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
- Allgemeine Informationen über die Notiz.
- Benutzer-Tags
- Zugewiesene Tags (siehe Kapitel 8.5).
- Berechtigungen
- Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
- Das entsprechende Kapitel im Anwenderhandbuch öffnen.
- Die Listenseite mit allen Notizen anzeigen.
- Eine neue Notiz erstellen (siehe Kapitel 11.7.1).
- Die Notiz klonen.
- Die Notiz bearbeiten.
- Die Notiz löschen.
- Die Notiz als XML-Datei exportieren.
11.8. Übersteuerungen und Falsch-Positiv-Meldungen nutzen¶
Der Schweregrad eines Ergebnisses kann verändert werden. Dies wird Übersteuerung genannt.
Übersteuerungen sind insbesondere nützlich, um Ergebnisse zu verwalten, die als falsch-positiv erkannt wurden oder denen ein kritischer Schweregrad zugeordnet wurde, wobei der Schweregrad zukünftig ein anderer sein soll.
Das gleiche gilt für Ergebnisse, denen der Schweregrad Log zugeordnet wurde, die lokal aber einen höheren Schweregrad haben sollen. Dies kann auch mithilfe von Übersteuerungen verwaltet werden.
Übersteuerungen werden auch zum Verwalten vertretbarer Risiken gentuzt.
11.8.1. Eine Übersteuerung erstellen¶
11.8.1.1. Eine Übersteuerung über ein Scanergebnis erstellen¶
Übersteuerungen können auf unterschiedliche Arten erstellt werden. Der einfachste Weg ist das Erstellen über das entsprechende Scanergebnis in einem Bericht:
Scans > Berichte in der Menüleiste wählen.
Ergebnisse durch Klicken auf das Datum eines Berichts anzeigen lassen.
Register Ergebnisse wählen.
Auf ein Ergebnis in der Spalte Schwachstelle klicken.
Übersteuerung definieren. Neuen Schweregrad in der Drop-down-Liste Neuer Schweregrad wählen (siehe Abb. 11.24).
Auf Speichern klicken.
Die folgenden Informationen können eingegeben werden:
Bemerkung
Falls die Übersteuerung über ein Scanergebnis erstellt wird, sind einige Einstellungen bereits ausgefüllt.
- NVT
- NVT, für den die Übersteuerung angewendet wird.
- Aktiv
- Wahl, ob die Übersteuerung aktiviert werden soll. Eine Aktivierung für eine beliebige Anzahl an Tagen ist möglich.
- Hosts
Host oder Bereich von Hosts, für den das Ergebnis gefunden werden muss, damit die Übersteuerung angewendet wird.
Tipp
Es ist möglich, Bereiche von IP-Adressen oder CIDR-Blöcke einzugeben. Auf diesem Weg können Notizen für gesamte Teilnetze erstellt werden, ohne dass jeder Host in einer kommagetrennten Liste aufgeführt werden muss.
Hostbereiche werden mit einem Minus angegeben, z. B.
198.168.1.1-198.168.1.25
. Größere Bereiche als 4096 werden nicht unterstützt.Bemerkung
Widersprüchliche Übersteuerungen, z. B. eine Übersteuerung für einen Hostbereich und eine andere Übersteuerung für einen Host in diesem Bereich, sind nicht zulässig.
- Ort
- Port, für den das Ergebnis gefunden werden muss, damit die Übersteuerung angewendet wird. Nur ein spezifischer Port oder die Einstellung Beliebig werden pro Übersteuerung unterstützt. Ein konkreter Port muss als Zahl gefolgt von
/tcp
oder/udp
eingegeben werden. - Schweregrad
- Bereicht des Schweregrads des NVTs, für den die Übersteuerung angewendet werden soll.
- Neuer Schweregrad
- Schweregrad, den der NVT nach Anwenden der Übersteuerung haben soll.
- Aufgabe
- Wahl der Aufgaben, für die die Übersteuerung angewendet werden soll.
- Ergebnis
Wahl der Ergebnisse, für die die Übersteuerung angewendet werden soll.
Bemerkung
Falls die Übersteuerung auf zukünftige Berichte angewendet werden soll, muss der Radiobutton Beliebig gewählt werden.
- Text
- Ein Text beschreibt die Übersteuerung näher.
Bemerkung
Falls mehrere Übersteuerungen für denselben NVT im selben Bericht angewendet werden, wird die neueste Übersteuerung genutzt und angewendet.
11.8.1.2. Eine Übersteuerung auf der Seite Übersteuerungen erstellen¶
Übersteuerungen können auch auf der Seite Übersteuerungen erstellt werden:
Scans > Übersteuerungen in der Menüleiste wählen.
ID des NVTs in das Eingabefeld NVT-OID eingeben.
Übersteuerung definieren.
Bemerkung
Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 11.8.1.1.
Neuen Schweregrad in der Drop-down-Liste Neuer Schweregrad wählen.
Auf Speichern klicken.
11.8.2. Übersteuerungen verwalten¶
Listenseite
Alle vorhandenen Übersteuerungen können angezeigt werden, indem Scans > Übersteuerungen in der Menüleiste gewählt wird.
Für alle Übersteuerungen sind die folgenden Aktionen verfügbar:
- Die Übersteuerung löschen.
- Die Übersteuerung bearbeiten.
- Die Übersteuerung klonen.
- Die Übersteuerung als XML-Datei exportieren.
Detailseite
Durch Klicken auf den Namen einer Übersteuerung werden Details der Übersteuerung angezeigt. Durch Klicken auf wird die Detailseite der Übersteuerung geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
- Allgemeine Informationen über die Übersteuerung.
- Benutzer-Tags
- Zugewiesene Tags (siehe Kapitel 8.5).
- Berechtigungen
- Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
- Das entsprechende Kapitel im Anwenderhandbuch öffnen.
- Die Listenseite mit allen Übersteuerungen anzeigen.
- Eine neue Übersteuerung erstellen (siehe Kapitel 11.8.1).
- Die Übersteuerung klonen.
- Die Übersteuerung bearbeiten.
- Die Übersteuerung löschen.
- Die Übersteuerung als XML-Datei exportieren.
11.8.3. Übersteuerungen aktivieren und deaktivieren¶
Falls Übersteuerungen die Anzeige der Ergebnisse ändern, können die Übersteuerungen aktiviert oder deaktiviert werden.
Dies wird durch Anpassen des Filters wie folgt durchgeführt:
Übersteuerungen durch Wählen des Radiobuttons Ja für Übersteuerungen anwenden aktivieren.
Radiobutton Nein für Übersteuerungen anwenden wählen, um Übersteuerungen zu deaktivieren.
Aktualisieren klicken.
Tipp
Übersteuerungen können in exportierten Berichten gekennzeichnet werden (siehe Kapitel 11.2.2).
11.8.4. Automatische Falsch-Positiv-Meldungen¶
Der GSM ist in der Lage, automatisch Falsch-Positiv-Meldungen zu erkennen und eine Übersteuerung zuzuweisen. Trotzdem muss das System intern und extern mit einem authentifizierten Scan analysiert werden (siehe Kapitel 10.3).
Ein authentifizierter Scan kann Schwachstellen in lokal installierter Software identifizieren. Schwachstellen, die von lokalen Nutzern ausgenutzt werden können oder für einen Angreifer zugänglich sind, wenn dieser bereits lokalen Zurgiff als unprivilegierter Nutzer hat, können gefunden werden. In vielen Fällen geschieht ein Angriff in unterschiedlichen Phasen und ein Angreifer nutzt mehrere Schwachstellen, um seine Privilegien zu erhöhen.
Ein authentifizierter Scan bietet eine zweite, mächtigere Funktionalität, die die Ausführung des Scans rechtfertigt. Durch externes Scannen des Systems kann oft nicht erkannt werden, ob eine Schwachstelle wirklich existiert. Der Greenbone Security Manager meldet alle potentiellen Schwachstellen. Mit einem authentifizierten Scan können viele potentielle Schwachstellen besser bewertet und dadurch als falsch-positiv erkannt werden.
Automatische Falsch-Positiv-Meldungen werden beim Filtern eines Berichts aktiviert (siehe Kapitel 11.2.1.3).
Es gibt zwei mögliche Einstellung für automatische Falsch-Positiv-Meldungen.
- Vollständige CVE-Übereinstimmung (
autofp=1
) - Teilweise CVE-Übereinstimmung (
autofp=2
)
Automatische Falsch-Positiv-Meldungen funktionieren wie folgt:
Manchmal erkennt ein Schwachstellentest (VT A) eine Schwachstelle, doch ein anderer Schwachstellentest (VT B) ist in der Lage, zu verifizieren, dass diese Schwachstelle bereits behoben wurde.
→ Alle CVEs, die in VT B aufgelistet sind, werden in den Hostdetails als Geschlossene CVE gekennzeichnet.
Für jedes Ergebnis, das nicht mit einem VT aus der Familie Local Security Checks erkannt wurde, werden die aufgelisteten CVEs betrachtet.
Bemerkung
VTs der Familien Local Security Checks werden als verbindlich angesehen, d. h. ein Ergebnis aus diesen Familien kann niemals falsch-positiv sein.
Für jede mit dem Ergebnis verknüpfte CVE wird geprüft, ob die CVE als Geschlossene CVE in den Hostdetails gelistet ist.
Falls
autofp=1
(Vollständige CVE-Übereinstimmung), müssen alle CVEs als „geschlossen“ gelistet sein, damit das Ergebnis als Falsch-Positiv gekennzeichnet wird.Falls
autofp=2
(Teilweise CVE-Übereinstimmung), muss wenigstens eine der CVEs als „geschlossen“ gelistet sein, damit das Ergebnis als Falsch-Positiv gekennzeichnet wird.
Bemerkung
Dadurch, dass das Bestimmen von Falsch-Positiv-Meldungen sehr komplex ist, kann das Aktivieren von automatischen Falsch-Positiv-Meldungen im Filter den Filterprozess, insbesondere bei großen Ergebnismengen, verlangsamen.