6 Daten von Appliances importieren und analysieren

6.1 Daten importieren

Bemerkung

Daten von verbundenen Appliances können nur vom Super-Admin oder einem Operator importiert werden.

Eine OPENVAS-SCAN-Appliance muss mit OPENVAS SECURITY INTELLIGENCE verbunden sein, um Schwachstellendaten von ihr zu importieren.

Bemerkung

  • Es sollten nur Daten aus Schwachstellenscans importiert werden, beispielsweise aus Scans mit der Scan-Konfiguration Full and fast.

  • Daten aus Discovery-Scans, beispielsweise aus Scans mit der Scan-Konfiguration Discovery, sollten nicht importiert werden. Diese Scan-Konfigurationen verwenden nur Tests, die Informationen über das Zielsystem liefern. Es werden keine Schwachstellen erkannt.

    Da OPENVAS SECURITY INTELLIGENCE immer die neuesten Daten anzeigt, würde ein Import einer Discovery-Aufgabe dazu führen, dass für die betroffenen Assets überhaupt keine Schwachstellen angezeigt werden.

  • Daten aus Import-Aufgaben können nicht in OPENVAS SECURITY INTELLIGENCE importiert werden.

  • Daten aus Container-Image-Aufgaben können nicht in OPENVAS SECURITY INTELLIGENCE importiert werden.

6.1.1 Die Appliance vorbereiten

6.1.1.1 Voraussetzungen für die Verbindung

Auf der Appliance, die mit OPENVAS SECURITY INTELLIGENCE verbunden werden soll, müssen SSH (Port 22/TCP) und das Greenbone Management Protocol (GMP) aktiviert sein.

Die Anleitungen zum Aktivieren der Dienste befinden sich hier im Appliance-Handbuch.

6.1.1.2 Scanaufgaben taggen

OPENVAS SECURITY INTELLIGENCE importiert nur Asset- und Schwachstellendaten aus Scanaufgaben, die mit dem Tag openvas-data versehen sind. Der entsprechende Tag muss den gewünschten Scanaufgaben auf der Appliance zugewiesen werden.

Es gibt drei Möglichkeiten, eine Aufgabe auf der Appliance zu taggen:

  • Die Detailseite einer Aufgabe aufrufen, den Tab Benutzer-Tags wählen und einen neuen Tag mit dem Namen openvas-data für die Aufgabe erstellen.

    Die Anleitung dazu befindet sich hier im Appliance-Handbuch.

  • Einen Tag mit dem Namen openvas-data erstellen, die Liste aller Aufgaben aufrufen und den zuvor erstellten Tag mit einer oder mehreren Aufgaben verknüpfen.

    Die Anleitung zum Erstellen eines Tags befindet sich hier im Appliance-Handbuch.

    Die Anleitung zum Verknüpfen eines Tags über die Listenseite befindet sich hier im Appliance-Handbuch.

  • Einen Tag mit dem Namen openvas-data erstellen und bei der Erstellung direkt die Aufgabe(n) auswählen, mit denen der Tag verknüpft werden soll.

    Die Anleitung dazu befindet sich hier im Appliance-Handbuch.

Bemerkung

Es wird empfohlen, einen Aufgaben-Filter mit dem Namen „OPENVAS SECURITY INTELLIGENCE“ auf der Appliance zu erstellen und zu speichern, der nach dem Tag openvas-data filtert. Mit diesem Filter sind alle Daten, die mit OPENVAS SECURITY INTELLIGENCE synchronisiert werden, einfach und schnell auf der Appliance sichtbar. Die Anleitung zum Erstellen eines solchen Filters befindet sich hier im Appliance-Handbuch.

6.1.2 Eine Appliance mit OPENVAS SECURITY INTELLIGENCE verbinden

Eine Appliance kann wie folgt mit OPENVAS SECURITY INTELLIGENCE verbunden werden:

  1. Datenverwaltung > Risiko- & Expositionsquellen im Menü wählen.

  2. Auf + Appliance hinzufügen klicken.

  3. Die Eingabefelder ausfüllen (siehe Abb. 6.1):

    _images/add-source-de.png

    Abb. 6.1 Eine Appliance verbinden

    Name

    Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden.

    Dieses Eingabefeld ist erforderlich.

    IP-Adresse/Hostname

    IP-Adresse oder Hostname der Appliance.

    Dieses Eingabefeld ist erforderlich.

    SSH key fingerprint

    Fingerprint des SSH-Schlüssels der Appliance.

    Dieses Eingabefeld ist optional. Wenn kein Fingerprint des SSH-Schlüssels angegeben wird, ruft OPENVAS SECURITY INTELLIGENCE den Fingerprint des SSH-Schlüssels automatisch ab.

    Bemerkung

    Daten werden nur dann von einer Appliance importiert, wenn der Fingerprint des SSH-Schlüssels der Appliance in OPENVAS SECURITY INTELLIGENCE gespeichert ist und beide Fingerprints übereinstimmen.

    Benutzername

    Benutzername des Web-Benutzers der Appliance.

    Dieses Eingabefeld ist erforderlich.

    Passwort

    Passwort des Web-Benutzers der Appliance.

    Dieses Eingabefeld ist erforderlich.

    Häufigkeit der Datenimporte

    Häufigkeit der Datenimporte, z. B. Alle 12 Stunden oder Täglich. Der Standardwert ist Einmalig.

    Dieses Eingabefeld ist erforderlich.

    Start

    Datum und Uhrzeit des ersten Imports. Alle nachfolgenden Importzeiten werden auf Grundlage der angegebenen Häufigkeit berechnet.

    Dieses Eingabefeld ist erforderlich.

    Bemerkung

    Bei der Wahl der Startzeit ist Folgendes zu beachten:

    • Es wird empfohlen, die Importe zu Zeiten zu planen, in denen die Benutzer OPENVAS SECURITY INTELLIGENCE nicht benutzen, z. B. während der Nacht.

    • Die Appliance muss ihre regelmäßigen Schwachstellenscans abgeschlossen haben, und es sollte ein gewisser Puffer eingeplant werden, falls die Scanaufgaben länger als üblich dauern.

  4. Auf Erstellen klicken.

  5. Wenn in Schritt 3 kein Fingerprint angegeben wurde, den abgerufenen Fingerprint wie im Appliance-Handbuch beschrieben prüfen und auf Fingerprint akzeptieren klicken (siehe Abb. 6.2).

    _images/add-source-2-de.png

    Abb. 6.2 Eine Appliance verbinden

    → Die Appliance ist verbunden und wird auf der Seite Risiko- & Expositionsquellen angezeigt.

6.1.3 Daten von einer Appliance importieren

OPENVAS SECURITY INTELLIGENCE importiert Daten von einer Appliance basierend auf einem Zeitplan (siehe Kapitel 6.1.2) oder wenn der Import manuell angestoßen wird:

  1. Datenverwaltung > Risiko- & Expositionsquellen im Menü wählen.

  2. In der Spalte Aktion auf klicken und Daten importieren in der Drop-down-Liste wählen.

    → Der Import der Daten von der Appliance wird gestartet.

    Bemerkung

    Schwachstellen mit den Schweregraden Log und Falsch-Positiv auf der Appliance werden nicht in OPENVAS SECURITY INTELLIGENCE importiert.

    Je nach Menge der zu importierenden Daten kann dieser Vorgang einige Zeit dauern.

6.1.4 Alle verbundenen Appliances verwalten

6.1.4.1 Alle verbundenen Appliances ansehen

Alle verbundenen Appliances können durch Auswahl von Datenverwaltung > Risiko- & Expositionsquellen im Menü angezeigt werden (siehe Abb. 6.3).

_images/appliance-overview-de.png

Abb. 6.3 Seite Risiko- & Expositionsquellen mit allen verbundenen Appliances

Für alle Appliances werden die folgenden Informationen angezeigt:

Name der Appliance

Name, der für die Appliance angegeben wurde, als sie mit OPENVAS SECURITY INTELLIGENCE verbunden wurde (siehe Kapitel 6.1.2).

Durch Klicken auf den Appliance-Namen wird die Web-Oberfläche der verbundenen Appliance geöffnet.

Springe zu

Links zum Dashboard (siehe Kapitel 6.2.1), zur Übersicht der Assets (siehe Kapitel 6.2.2.2.1) und zur Übersicht der Schwachstellen (siehe Kapitel 6.2.4.1.1). Die jeweilige Seite, die aufgerufen wird, ist bereits so gefiltert, dass nur die Ergebnisse für die ausgewählte Appliance angezeigt werden.

Importstatus

Der Status des Imports kann einer der folgenden sein:

  • Es wurde noch kein Import durchgeführt.

  • Ein Import läuft gerade.

  • Der letzte Import war erfolgreich.

  • Der letzte Import war nicht erfolgreich. Durch Bewegen des Cursors über werden weitere Informationen zum Grund des Fehlers angezeigt:

    • Die Appliance konnte aufgrund eines technischen Problems wie einem Netzwerkausfall nicht erreicht werden. Falls möglich, sollte das Problem analysiert und behoben werden und anschließend der Import erneut gestartet werden (siehe Kapitel 6.1.3).

    • Die Authentifizierung ist fehlgeschlagen, beispielsweise weil das Passwort des Web-Benutzers der Appliance geändert wurde. Den Benutzernamen und/oder das Passwort in OPENVAS SECURITY INTELLIGENCE aktualisieren (siehe Kapitel 6.1.4.2) und dann den Import erneut starten (siehe Kapitel 6.1.3).

    • Der Fingerprint des SSH-Schlüssels der Appliance stimmt nicht mit dem in OPENVAS SECURITY INTELLIGENCE gespeicherten Fingerprint überein, z. B. weil sich der SSH-Schlüssel auf der Appliance geändert hat. Den SSH-Schlüssel-Fingerprint in OPENVAS SECURITY INTELLIGENCE aktualisieren (siehe Kapitel 6.1.4.2) und dann den Import erneut starten (siehe Kapitel 6.1.3).

Letzter Import

Datum und Uhrzeit des letzten erfolgreichen Imports.

Der letzte Import wird als angezeigt, wenn noch kein Import stattgefunden hat.

Nächster Import

Datum und Uhrzeit des nächsten geplanten Imports.

Der nächste Import wird als angezeigt, wenn für die Zukunft kein Import geplant ist.

Durch Klicken auf sind die folgenden Aktionen verfügbar:

  • Daten importieren (siehe Kapitel 6.1.3).

  • Die Appliance bearbeiten (siehe Kapitel 6.1.4.2).

  • Die Appliance löschen (siehe Kapitel 6.1.4.3).

_images/appliance-overview-2-de.png

Abb. 6.4 Aktionen für alle verbundenen Appliances

6.1.4.2 Eine Appliance bearbeiten

Die Bearbeitung einer Appliance kann in den folgenden Fällen erforderlich sein:

  • Ändern des Appliance-Namens.

  • Ändern des Hostnamens, wenn der Hostname der Appliance geändert wurde.

  • Ändern des Benutzernamens und/oder des Passworts, wenn die Anmeldedaten des Web-Benutzers der Appliance geändert wurden.

  • Ändern des Fingerprints des SSH-Schlüssels, wenn der SSH-Schlüssel der Appliance geändert wurde.

  • Ändern der Häufigkeit und/oder der Zeit des Datenimports.

Eine Appliance kann wie folgt bearbeitet werden:

  1. Datenverwaltung > Risiko- & Expositionsquellen im Menü wählen.

  2. In der Spalte Aktion auf klicken und Appliance bearbeiten in der Drop-down-Liste wählen.

  3. Die erforderlichen Daten aktualisieren (siehe Kapitel 6.1.2).

    Bemerkung

    Beim Umbenennen einer Appliance müssen alle importierten Daten für die Appliance ebenfalls aktualisiert werden. Dies kann einige Zeit dauern. Es ist daher möglich, dass Filter für den neuen Appliance-Namen noch nicht funktionieren, obwohl der neue Name bereits auf der Seite Risiko- & Expositionsquellen angezeigt wird.

  4. Auf Speichern klicken.

    → Die Daten der Appliance werden aktualisiert.

    Tipp

    Wenn der SSH-Schlüssel der Appliance geändert wurde, den Fingerprint in OPENVAS SECURITY INTELLIGENCE entfernen und auf Speichern klicken. Dadurch wird der Fingerprint des SSH-Schlüssels automatisch abgerufen, um ihn zu überprüfen und zu akzeptieren.

6.1.4.3 Eine Appliance löschen

Bemerkung

Beim Löschen einer Appliance aus OPENVAS SECURITY INTELLIGENCE werden alle von dieser Appliance importierten Daten dauerhaft entfernt.

Das Löschen einer Appliance kann in folgenden Fällen erforderlich sein:

  • Daten sollten nicht mehr importiert werden, beispielsweise Testdaten.

  • Eine Appliance existiert nicht mehr, beispielsweise wenn sie durch eine andere Appliance ersetzt wurde.

  1. Datenverwaltung > Risiko- & Expositionsquellen im Menü wählen.

  2. In der Spalte Aktion auf klicken und Appliance löschen in der Drop-down-Liste wählen.

    → Ein Warnhinweis wird angezeigt, mit der Aufforderung, den Löschvorgang zu bestätigen.

    _images/delete-source-de.png

    Abb. 6.5 Löschen einer Appliance

  3. Auf Appliance löschen klicken.

    → Die Appliance und ihre importierten Daten werden aus OPENVAS SECURITY INTELLIGENCE gelöscht. Die Appliance wird nicht mehr in der Liste der Appliances angezeigt.

6.2 Daten analysieren

6.2.1 Das Dashboard nutzen

Das OPENVAS SECURITY INTELLIGENCE Dashboard bietet einen Überblick über die erkannten und importierten Assets und deren Schwachstellen.

6.2.1.1 Struktur des Dashboards

_images/dashboard-de.png

Abb. 6.6 Dashboard

Das Dashboard besteht aus den folgenden Diagrammen:

Anzahl Assets

Gesamtzahl der importierten Assets.

Top 10 der anfälligsten Assets

Hostnamen der zehn Assets mit der höchsten Anzahl an Schwachstellen mit dem Schwerergrad Kritisch. Durch Klicken auf einen Asset-Namen werden die Asset-Details geöffnet (siehe Kapitel 6.2.2.2.2).

Die Assets werden nach der Anzahl der kritischen Schwachstellen, dann nach der Anzahl der hohen Schwachstellen und schließlich nach der Anzahl der mittleren Schwachstellen sortiert.

Wenn ein Asset keinen Hostnamen hat, wird die IP-Adresse des Assets angezeigt.

Schwachstellen-Trends

Gesamtzahl der Schwachstellen mit den Schweregraden Kritisch, Hoch und Mittel für die letzten 14 Tage.

Bemerkung

Es gibt verschiedene Gründe dafür, dass sich die Zahl der Schwachstellen im Laufe der Zeit ändert, zum Beispiel:

  • Schwachstellen wurden behoben.

  • Neue Assets mit Schwachstellen wurden aus vorhandenen Appliances importiert.

  • Neue Schwachstellen wurden aufgrund neuer Greenbone-Schwachstellentests entdeckt.

  • Daten wurden aus zusätzlichen Appliances importiert.

  • Appliances wurden aus OPENVAS SECURITY INTELLIGENCE entfernt.

Top 10 der kritischen Schwachstellen

Namen der zehn Schwachstellen mit dem Schweregrad Kritisch, die am häufigsten auf Assets entdeckt wurden.

Durch Klicken auf die Anzahl der betroffenen Assets wird die Seite Betroffene Assets geöffnet (siehe Kapitel 6.2.4.1.3). Wenn das Dashboard gefiltert ist (siehe Kapitel 6.2.1.2), wird der Filter auf die Seite Betroffene Assets übertragen.

Top 10 der hohen Schwachstellen

Namen der zehn Schwachstellen mit dem Schweregrad Hoch, die am häufigsten auf Assets entdeckt wurden.

Durch Klicken auf die Anzahl der betroffenen Assets wird die Seite Betroffene Assets geöffnet (siehe Kapitel 6.2.4.1.3). Wenn das Dashboard gefiltert ist (siehe Kapitel 6.2.1.2), wird der Filter auf die Seite Betroffene Assets übertragen.

Top 10 der mittleren Schwachstellen

Namen der zehn Schwachstellen mit dem Schweregrad Mittel, die am häufigsten auf Assets entdeckt wurden.

Durch Klicken auf die Anzahl der betroffenen Assets wird die Seite Betroffene Assets geöffnet (siehe Kapitel 6.2.4.1.3). Wenn das Dashboard gefiltert ist (siehe Kapitel 6.2.1.2), wird der Filter auf die Seite Betroffene Assets übertragen.

6.2.1.2 Den Dashboard-Inhalt filtern

Das Dashboard kann wie in Kapitel 5.4 beschrieben gefiltert werden.

Wenn ein Filter hinzugefügt wird, ändern sich alle Diagramme automatisch entsprechend den Filterkriterien.

Bemerkung

Wenn ein Filter keine Ergebnisse liefert, zeigt das Dashboard 0 für das Diagramm Anzahl der Assets und Wir haben keine Schwachstellen gefunden. Bitte prüfen Sie Ihren Filter. für alle anderen Diagramme an.

Dies kann auch teilweise der Fall sein, beispielsweise wenn der Filter keine Assets mit kritischen, hohen oder mittleren Schwachstellen zurückgibt.

6.2.1.3 Berichte aus der Dashboard-Ansicht exportieren

Die Dashboard-Ansicht kann als PDF-Bericht exportiert werden. Es stehen zwei Berichtstypen zur Verfügung:

Management-Zusammenfassung

Dieser Berichtstyp enthält für den ausgewählten Zeitraum und unter Berücksichtigung des aktuell angewandten Filters Folgendes:

  • Gesamtanzahl der Assets

  • Diagramm Schwachstellen-Trends

  • Top 10 der anfälligsten Assets-Balken

  • Listen der 10 wichtigsten kritischen, hohen und mittleren Schwachstellen

Kritische Assets mit Schwachstellen-Details

Dieser Berichtstyp enthält für den ausgewählten Zeitraum und unter Berücksichtigung des aktuell angewandten Filters Folgendes:

  • Gesamtanzahl der Assets

  • Diagramm Schwachstellen-Trends

  • Top 10 der anfälligsten Assets-Balken

  • Listen der 10 wichtigsten kritischen, hohen und mittleren Schwachstellen

  • Für die ausgewählte Anzahl von Assets eine vollständige Liste der auf jedem Asset erkannten Schwachstellen. Die im Bericht enthaltenen Assets werden in absteigender Reihenfolge ihrer Kritikalität ausgewählt.

Ein Bericht kann wie folgt exportiert werden:

  1. Auf Als Bericht exportieren klicken.

    _images/export-dashboard-de.png

    Abb. 6.7 Einen Bericht vom Dashboard exportieren

  2. Gewünschten Berichtstyp aus der Drop-down-Liste Vorlage wählen.

  3. Zeitraum, der im Bericht berücksichtigt werden soll, aus der Drop-down-Liste Zeitraum des Trends wählen.

  4. Wenn der Berichtstyp Kritische Assets mit Schwachstellen-Details ausgewählt wurde, in der Drop-down-Liste Anzahl Assets die Anzahl der Assets wählen, für die Details zu Schwachstellen in den Bericht aufgenommen werden sollen.

  5. Auf Exportieren klicken.

    → Der Bericht wird erstellt.

    Bemerkung

    Je nach Anzahl der Assets und des gewählten Zeitraums kann die Erstellung einige Zeit in Anspruch nehmen.

    → Es wird eine Druckvorschau der PDF-Datei geöffnet.

  6. Die PDF-Datei speichern.

6.2.2 Assets verwalten

6.2.2.1 Assets erstellen

Assets werden während des Datenimports von einer verbundenen Appliance erstellt (siehe Kapitel 6.1.3).

Die folgenden Fälle sind möglich:

Ein Asset existiert bereits in OPENVAS SECURITY INTELLIGENCE

Wenn für eine Appliance bereits ein Asset vorhanden ist, werden die importierten Schwachstellendaten dem vorhandenen Asset zugeordnet und alle entsprechenden geänderten Daten aktualisiert, beispielsweise die IP-Adresse für Assets mit demselben Hostnamen und dynamischen IP-Adressen.

Ein Asset existiert noch nicht in OPENVAS SECURITY INTELLIGENCE

Wenn für eine Appliance noch kein Asset vorhanden ist, wird das Asset anhand des Hostnamens (erstes Kriterium, für Assets mit Hostnamen) oder der IP-Adresse (zweites Kriterium, für Assets ohne Hostnamen) erstellt.

Bemerkung

Es ist möglich, dass mehrere Assets mit demselben Hostnamen existieren. Die Appliance, die die Asset-Daten bereitstellt, wird beim Erstellen von Assets berücksichtigt, beispielsweise um Assets mit demselben Hostnamen in separaten Netzwerken zu unterstützen.

Assets, die seit mehr als 180 Tagen nicht aktualisiert wurden, d. h. für die keine neuen Daten importiert wurden, werden automatisch aus OPENVAS SECURITY INTELLIGENCE entfernt.

6.2.2.2 Assets ansehen

6.2.2.2.1 Die Gesamtliste der Assets ansehen

Alle vorhandenen Assets können durch Auswahl von Risiko & Exposition > Assets im Menü angezeigt werden (siehe Abb. 6.8).

_images/assets-overview-de.png

Abb. 6.8 Seite Assets

Für alle Assets werden die folgenden Informationen angezeigt:

Hostname

Name des Assets. Der Name wird als angezeigt, wenn das Asset keinen Hostnamen hat.

Durch Klicken auf den Hostnamen wird die Detailseite des Assets geöffnet (siehe Kapitel 6.2.2.2.2).

IP-Adresse

IP-Adresse des Assets.

Betriebssystem

Erkanntes Betriebssystem des Assets, zum Beispiel Windows 10 Enterprise 21H2 oder FreeBSD 12.2.

Name der Appliance

Name, der für die Appliance angegeben wurde, als sie mit OPENVAS SECURITY INTELLIGENCE verbunden wurde (siehe Kapitel 6.1.2).

Letzter Scan

Datum und Uhrzeit, zu der das Asset zuletzt gescannt wurde.

Asset-ID

Interne Kennung, die ein Asset eindeutig identifiziert. Wenn Assets in verschiedenen Netzwerken denselben Hostnamen haben, kann die Asset-ID zur Unterscheidung der Assets verwendet werden.

Kritikalität

Die Balken zeigen die Anzahl und Verteilung der Schwachstellen mit kritischem, hohem und mittlerem Schweregrad.

Durch Bewegen des Cursors über einen Balken wird die Anzahl der Schwachstellen für die entsprechende Schweregradklasse angezeigt.

Bei der Sortierung nach dieser Spalte werden die Assets nach der Anzahl der kritischen Schwachstellen, dann nach der Anzahl der hohen Schwachstellen und schließlich nach der Anzahl der mittleren Schwachstellen sortiert.

Tags

Mit dem Asset verknüpfte Tags (siehe Kapitel 6.2.3).

Durch Klicken auf die Anzahl der zusätzlichen Tags, zum Beispiel , werden alle Tags angezeigt (siehe Abb. 6.9).

_images/asset-tags.png

Abb. 6.9 Anzeigen zusätzlicher Tags

Für alle Assets sind die folgenden Aktionen verfügbar:

  • Tags für das Asset erstellen und verwalten (siehe Kapitel 6.2.3).

  • Das Asset löschen (siehe Kapitel 6.2.2.5).

6.2.2.2.2 Asset-Details ansehen

In der Gesamtliste der Assets (siehe Kapitel 6.2.2.2.1) auf den Hostnamen eines Assets klicken, um die Detailseite eines Assets anzuzeigen (siehe Abb. 6.10).

_images/asset-details-de.png

Abb. 6.10 Asset-Details

Es werden die folgenden Informationen angezeigt:

Hostname

Name des Assets. Der Name ist leer, wenn das Asset keinen Hostnamen hat.

IP-Adresse

IP-Adresse des Assets.

Betriebssystem

Erkanntes Betriebssystem des Assets, zum Beispiel Windows 10 Enterprise 21H2 oder FreeBSD 12.2.

Name der Appliance

Name, der für die Appliance angegeben wurde, als sie mit OPENVAS SECURITY INTELLIGENCE verbunden wurde (siehe Kapitel 6.1.2).

Letzter Scan

Datum und Uhrzeit, zu der das Asset zuletzt gescannt wurde.

In einer Tabelle unterhalb werden alle für das Asset erkannten Schwachstellen angezeigt. Für alle Schwachstellen werden die folgenden Informationen angezeigt:

Schweregrad

Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.

  • CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.

  • CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.

Bemerkung

Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.

Die National Vulnerability Database (NVD) bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.

Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.

Zum Schweregrad gehören ein Schweregrad-Score, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine Schweregradklasse. Unabhängig von der CVSS-Version wird die Schweregradklasse anhand der folgenden Einstufung bestimmt:

  • Kritisch: 9,0–10,0

  • Hoch: 7,0–8,9

  • Mittel: 4,0–6,9

  • Niedrig: 0,0–3,9

Vorhandene Übersteuerungen werden zusammen mit den Scan-Ergebnissen aus der verbundenen Appliance importiert. Wenn für eine Schwachstelle eine Übersteuerung vorliegt, wird dies durch neben dem Schweregrad angezeigt. Durch Bewegen des Cursors über den Schweregrad wird der ursprüngliche Schweregrad angezeigt.

EPSS-Score [%]

Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).

Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.

EPSS Perzentil

Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.

Schwachstellen-Name

Name der Schwachstelle.

Durch Klicken auf den Namen der Schwachstelle wird die Detailseite einer Schwachstelle geöffnet (siehe Kapitel 6.2.4.1.2).

Tipp

Durch Klicken auf in der Spalte Aktion werden die Details zur Schwachstelle als Overlay auf der aktuellen Seite angezeigt.

Port/Protokoll

Zum Entdecken der Schwachstelle auf dem Host genutzte Portnummer und genutzter Protokolltyp.

Durch Klicken auf die Anzahl der zusätzlichen Ports, zum Beispiel , werden alle Ports angezeigt.

QdE

Kurz für „Quality der Erkennung“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.

Weitere Informationen befinden sich in Kapitel 6.2.4.4.

Art der Lösung

Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:

  • Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.

  • Abschwächende Lösung: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.

  • Hersteller-Lösung: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.

  • NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.

  • Keine Anbieterlösung verfügbar: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.

Für alle Schwachstellen sind die folgenden Aktionen verfügbar:

  • Details zur Schwachstelle als Overlay anzeigen (siehe Kapitel 6.2.4.1.2).

6.2.2.3 Assets filtern

Sowohl die Gesamtliste der Assets als auch die Detailseite eines Assets können wie in Kapitel 5.4 beschrieben gefiltert werden.

Bemerkung

Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der Assets Keine Daten verfügbar. Bitte prüfen Sie Ihren Filter. angezeigt.

6.2.2.4 Assets exportieren

6.2.2.4.1 Eine Liste von Assets exportieren

Die Liste der Assets (siehe Kapitel 6.2.2.2.1) kann als CSV-Datei exportiert werden. Wenn die Asset-Liste gefiltert ist, werden nur die gefilterten Assets exportiert.

Bemerkung

Wenn keine Daten importiert werden oder der Filter keine Ergebnisse liefert, ist die Exportfunktion deaktiviert. Es müssen Daten von verbundenen Appliances importiert werden (siehe Kapitel 6.1.3) oder der Filter muss angepasst werden (siehe Kapitel 5.4).

Eine Liste von Assets kann wie folgt exportiert werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. Assets so filtern, dass alle angezeigt werden, die exportiert werden sollen (siehe Kapitel 6.2.2.3).

  3. Auf Exportieren klicken und Exportieren aus der Drop-down-Liste wählen.

    → Die Liste der Assets wird exportiert.

    Bemerkung

    Der Dateiname besteht aus dem statischen Text asset_list, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel: asset_list_unfiltered_2025-04-10.csv

    Die CSV-Datei enthält für jedes Asset die folgenden Informationen:

    • Hostname

    • IP-Adresse

    • Betriebssystem

    • Name der Appliance

    • Letzter Scan

    • Asset-ID

6.2.2.4.2 Eine Liste von Assets mit all ihren Schwachstellen exportieren

Die Liste der Assets (siehe Kapitel 6.2.2.2.1) mit Details zu all ihren Schwachstellen kann als CSV-Datei exportiert werden. Wenn die Asset-Liste gefiltert ist, werden nur die gefilterten Assets exportiert.

Bemerkung

Wenn keine Daten importiert werden oder der Filter keine Ergebnisse liefert, ist die Exportfunktion deaktiviert. Es müssen Daten von verbundenen Appliances importiert werden (siehe Kapitel 6.1.3) oder der Filter muss angepasst werden (siehe Kapitel 5.4).

Eine Liste von Assets mit all ihren Schwachstellen kann wie folgt exportiert werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. Assets so filtern, dass alle angezeigt werden, die exportiert werden sollen (siehe Kapitel 6.2.2.3).

  3. Auf Exportieren klicken und Daten mit Details exportieren aus der Drop-down-Liste wählen.

    → Die Liste der Assets wird exportiert.

    Bemerkung

    Der Dateiname besteht aus dem statischen Text assets_with_vulnerabilities, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel: assets_with_vulnerabilities_unfiltered_2025-04-10.csv

    Die CSV-Datei enthält für jedes Asset die folgenden Informationen:

    • Hostname

    • IP-Adresse

    • Betriebssystem

    • Name der Appliance

    • Letzter Scan

    • Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)

    • EPSS-Score

    • EPSS Perzentil

    • Schwachstellen-Name

    • Art der Lösung

    • Lösung

    • QdE

    • Zusammenfassung

    • Auswirkungen

    • Betroffene Software/Betriebssystem

    • Spezifisches Ergebnis

    • CVE-Referenzen

    • CERT-Referenzen

6.2.2.4.3 Asset-Details exportieren

Die Details eines bestimmten Assets (siehe Kapitel 6.2.2.2.2) können als CSV-Datei exportiert werden. Die exportierte Datei enthält eine Liste der für das Asset erkannten Schwachstellen. Wenn die Schwachstellenliste gefiltert ist, werden nur die gefilterten Schwachstellen exportiert.

Die Asset-Details können wie folgt exportiert werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. Auf den Hostnamen eines Assets klicken, um die Asset-Details anzuzeigen.

  3. Auf Exportieren klicken.

    → Die Asset-Details werden exportiert.

    Bemerkung

    Der Dateiname besteht aus dem Hostnamen des Assets (oder der IP-Adresse, falls das Asset keinen Hostnamen hat), der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel: server12_unfiltered_2025-04-10.csv

    Die CSV-Datei enthält die folgenden Informationen:

    • Hostname

    • IP-Adresse

    • Betriebssystem

    • Name der Appliance

    • Letzter Scan

    • Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)

    • Schwachstellen-Name

    • Port/Protokoll

    • Art der Lösung

    • Lösung

    • QdE

    • Zusammenfassung

    • Auswirkungen

    • Betroffene Software/Betriebssystem

    • CVE-Referenzen

    • CERT-Referenzen

    Bemerkung

    Hostname, IP-Adresse, Betriebssystem, Appliance-Name und letzter Scan sind für alle Schwachstellen identisch, da sie alle für dasselbe Asset erkannt wurden. So kann referenziert werden, für welches Asset die Schwachstellen exportiert wurden.

6.2.2.5 Assets löschen

Bemerkung

Neben der manuellen Löschung von Assets können diese auch automatisch entfernt werden, wenn keine neuen Daten für sie importiert wurden (siehe Kapitel 5.5).

Assets können wie folgt manuell gelöscht werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. In der Spalte Aktion auf klicken.

    → Ein Warnhinweis wird angezeigt, mit der Aufforderung, den Löschvorgang zu bestätigen.

    Bemerkung

    Das Asset und alle zugehörigen Daten werden entfernt.

    Wenn das Asset in zukünftigen Scans auf der Appliance enthalten ist, wird es beim nächsten Import von der Appliance erneut in OPENVAS SECURITY INTELLIGENCE importiert.

    _images/delete-asset-de.png

    Abb. 6.11 Bestätigen der Löschung

  3. Auf Asset löschen klicken.

    → Das Asset wird aus OPENVAS SECURITY INTELLIGENCE entfernt.

    Bemerkung

    Da alle zugehörigen Daten ebenfalls gelöscht werden, kann das Löschen eines Assets einige Zeit dauern.

6.2.3 Tags nutzen

Tags sind Paare aus Name und Wert, die mit Assets verknüpft werden können, um diese nach Tags zu filtern. Tags können nur Assets zugewiesen werden.

6.2.3.1 Unterschiede zwischen den Tags bei OPENVAS SCAN und OPENVAS SECURITY INTELLIGENCE

Es gibt einige Unterschiede hinsichtlich der Handhabung und des Verhaltens von Tags zwischen OPENVAS-SCAN-Appliances und OPENVAS SECURITY INTELLIGENCE:

OPENVAS SCAN

OPENVAS SECURITY INTELLIGENCE

Ein Tag funktioniert nur mit einem Namen, der Wert ist optional.

Sowohl Name als auch Wert sind erforderlich.

Tags können verschiedenen Ressourcentypen zugewiesen werden.

Tags können nur Assets zugewiesen werden.

Auf der Web-Oberfläche gibt es eine eigene Seite Tags zur Verwaltung von Tags.

Tags werden im Dialogfeld Tags verwalten auf der Seite Assets erstellt und verwaltet.

Tags können auf der Seite Tags erstellt werden, ohne dass sie einer Ressource zugewiesen werden.

Wenn Tags erstellt werden, werden sie im selben Schritt den Assets zugewiesen.

6.2.3.2 Tags erstellen

6.2.3.2.1 Einen Tag direkt einem Asset zuweisen

Ein Tag kann wie folgt direkt einem Asset zugewiesen werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. In der Spalte Aktion auf klicken.

    → Der Dialog Tags verwalten wird geöffnet. Wenn dem Asset bereits Tags zugewiesen sind, werden diese in einer Liste unterhalb des Hostnamens und der IP-Adresse des Assets angezeigt (siehe Abb. 6.12).

    _images/add-tag-de.png

    Abb. 6.12 Hinzufügen eines Tags zu einem Asset

  3. Am Ende der Liste im Eingabefeld Name einen Namen für den Tag eingeben.

    Bemerkung

    Tag-Namen unterscheiden zwischen Groß- und Kleinschreibung und dürfen maximal 128 Zeichen lang sein.

    Bereits vorhandene Tag-Namen werden in einer Drop-down-Liste angezeigt. Dies kann für folgende Anwendungsfälle verwendet werden:

    • Vorhandene Tags können zugewiesen werden (siehe Kapitel 6.2.3.2.3).

    • Ersetzen eines Tag-Werts durch einen neuen. Assets können nicht mehrere Tags mit demselben Namen zugewiesen werden.

      Beispiel: Wenn einem Asset bereits ein Tag mit dem Namen Abteilung und dem Wert Vertrieb zugewiesen ist und zusätzlich ein Tag mit dem Namen Abteilung und dem Wert Marketing zugewiesen wird, wird der Tag mit dem Wert Vertrieb überschrieben.

  4. Einen Wert für den Tag in das Eingabefeld Wert eingeben.

    Bemerkung

    Tag-Werte unterscheiden zwischen Groß- und Kleinschreibung und dürfen maximal 255 Zeichen lang sein.

    Bereits vorhandene Tag-Werte werden in einer Drop-down-Liste angezeigt. Dies kann zum Zuweisen bereits vorhandener Tags verwendet werden (siehe Kapitel 6.2.3.2.3).

  5. Auf klicken.

    → Der neue Tag wird am Ende der Liste von Tags angezeigt.

  6. Auf Tags speichern klicken.

6.2.3.2.2 Einen Tag direkt mehreren Assets zuweisen

Ein Tag kann wie folgt mehreren Assets zugewiesen werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. Assets so filtern, dass alle angezeigt werden, denen der Tag zugewiesen werden soll (siehe Kapitel 5.4).

  3. Auf Tag-Management klicken.

    → Der Dialog Tag-Management wird geöffnet.

  4. Den Tab Tags verwalten wählen.

    → Der Tab Tags verwalten wird geöffnet. Die Anzahl der Assets, denen der Tag zugewiesen wird, wird im oberen Bereich angezeigt (siehe Abb. 6.13).

    Alle Tags, die bereits einigen oder allen gefilterten Assets zugewiesen sind, werden in einer Liste angezeigt. Die Zahl rechts neben jedem Tag gibt an, wie vielen Assets er zugewiesen ist.

    _images/add-tag-2-de.png

    Abb. 6.13 Hinzufügen eines Tags zu einem Asset

  5. Am Ende der Liste im Eingabefeld Name einen Namen für den Tag eingeben.

    Bemerkung

    Tag-Namen unterscheiden zwischen Groß- und Kleinschreibung und dürfen maximal 128 Zeichen lang sein.

    Bereits vorhandene Tag-Namen werden in einer Drop-down-Liste angezeigt. Dies kann für folgende Anwendungsfälle verwendet werden:

    • Vorhandene Tags können zugewiesen werden (siehe Kapitel 6.2.3.2.3).

    • Ersetzen eines Tag-Werts durch einen neuen. Assets können nicht mehrere Tags mit demselben Namen zugewiesen werden.

      Beispiel: Wenn einem Asset bereits ein Tag mit dem Namen Abteilung und dem Wert Vertrieb zugewiesen ist und zusätzlich ein Tag mit dem Namen Abteilung und dem Wert Marketing zugewiesen wird, wird der Tag mit dem Wert Vertrieb überschrieben.

  6. Einen Wert für den Tag in das Eingabefeld Wert eingeben.

    Bemerkung

    Tag-Werte unterscheiden zwischen Groß- und Kleinschreibung und dürfen maximal 255 Zeichen lang sein.

    Bereits vorhandene Tag-Werte werden in einer Drop-down-Liste angezeigt. Dies kann zum Zuweisen bereits vorhandener Tags verwendet werden (siehe Kapitel 6.2.3.2.3).

  7. Auf klicken.

    → Der neue Tag wird am Ende der Liste von Tags angezeigt.

  8. Auf Tags speichern klicken.

    Bemerkung

    Je nach Anzahl der Assets, denen der Tag zugewiesen wird, kann es eine Weile dauern, bis der Tag angezeigt wird.

6.2.3.2.3 Einen vorhandenen Tag zuweisen

Ein bereits vorhandener Tag kann zu einem oder mehreren Assets hinzugefügt werden.

  1. Den Anweisungen in Kapitel 6.2.3.2.1 oder Kapitel 6.2.3.2.2 folgen, bis der Dialog zum Erstellen von Tags geöffnet wird.

  2. Am Ende der Liste in das Eingabefeld Name klicken und einen Tag-Namen aus der Drop-down-Liste wählen.

    Bemerkung

    Assets können nicht mehrere Tags mit demselben Namen zugewiesen werden.

    Beispiel: Wenn einem Asset bereits ein Tag mit dem Namen Abteilung und dem Wert Vertrieb zugewiesen ist und zusätzlich ein Tag mit dem Namen Abteilung und dem Wert Marketing zugewiesen wird, wird der Tag mit dem Wert Vertrieb überschrieben.

  3. In das Eingabefeld Wert klicken und einen Tag-Wert aus der Drop-down-Liste wählen.

  4. Auf Tags speichern klicken.

    Bemerkung

    Je nach Anzahl der Assets, denen der Tag zugewiesen wird, kann es eine Weile dauern, bis der Tag angezeigt wird.

6.2.3.3 Tagging-Regeln nutzen

Mithilfe von Tagging-Regeln können Assets automatisch mit Tags versehen werden. Die Tags werden zugewiesen, wenn die Assets bestimmte Bedingungen erfüllen.

Beispiel: Alle Assets, die das Betriebssystem Linux haben, sollten den Tag os:linux erhalten.

6.2.3.3.1 Eine Tagging-Regel erstellen

Ein neue Tagging-Regel kann wie folgt erstellt werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. Die Bedingung, die die Assets erfüllen müssen, damit ihnen der Tag zugewiesen wird, muss zunächst als Filter auf der Seite Assets definiert werden.

    Mit der Filterbedingung, die die Regelbedingungen bilden soll, einen Filter wie in Kapitel 5.4.1 beschrieben auf die Seite Assets anwenden.

    → Der Seiteninhalt wird gefiltert.

  3. Auf Tag-Management klicken.

    → Der Dialog Tag-Management wird geöffnet. Der Tab Tagging-Regeln wird angezeigt.

  4. Auf Regel hinzufügen klicken.

    _images/add-tagging-rule-de.png

    Abb. 6.14 Hinzufügen einer Tagging-Regel

  5. Einen Namen für die Tagging-Regel in das Eingabefeld Name der Tagging-Regel eingeben.

  6. Einen Namen für den Tag in das Eingabefeld Name eingeben.

    Bemerkung

    Tag-Namen unterscheiden zwischen Groß- und Kleinschreibung und dürfen maximal 128 Zeichen lang sein.

    Assets können nicht mehrere Tags mit demselben Namen zugewiesen werden. Wenn unterschiedliche Tagging-Regeln Tags mit demselben Namen zuweisen würden, wird nur ein Tag zugewiesen.

    Die Hierarchie der Tagging-Regeln kann wie in Kapitel 6.2.3.3.2 beschrieben geändert werden.

  7. Einen Wert für den Tag in das Eingabefeld Wert eingeben.

    Bemerkung

    Tag-Werte unterscheiden zwischen Groß- und Kleinschreibung und dürfen maximal 255 Zeichen lang sein.

  8. Auf klicken.

    → Der neue Tag wird am Ende der Liste von Tags angezeigt.

  9. Falls gewünscht, die Checkbox Markiere diese Tags als System-Tags. aktivieren.

    Bemerkung

    System-Tags sind nur für den Super-Admin sichtbar und nutzbar.

  10. Die Regeloptionen nach Bedarf aktivieren.

    • Sofort auf bestehende Assets anwenden, die diese Bedingungen erfüllen: Beim Speichern werden die oben aufgeführten Tags allen vorhandenen Assets zugewiesen, die die angegebenen Bedingungen erfüllen.

    • Regel wird auf alle neuen Assets angewandt, die zukünftig importiert werden: Die oben aufgeführten Tags werden automatisch allen künftig importierten Assets zugewiesen, die die angegebenen Bedingungen erfüllen.

    • Entferne die Tags, wenn die Assets den Bedingungen nicht mehr entsprechen: Wenn ein Asset die angegebenen Bedingungen nicht mehr erfüllt, werden die oben aufgeführten Tags vom Asset entfernt.

  11. Auf Speichern klicken.

    → Die Regel wird im Tab Tagging-Regeln angezeigt.

6.2.3.3.2 Tagging-Regeln verwalten
  1. Risiko & Exposition > Assets im Menü wählen.

  2. Auf Tag-Management klicken.

    → Der Dialog Tag-Management wird geöffnet. Der Tab Tagging-Regeln wird angezeigt.

    • Details der Tagging-Regel anzeigen.

    • Die Tagging-Regel sofort ausführen. Die in der Tagging-Regel aufgeführten Tags werden allen vorhandenen Assets zugewiesen, die die angegebenen Bedingungen erfüllen.

    • Die Tagging-Regel löschen.

    • Eine Tagging-Regel kann durch Klicken auf den Umschalter aktiviert oder deaktiviert werden.

    • Die Reihenfolge der Tagging-Regeln bestimmt deren Hierarchie.

      Assets können nicht mehrere Tags mit demselben Namen zugewiesen werden. Bei Konflikten werden Regeln durch andere Regeln, die in der Liste weiter unten stehen, außer Kraft gesetzt.

      Beispiel: Es gibt zwei Tagging-Regeln, die einen Tag mit dem Namen Abteilung und unterschiedlichen Werten zuweisen. Assets, die die Bedingungen beider Tagging-Regeln erfüllen, erhalten den Tag der Regel, die in der Liste weiter unten steht.

      Die Reihenfolge kann per Drag & Drop mit geändert werden.

    _images/manage-tagging-rules-de.png

    Abb. 6.15 Verwalten von Tagging-Regeln

6.2.3.4 Tags von Assets entfernen

6.2.3.4.1 Einen Tag von einem Asset entfernen

Ein Tag kann wie folgt von einem Asset entfernt werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. In der Spalte Aktion auf klicken.

  3. Für den Tag, der entfernt werden soll, auf klicken.

  4. Auf Tags speichern klicken.

6.2.3.4.2 Einen Tag von mehreren Assets entfernen

Bemerkung

Wenn ein Tag von allen Assets entfernt wird, denen er zugewiesen ist, wird er vollständig gelöscht.

Ein Tag kann wie folgt gelöscht werden:

  1. Risiko & Exposition > Assets im Menü wählen.

  2. Assets so filtern, dass alle angezeigt werden, von denen der Tag entfernt werden soll (siehe Kapitel 5.4).

  3. Auf Tag-Management klicken.

    → Der Dialog Tag-Management wird geöffnet.

  4. Den Tab Tags verwalten wählen.

    → Der Tab Tags verwalten wird geöffnet.

  5. Für den Tag, der entfernt werden soll, auf klicken.

  6. Auf Tags speichern klicken.

    Bemerkung

    Je nach Anzahl der Assets, von denen der Tag entfernt wird, kann es eine Weile dauern, bis der Tag nicht mehr angezeigt wird.

6.2.3.5 Nach Tags filtern

Das Filtern nach Tags kann wie in Kapitel 5.4 beschrieben durchgeführt werden.

Der Operator existiert (ja/nein) kann verwendet werden, um nach allen Assets mit oder ohne einen Tag mit einem bestimmten Namen zu filtern. Dies kann zur Verwaltung der Asset-Tags verwendet werden, beispielsweise um sicherzustellen, dass eine gewünschte Gruppe von Assets mit einem Tag Abteilung oder Standort versehen ist.

Alle verwendeten Tag-Namen werden in einem Untermenü angezeigt.

Wenn keine Tags verfügbar sind, wird der Filter Tag nicht angezeigt.

6.2.4 Schwachstellen verwalten

Bemerkung

Schwachstellen mit den Schweregraden Log und Falsch-Positiv auf der Appliance werden nicht in OPENVAS SECURITY INTELLIGENCE angezeigt.

6.2.4.1 Schwachstellen ansehen

6.2.4.1.1 Die Gesamtliste der Schwachstellen ansehen

Alle vorhandenen Schwachstellen können durch Auswahl von Risiko & Exposition > Schwachstellen im Menü angezeigt werden (siehe Abb. 6.16).

_images/vulnerabilities-overview-de.png

Abb. 6.16 Seite Schwachstellen

Für alle Schwachstellen werden die folgenden Informationen angezeigt:

Schweregrad

Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.

  • CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.

  • CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.

Bemerkung

Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.

Die National Vulnerability Database (NVD) bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.

Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.

Zum Schweregrad gehören ein Schweregrad-Score, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine Schweregradklasse. Unabhängig von der CVSS-Version wird die Schweregradklasse anhand der folgenden Einstufung bestimmt:

  • Kritisch: 9,0–10,0

  • Hoch: 7,0–8,9

  • Mittel: 4,0–6,9

  • Niedrig: 0,0–3,9

Vorhandene Übersteuerungen werden zusammen mit den Scan-Ergebnissen aus der verbundenen Appliance importiert. Wenn für eine Schwachstelle eine Übersteuerung vorliegt, wird dies durch neben dem Schweregrad angezeigt. Durch Bewegen des Cursors über den Schweregrad wird der ursprüngliche Schweregrad angezeigt.

EPSS-Score [%]

Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).

Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.

EPSS Perzentil

Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.

Schwachstellen-Name

Beschreibender Name der Schwachstelle.

Durch Klicken auf den Schwachstellen-Namen wird die Detailseite der Schwachstelle geöffnet (siehe Kapitel 6.2.4.1.2).

QdE

Kurz für „Quality der Erkennung“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.

Weitere Informationen befinden sich in Kapitel 6.2.4.4.

Betroffene Assets

Anzahl der Assets, bei denen diese Schwachstelle erkannt wurde.

Durch Klicken auf die Anzahl der betroffenen Assets wird die Seite Betroffene Assets geöffnet (siehe Kapitel 6.2.4.1.3).

Art der Lösung

Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:

  • Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.

  • Abschwächende Lösung: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.

  • Hersteller-Lösung: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.

  • NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.

  • Keine Anbieterlösung verfügbar: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.

6.2.4.1.2 Schwachstellen-Details ansehen

In der Gesamtliste der Schwachstellen (siehe Kapitel 6.2.4.1.1) auf den Namen einer Schwachstelle klicken, um die Detailseite einer Schwachstelle anzuzeigen (siehe Abb. 6.17).

_images/vulnerability-details-de.png

Abb. 6.17 Schwachstellen-Details

Es werden die folgenden Informationen angezeigt:

Name (wird oben unter der Überschrift Schwachstellen-Details angezeigt)

Beschreibender Name der Schwachstelle.

Schweregrad (dargestellt als grafisches Element)

Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.

  • CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.

  • CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.

Bemerkung

Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.

Die National Vulnerability Database (NVD) bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.

Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.

Zum Schweregrad gehören ein Schweregrad-Score, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine Schweregradklasse. Unabhängig von der CVSS-Version wird die Schweregradklasse anhand der folgenden Einstufung bestimmt:

  • Kritisch: 9,0–10,0

  • Hoch: 7,0–8,9

  • Mittel: 4,0–6,9

  • Niedrig: 0,0–3,9

Vorhandene Übersteuerungen werden zusammen mit den Scan-Ergebnissen aus der verbundenen Appliance importiert. Wenn für eine Schwachstelle eine Übersteuerung vorliegt, wird der neue Schweregrad im grafischen Element angezeigt. Der ursprüngliche Schweregrad wird durch gekennzeichnet. Durch Bewegen des Cursors über wird der ursprüngliche Schweregrad angezeigt.

Art der Lösung

Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:

  • Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.

  • Abschwächende Lösung: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.

  • Hersteller-Lösung: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.

  • NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.

  • Keine Anbieterlösung verfügbar: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.

Lösung

Beschreibung, wie die Schwachstelle behoben werden kann.

Schwachstellen-Überblick

Einzelheiten über die Ursache der Schwachstelle.

Diese Informationen sind nicht für alle Schwachstellen verfügbar.

Zusammenfassung

Weitere Details zur Schwachstelle.

Auswirkungen

Mögliche Folgen, wenn die Schwachstelle ausgenutzt wird, z. B. die Ausführung von Remote-Code.

Diese Informationen sind nicht für alle Schwachstellen verfügbar.

Betroffene Software/Betriebssystem

Produkte, einschließlich Version und Betriebssystem, die von der Schwachstelle betroffen sind.

Diese Informationen sind nicht für alle Schwachstellen verfügbar.

Link zu betroffenen Assets

Link zu einer Übersicht der Assets, bei denen diese Schwachstelle entdeckt wurde (siehe Kapitel 6.2.4.1.3).

Meta-Daten
Familie

Gruppe von Schwachstellentests, zu der der Test gehört, der die Schwachstelle entdeckt hat.

Qualität der Erkennung

Abgekürzt als „QdE“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.

Weitere Informationen befinden sich in Kapitel 6.2.4.4.

EPSS-Score [%]

Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).

Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.

EPSS Perzentil

Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.

CVE-Referenzen

CVE-Referenzen (Common Vulnerabilities and Exposure) für die Schwachstelle.

CVE wurde von MITRE gegründet, um die mehrfache Benennung der gleichen Schwachstelle durch verschiedene Organisationen zu vermeiden und eine einheitliche Namenskonvention zu gewährleisten. Jeder Schwachstelle wird von MITRE oder einer anderen CVE-Nummerierungsbehörde, wie z. B. Produktanbietern, Drittanbietern oder Forschern, eine eindeutige Kennung zugewiesen. Diese Kennung besteht aus dem Jahr der Veröffentlichung und einer einfachen Nummer und dient als zentrale Referenz.

CVEs werden vom National Institute of Standards and Technology (NIST) in der National Vulnerability Database (NVD) veröffentlicht und zugänglich gemacht. Die NVD ergänzt die CVEs mit Informationen über die Beseitigung, den Schweregrad, die potenziellen Auswirkungen und die betroffenen Produkte.

Die Schwachstelle kann keine CVE-Referenzen, eine CVE-Referenz oder mehrere CVE-Referenzen haben.

Durch Klicken auf eine Referenz wird das Greenbone-SecInfo-Portal in einem separaten Browser-Tab geöffnet. Auf Als Gast anmelden klicken, um die CVE-Details anzuzeigen.

Andere Referenzen

Alle weiteren verfügbaren Referenzen, beispielsweise weitere Details vom Softwarehersteller. Die Schwachstelle kann keine weiteren Referenzen, eine weitere Referenz oder mehrere weitere Referenzen haben.

Links werden in separaten Browser-Tabs geöffnet.

6.2.4.1.3 Betroffene Assets ansehen

In der Gesamtliste der Schwachstellen (siehe Kapitel 6.2.4.1.1) auf die Anzahl der betroffenen Assets klicken, um alle Assets anzuzeigen, für die diese Schwachstelle erkannt wurde (siehe Abb. 6.18).

_images/affected-assets-de.png

Abb. 6.18 Von einer Schwachstelle betroffene Assets

Bemerkung

Die Filterleiste auf dieser Seite bietet eine schreibgeschützte Ansicht. So kann überprüft werden, ob die Liste der angezeigten Assets vollständig ist.

Sie ist vollständig, wenn kein Filter verwendet wird oder wenn ein Filter mit nur Schwachstellen-Attributen verwendet wird. Sie kann unvollständig sein, wenn ein Filter mit mindestens einem Asset-Attribut verwendet wird.

Für die Schwachstelle werden die folgenden Informationen angezeigt:

Schwachstellen-Name (wird nach dem statischen Text Assets betroffen von in der Überschrift der Seite angezeigt)

Beschreibender Name der Schwachstelle.

Art der Lösung

Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:

  • Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.

  • Abschwächende Lösung: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.

  • Hersteller-Lösung: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.

  • NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.

  • Keine Anbieterlösung verfügbar: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.

Lösung

Beschreibung, wie die Schwachstelle behoben werden kann.

Schweregrad (dargestellt als grafisches Element auf der rechten Seite)

Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.

  • CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.

  • CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.

Bemerkung

Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.

Die National Vulnerability Database (NVD) bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.

Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.

Zum Schweregrad gehören ein Schweregrad-Score, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine Schweregradklasse. Unabhängig von der CVSS-Version wird die Schweregradklasse anhand der folgenden Einstufung bestimmt:

  • Kritisch: 9,0–10,0

  • Hoch: 7,0–8,9

  • Mittel: 4,0–6,9

  • Niedrig: 0,0–3,9

Vorhandene Übersteuerungen werden zusammen mit den Scan-Ergebnissen aus der verbundenen Appliance importiert. Wenn für eine Schwachstelle eine Übersteuerung vorliegt, wird der neue Schweregrad im grafischen Element angezeigt. Der ursprüngliche Schweregrad wird durch gekennzeichnet. Durch Bewegen des Cursors über wird der ursprüngliche Schweregrad angezeigt.

Durch Klicken auf auf der rechten Seite werden die folgenden zusätzlichen Informationen angezeigt:

Schwachstellen-Überblick

Einzelheiten über die Ursache der Schwachstelle.

Diese Informationen sind nicht für alle Schwachstellen verfügbar.

Zusammenfassung

Weitere Details zur Schwachstelle.

Auswirkungen

Mögliche Folgen, wenn die Schwachstelle ausgenutzt wird, z. B. die Ausführung von Remote-Code.

Diese Informationen sind nicht für alle Schwachstellen verfügbar.

Betroffene Software/Betriebssystem

Produkte, einschließlich Version und Betriebssystem, die von der Schwachstelle betroffen sind.

Diese Informationen sind nicht für alle Schwachstellen verfügbar.

Meta-Daten
Familie

Gruppe von Schwachstellentests, zu der der Test gehört, der die Schwachstelle entdeckt hat.

Qualität der Erkennung

Abgekürzt als „QdE“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.

Weitere Informationen befinden sich in Kapitel 6.2.4.4.

EPSS-Score [%]

Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).

Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.

EPSS Perzentil

Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.

Für alle von der Schwachstelle betroffenen Assets werden folgende Informationen angezeigt:

Hostname

Name des Assets. Der Name ist leer, wenn das Asset keinen Hostnamen hat.

Durch Klicken auf den Hostnamen wird die Detailseite des Assets geöffnet (siehe Kapitel 6.2.2.2.2).

IP-Adresse

IP-Adresse des Assets.

Port/Protokoll

Zum Entdecken der Schwachstelle auf dem Host genutzte Portnummer und genutzter Protokolltyp.

Durch Klicken auf die Anzahl der zusätzlichen Ports, zum Beispiel , werden alle Ports angezeigt.

Betriebssystem

Erkanntes Betriebssystem des Assets, zum Beispiel Windows 10 Enterprise 21H2 oder FreeBSD 12.2.

Name der Appliance

Name, der für die Appliance angegeben wurde, als sie mit OPENVAS SECURITY INTELLIGENCE verbunden wurde (siehe Kapitel 6.1.2).

Letzter Scan

Datum und Uhrzeit, zu der das Asset zuletzt gescannt wurde.

6.2.4.2 Schwachstellen filtern

Die Gesamtliste der Schwachstellen kann wie in Kapitel 5.4 beschrieben gefiltert werden.

Bemerkung

Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der Schwachstellen Keine Daten verfügbar. Bitte prüfen Sie Ihren Filter. angezeigt.

6.2.4.3 Schwachstellen exportieren

6.2.4.3.1 Eine Liste von Schwachstellen exportieren

Die Liste der Schwachstellen (siehe Kapitel 6.2.4.1.1) kann als CSV-Datei exportiert werden. Wenn die Schwachstellen-Liste gefiltert ist, werden nur die gefilterten Schwachstellen exportiert.

Bemerkung

Wenn keine Daten importiert werden oder der Filter keine Ergebnisse liefert, ist die Exportfunktion deaktiviert. Es müssen Daten von verbundenen Appliances importiert werden (siehe Kapitel 6.1.3) oder der Filter muss angepasst werden (siehe Kapitel 5.4).

Eine Liste von Schwachstellen kann wie folgt exportiert werden:

  1. Risiko & Exposition > Schwachstellen im Menü wählen.

  2. Schwachstellen so filtern, dass alle angezeigt werden, die exportiert werden sollen (siehe Kapitel 6.2.4.2).

  3. Auf Exportieren klicken und Exportieren aus der Drop-down-Liste wählen.

    → Die Liste der Schwachstellen wird exportiert.

    Bemerkung

    Der Dateiname besteht aus dem statischen Text vulnerability_list, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel: vulnerability_list_unfiltered_2025-04-10.csv

    Die CSV-Datei enthält für jede Schwachstelle die folgenden Informationen:

    • Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)

    • EPSS-Score

    • EPSS Perzentil

    • Schwachstellen-Name

    • QdE

    • Zusammenfassung

    • Anzahl Assets

    • Art der Lösung

6.2.4.3.2 Eine Liste von Schwachstellen mit all ihren betroffenen Assets exportieren

Die Liste der Schwachstellen (siehe Kapitel 6.2.4.1.1) mit Details zu all ihren betroffenen Assets kann als CSV-Datei exportiert werden. Wenn die Schwachstellen-Liste gefiltert ist, werden nur die gefilterten Schwachstellen exportiert.

Bemerkung

Wenn keine Daten importiert werden oder der Filter keine Ergebnisse liefert, ist die Exportfunktion deaktiviert. Es müssen Daten von verbundenen Appliances importiert werden (siehe Kapitel 6.1.3) oder der Filter muss angepasst werden (siehe Kapitel 5.4).

Eine Liste von Schwachstellen mit all ihren betroffenen Assets kann wie folgt exportiert werden:

  1. Risiko & Exposition > Schwachstellen im Menü wählen.

  2. Schwachstellen so filtern, dass alle angezeigt werden, die exportiert werden sollen (siehe Kapitel 6.2.4.2).

  3. Auf Exportieren klicken und Daten mit Details exportieren aus der Drop-down-Liste wählen.

    → Die Liste der Schwachstellen wird exportiert.

    Bemerkung

    Der Dateiname besteht aus dem statischen Text vulnerabilities_with_affected_assets, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel: vulnerabilities_with_affected_assets_unfiltered_2025-04-10.csv

    Die CSV-Datei enthält für jede Schwachstelle die folgenden Informationen:

    • Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)

    • EPSS-Score

    • EPSS Perzentil

    • Schwachstellen-Name

    • Art der Lösung

    • Lösung

    • QdE

    • Zusammenfassung

    • Auswirkungen

    • Betroffene Software/Betriebssystem

    • Spezifisches Ergebnis

    • CVE-Referenzen

    • CERT-Referenzen

    • Port/Protokoll

    • Hostname

    • IP-Adresse

    • Betriebssystem

    • Name der Appliance

    • Letzter Scan

6.2.4.3.3 Eine Liste von betroffenen Assets exportieren

Die Liste der von einer bestimmten Schwachstelle betroffenen Assets (siehe Kapitel 6.2.4.1.3) kann als CSV-Datei exportiert werden. Wenn die Liste der betroffenen Assets nach einem Asset-Attribut gefiltert ist (siehe Kapitel 5.4.3, Tab Assets (Gesamtliste)), werden nur die betroffenen Assets exportiert, die dem Filter entsprechen.

Die Liste der betroffenen Assets kann wie folgt exportiert werden:

  1. Risiko & Exposition > Schwachstellen im Menü wählen.

  2. Auf die Anzahl der Assets in der Spalte Betroffene Assets klicken.

  3. Auf Exportieren klicken.

    → Die Liste der betroffenen Assets wird exportiert.

    Bemerkung

    Der Dateiname besteht aus dem Namen der Schwachstelle, dem statischen Text affected_assets, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel: operating_system__os__end_of_life__eol__detection_affected_assets_filtered_2025-04-10.csv

    Die CSV-Datei enthält die folgenden Informationen:

    • Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)

    • Schwachstellen-Name

    • Art der Lösung

    • Lösung

    • QdE

    • Zusammenfassung

    • Auswirkungen

    • Betroffene Software/Betriebssystem

    • CVE-Referenzen

    • CERT-Referenzen

    • Port/Protokoll

    • Hostname

    • IP-Adresse

    • Betriebssystem

    • Name der Appliance

    • Letzter Scan

    Bemerkung

    Schweregrad, Name der Schwachstelle, Art der Lösung, Lösung, QdE, Zusammenfassung, Auswirkungen, betroffene Software/Betriebssystem, CVE-Referenzen und CERT-Referenzen sind für alle Assets identisch, da sie alle von derselben Schwachstelle betroffen sind. So kann referenziert werden, von welcher Schwachstelle die Assets betroffen sind.

6.2.4.4 Konzept der Qualität der Erkennung

Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 und 100 und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung.

Obwohl der QdE-Bereich es erlaubt, die Qualität detailgenau darzustellen, nutzen die meisten Prüfroutinen eine Standardmethodik. Deshalb werden den QdE-Werten QdE-Typen zugewiesen. Die aktuelle Typenliste wird möglicherweise mit der Zeit erweitert.

Bemerkung

  • Die QdE eines „Erkennungs“-Ergebnisses ist höher als die eines tatsächlichen „Schwachstellen“-Ergebnisses, da sie die Qualität der Produkterkennung selbst widerspiegelt – die zuverlässig ist – und nicht die Qualität der zugehörigen Schwachstellentests, die aus verschiedenen Gründen unzuverlässig sein können (siehe Tabelle).

  • Es wird immer die niedrigste QdE verwendet, die zutreffen kann, beispielsweise bei mehreren Erkennungsmethoden (remote oder lokal/authentifiziert).

QdE

QdE-Typ

Beschreibung

100

exploit

Die Erkennung erfolgte durch die Ausnutzung einer Sicherheitslücke und ist daher vollständig bestätigt.

99

remote_vul

Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der Schwachstelle zeigt.

98

remote_app

Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der gefährdeten Anwendung zeigt.

97

package

Authentifizierte paketbasierte Prüfungen für z. B. Linux(oide) Systeme.

97

registry

Authentifizierte Prüfungen auf Basis der Registry von Microsoft Windows.

95

remote_active

Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort das wahrscheinliche Vorhandensein der gefährdeten Anwendung oder der Schwachstelle zeigt. „Wahrscheinlich“ bedeutet, dass die Erkennung nur in seltenen Fällen inkorrekt ist.

80

remote_banner

Prüfung von Anwendungsbannern auf dem Zielsystem, die den Patch-Status als Information anbieten. Zum Beispiel ist dies für viele proprietäre Produkte der Fall.

80

executable_version

Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) und Microsoft-Windows-Systeme, bei denen Anwendungen den Patch-Status in der Version anbieten.

75

Wenn Ergebnisse ohne QdE-Informationen verarbeitet werden, erhalten sie diesen Wert.

70

remote_analysis

Prüfungen auf dem Zielsystem, die einige Analysen durchführen, jedoch je nach Umgebungsbedingungen nicht immer vollständig zuverlässig sind.

50

remote_probe

Prüfung auf dem Zielsystem, bei welcher zwischenliegende Systeme wie Firewalls die korrekte Erkennung vortäuschen können, sodass nicht eindeutig ist, ob die Anwendung selbst geantwortet hat. Zum Beispiel kann dies für Verbindungen ohne TLS geschehen.

30

remote_banner_unreliable

Prüfung von Anwendungsbannern des Zielsystems, die den Patch-Status nicht als Information anbieten. Zum Beispiel ist dies für viele Open-Source-Produkte aufgrund von Backport-Patches der Fall.

30

executable_version_unreliable

Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) Systeme, bei denen Anwendungen den Patch-Status nicht in der Version anbieten.

30

package_unreliable

Authentifizierte paketbasierte Prüfungen, die nicht immer vollständig zuverlässig sind, für z. B. Linux(oide) Systeme.

1

general_note

Allgemeine Notiz zu einer potenziellen Schwachstelle ohne konkrete Erkennung einer vorhandenen Anwendung.