6 Daten von Appliances importieren und analysieren¶
6.1 Daten importieren¶
Bemerkung
Daten von verbundenen Appliances können nur vom Super-Admin oder einem Operator importiert werden.
Eine OPENVAS-SCAN-Appliance muss mit OPENVAS SECURITY INTELLIGENCE verbunden sein, um Schwachstellendaten von ihr zu importieren.
Bemerkung
Es sollten nur Daten aus Schwachstellenscans importiert werden, beispielsweise aus Scans mit der Scan-Konfiguration Full and fast.
Daten aus Discovery-Scans, beispielsweise aus Scans mit der Scan-Konfiguration Discovery, sollten nicht importiert werden. Diese Scan-Konfigurationen verwenden nur Tests, die Informationen über das Zielsystem liefern. Es werden keine Schwachstellen erkannt.
Da OPENVAS SECURITY INTELLIGENCE immer die neuesten Daten anzeigt, würde ein Import einer Discovery-Aufgabe dazu führen, dass für die betroffenen Assets überhaupt keine Schwachstellen angezeigt werden.
Daten aus Import-Aufgaben können nicht in OPENVAS SECURITY INTELLIGENCE importiert werden.
Daten aus Container-Image-Aufgaben können nicht in OPENVAS SECURITY INTELLIGENCE importiert werden.
6.1.1 Die Appliance vorbereiten¶
6.1.1.1 Voraussetzungen für die Verbindung¶
Auf der Appliance, die mit OPENVAS SECURITY INTELLIGENCE verbunden werden soll, müssen SSH (Port 22/TCP) und das Greenbone Management Protocol (GMP) aktiviert sein.
Die Anleitungen zum Aktivieren der Dienste befinden sich hier im Appliance-Handbuch.
6.1.1.2 Scanaufgaben taggen¶
OPENVAS SECURITY INTELLIGENCE importiert nur Asset- und Schwachstellendaten aus Scanaufgaben, die mit dem Tag openvas-data versehen sind. Der entsprechende Tag muss den gewünschten Scanaufgaben auf der Appliance zugewiesen werden.
Es gibt drei Möglichkeiten, eine Aufgabe auf der Appliance zu taggen:
Die Detailseite einer Aufgabe aufrufen, den Tab Benutzer-Tags wählen und einen neuen Tag mit dem Namen
openvas-datafür die Aufgabe erstellen.Die Anleitung dazu befindet sich hier im Appliance-Handbuch.
Einen Tag mit dem Namen
openvas-dataerstellen, die Liste aller Aufgaben aufrufen und den zuvor erstellten Tag mit einer oder mehreren Aufgaben verknüpfen.Die Anleitung zum Erstellen eines Tags befindet sich hier im Appliance-Handbuch.
Die Anleitung zum Verknüpfen eines Tags über die Listenseite befindet sich hier im Appliance-Handbuch.
Einen Tag mit dem Namen
openvas-dataerstellen und bei der Erstellung direkt die Aufgabe(n) auswählen, mit denen der Tag verknüpft werden soll.Die Anleitung dazu befindet sich hier im Appliance-Handbuch.
Bemerkung
Es wird empfohlen, einen Aufgaben-Filter mit dem Namen „OPENVAS SECURITY INTELLIGENCE“ auf der Appliance zu erstellen und zu speichern, der nach dem Tag openvas-data filtert. Mit diesem Filter sind alle Daten, die mit OPENVAS SECURITY INTELLIGENCE synchronisiert werden, einfach und schnell auf der Appliance sichtbar. Die Anleitung zum Erstellen eines solchen Filters befindet sich hier im Appliance-Handbuch.
6.1.2 Eine Appliance mit OPENVAS SECURITY INTELLIGENCE verbinden¶
Eine Appliance kann wie folgt mit OPENVAS SECURITY INTELLIGENCE verbunden werden:
Datenverwaltung > Risiko- & Expositionsquellen im Menü wählen.
Auf + Appliance hinzufügen klicken.
Die Eingabefelder ausfüllen (siehe Abb. 6.1):
Abb. 6.1 Eine Appliance verbinden¶
- Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden.
Dieses Eingabefeld ist erforderlich.
- IP-Adresse/Hostname
IP-Adresse oder Hostname der Appliance.
Dieses Eingabefeld ist erforderlich.
- SSH key fingerprint
Fingerprint des SSH-Schlüssels der Appliance.
Dieses Eingabefeld ist optional. Wenn kein Fingerprint des SSH-Schlüssels angegeben wird, ruft OPENVAS SECURITY INTELLIGENCE den Fingerprint des SSH-Schlüssels automatisch ab.
Bemerkung
Daten werden nur dann von einer Appliance importiert, wenn der Fingerprint des SSH-Schlüssels der Appliance in OPENVAS SECURITY INTELLIGENCE gespeichert ist und beide Fingerprints übereinstimmen.
- Benutzername
Benutzername des Web-Benutzers der Appliance.
Dieses Eingabefeld ist erforderlich.
- Passwort
Passwort des Web-Benutzers der Appliance.
Dieses Eingabefeld ist erforderlich.
- Häufigkeit der Datenimporte
Häufigkeit der Datenimporte, z. B. Alle 12 Stunden oder Täglich. Der Standardwert ist Einmalig.
Dieses Eingabefeld ist erforderlich.
- Start
Datum und Uhrzeit des ersten Imports. Alle nachfolgenden Importzeiten werden auf Grundlage der angegebenen Häufigkeit berechnet.
Dieses Eingabefeld ist erforderlich.
Bemerkung
Bei der Wahl der Startzeit ist Folgendes zu beachten:
Es wird empfohlen, die Importe zu Zeiten zu planen, in denen die Benutzer OPENVAS SECURITY INTELLIGENCE nicht benutzen, z. B. während der Nacht.
Die Appliance muss ihre regelmäßigen Schwachstellenscans abgeschlossen haben, und es sollte ein gewisser Puffer eingeplant werden, falls die Scanaufgaben länger als üblich dauern.
Auf Erstellen klicken.
Wenn in Schritt 3 kein Fingerprint angegeben wurde, den abgerufenen Fingerprint wie im Appliance-Handbuch beschrieben prüfen und auf Fingerprint akzeptieren klicken (siehe Abb. 6.2).
Abb. 6.2 Eine Appliance verbinden¶
→ Die Appliance ist verbunden und wird auf der Seite Risiko- & Expositionsquellen angezeigt.
6.1.3 Daten von einer Appliance importieren¶
OPENVAS SECURITY INTELLIGENCE importiert Daten von einer Appliance basierend auf einem Zeitplan (siehe Kapitel 6.1.2) oder wenn der Import manuell angestoßen wird:
Datenverwaltung > Risiko- & Expositionsquellen im Menü wählen.
In der Spalte Aktion auf
klicken und Daten importieren in der Drop-down-Liste wählen.→ Der Import der Daten von der Appliance wird gestartet.
Bemerkung
Schwachstellen mit den Schweregraden Log und Falsch-Positiv auf der Appliance werden nicht in OPENVAS SECURITY INTELLIGENCE importiert.
Je nach Menge der zu importierenden Daten kann dieser Vorgang einige Zeit dauern.
6.1.4 Alle verbundenen Appliances verwalten¶
6.1.4.1 Alle verbundenen Appliances ansehen¶
Alle verbundenen Appliances können durch Auswahl von Datenverwaltung > Risiko- & Expositionsquellen im Menü angezeigt werden (siehe Abb. 6.3).
Abb. 6.3 Seite Risiko- & Expositionsquellen mit allen verbundenen Appliances¶
Für alle Appliances werden die folgenden Informationen angezeigt:
- Name der Appliance
Name, der für die Appliance angegeben wurde, als sie mit OPENVAS SECURITY INTELLIGENCE verbunden wurde (siehe Kapitel 6.1.2).
Durch Klicken auf den Appliance-Namen wird die Web-Oberfläche der verbundenen Appliance geöffnet.
- Springe zu
Links zum Dashboard (siehe Kapitel 6.2.1), zur Übersicht der Assets (siehe Kapitel 6.2.2.2.1) und zur Übersicht der Schwachstellen (siehe Kapitel 6.2.4.1.1). Die jeweilige Seite, die aufgerufen wird, ist bereits so gefiltert, dass nur die Ergebnisse für die ausgewählte Appliance angezeigt werden.
- Importstatus
Der Status des Imports kann einer der folgenden sein:
Der letzte Import war nicht erfolgreich. Durch Bewegen des Cursors über
werden weitere Informationen zum Grund des Fehlers angezeigt:Die Appliance konnte aufgrund eines technischen Problems wie einem Netzwerkausfall nicht erreicht werden. Falls möglich, sollte das Problem analysiert und behoben werden und anschließend der Import erneut gestartet werden (siehe Kapitel 6.1.3).
Die Authentifizierung ist fehlgeschlagen, beispielsweise weil das Passwort des Web-Benutzers der Appliance geändert wurde. Den Benutzernamen und/oder das Passwort in OPENVAS SECURITY INTELLIGENCE aktualisieren (siehe Kapitel 6.1.4.2) und dann den Import erneut starten (siehe Kapitel 6.1.3).
Der Fingerprint des SSH-Schlüssels der Appliance stimmt nicht mit dem in OPENVAS SECURITY INTELLIGENCE gespeicherten Fingerprint überein, z. B. weil sich der SSH-Schlüssel auf der Appliance geändert hat. Den SSH-Schlüssel-Fingerprint in OPENVAS SECURITY INTELLIGENCE aktualisieren (siehe Kapitel 6.1.4.2) und dann den Import erneut starten (siehe Kapitel 6.1.3).
- Letzter Import
Datum und Uhrzeit des letzten erfolgreichen Imports.
Der letzte Import wird als
angezeigt, wenn noch kein Import stattgefunden hat.- Nächster Import
Datum und Uhrzeit des nächsten geplanten Imports.
Der nächste Import wird als
angezeigt, wenn für die Zukunft kein Import geplant ist.
Durch Klicken auf
sind die folgenden Aktionen verfügbar:
Daten importieren (siehe Kapitel 6.1.3).
Die Appliance bearbeiten (siehe Kapitel 6.1.4.2).
Die Appliance löschen (siehe Kapitel 6.1.4.3).
Abb. 6.4 Aktionen für alle verbundenen Appliances¶
6.1.4.2 Eine Appliance bearbeiten¶
Die Bearbeitung einer Appliance kann in den folgenden Fällen erforderlich sein:
Ändern des Appliance-Namens.
Ändern des Hostnamens, wenn der Hostname der Appliance geändert wurde.
Ändern des Benutzernamens und/oder des Passworts, wenn die Anmeldedaten des Web-Benutzers der Appliance geändert wurden.
Ändern des Fingerprints des SSH-Schlüssels, wenn der SSH-Schlüssel der Appliance geändert wurde.
Ändern der Häufigkeit und/oder der Zeit des Datenimports.
Eine Appliance kann wie folgt bearbeitet werden:
Datenverwaltung > Risiko- & Expositionsquellen im Menü wählen.
In der Spalte Aktion auf
klicken und Appliance bearbeiten in der Drop-down-Liste wählen.Die erforderlichen Daten aktualisieren (siehe Kapitel 6.1.2).
Bemerkung
Beim Umbenennen einer Appliance müssen alle importierten Daten für die Appliance ebenfalls aktualisiert werden. Dies kann einige Zeit dauern. Es ist daher möglich, dass Filter für den neuen Appliance-Namen noch nicht funktionieren, obwohl der neue Name bereits auf der Seite Risiko- & Expositionsquellen angezeigt wird.
Auf Speichern klicken.
→ Die Daten der Appliance werden aktualisiert.
Tipp
Wenn der SSH-Schlüssel der Appliance geändert wurde, den Fingerprint in OPENVAS SECURITY INTELLIGENCE entfernen und auf Speichern klicken. Dadurch wird der Fingerprint des SSH-Schlüssels automatisch abgerufen, um ihn zu überprüfen und zu akzeptieren.
6.1.4.3 Eine Appliance löschen¶
Bemerkung
Beim Löschen einer Appliance aus OPENVAS SECURITY INTELLIGENCE werden alle von dieser Appliance importierten Daten dauerhaft entfernt.
Das Löschen einer Appliance kann in folgenden Fällen erforderlich sein:
Daten sollten nicht mehr importiert werden, beispielsweise Testdaten.
Eine Appliance existiert nicht mehr, beispielsweise wenn sie durch eine andere Appliance ersetzt wurde.
Datenverwaltung > Risiko- & Expositionsquellen im Menü wählen.
In der Spalte Aktion auf
klicken und Appliance löschen in der Drop-down-Liste wählen.→ Ein Warnhinweis wird angezeigt, mit der Aufforderung, den Löschvorgang zu bestätigen.
Abb. 6.5 Löschen einer Appliance¶
Auf Appliance löschen klicken.
→ Die Appliance und ihre importierten Daten werden aus OPENVAS SECURITY INTELLIGENCE gelöscht. Die Appliance wird nicht mehr in der Liste der Appliances angezeigt.
6.2 Daten analysieren¶
6.2.1 Das Dashboard nutzen¶
Das OPENVAS SECURITY INTELLIGENCE Dashboard bietet einen Überblick über die erkannten und importierten Assets und deren Schwachstellen.
6.2.1.1 Struktur des Dashboards¶
Abb. 6.6 Dashboard¶
Das Dashboard besteht aus den folgenden Diagrammen:
- Anzahl Assets
Gesamtzahl der importierten Assets.
- Top 10 der anfälligsten Assets
Hostnamen der zehn Assets mit der höchsten Anzahl an Schwachstellen mit dem Schwerergrad Kritisch. Durch Klicken auf einen Asset-Namen werden die Asset-Details geöffnet (siehe Kapitel 6.2.2.2.2).
Die Assets werden nach der Anzahl der kritischen Schwachstellen, dann nach der Anzahl der hohen Schwachstellen und schließlich nach der Anzahl der mittleren Schwachstellen sortiert.
Wenn ein Asset keinen Hostnamen hat, wird die IP-Adresse des Assets angezeigt.
- Schwachstellen-Trends
Gesamtzahl der Schwachstellen mit den Schweregraden Kritisch, Hoch und Mittel für die letzten 14 Tage.
Bemerkung
Es gibt verschiedene Gründe dafür, dass sich die Zahl der Schwachstellen im Laufe der Zeit ändert, zum Beispiel:
Schwachstellen wurden behoben.
Neue Assets mit Schwachstellen wurden aus vorhandenen Appliances importiert.
Neue Schwachstellen wurden aufgrund neuer Greenbone-Schwachstellentests entdeckt.
Daten wurden aus zusätzlichen Appliances importiert.
Appliances wurden aus OPENVAS SECURITY INTELLIGENCE entfernt.
- Top 10 der kritischen Schwachstellen
Namen der zehn Schwachstellen mit dem Schweregrad Kritisch, die am häufigsten auf Assets entdeckt wurden.
Durch Klicken auf die Anzahl der betroffenen Assets wird die Seite Betroffene Assets geöffnet (siehe Kapitel 6.2.4.1.3). Wenn das Dashboard gefiltert ist (siehe Kapitel 6.2.1.2), wird der Filter auf die Seite Betroffene Assets übertragen.
- Top 10 der hohen Schwachstellen
Namen der zehn Schwachstellen mit dem Schweregrad Hoch, die am häufigsten auf Assets entdeckt wurden.
Durch Klicken auf die Anzahl der betroffenen Assets wird die Seite Betroffene Assets geöffnet (siehe Kapitel 6.2.4.1.3). Wenn das Dashboard gefiltert ist (siehe Kapitel 6.2.1.2), wird der Filter auf die Seite Betroffene Assets übertragen.
- Top 10 der mittleren Schwachstellen
Namen der zehn Schwachstellen mit dem Schweregrad Mittel, die am häufigsten auf Assets entdeckt wurden.
Durch Klicken auf die Anzahl der betroffenen Assets wird die Seite Betroffene Assets geöffnet (siehe Kapitel 6.2.4.1.3). Wenn das Dashboard gefiltert ist (siehe Kapitel 6.2.1.2), wird der Filter auf die Seite Betroffene Assets übertragen.
6.2.1.2 Den Dashboard-Inhalt filtern¶
Das Dashboard kann wie in Kapitel 5.4 beschrieben gefiltert werden.
Wenn ein Filter hinzugefügt wird, ändern sich alle Diagramme automatisch entsprechend den Filterkriterien.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, zeigt das Dashboard 0 für das Diagramm Anzahl der Assets und Wir haben keine Schwachstellen gefunden. Bitte prüfen Sie Ihren Filter. für alle anderen Diagramme an.
Dies kann auch teilweise der Fall sein, beispielsweise wenn der Filter keine Assets mit kritischen, hohen oder mittleren Schwachstellen zurückgibt.
6.2.1.3 Berichte aus der Dashboard-Ansicht exportieren¶
Die Dashboard-Ansicht kann als PDF-Bericht exportiert werden. Es stehen zwei Berichtstypen zur Verfügung:
- Management-Zusammenfassung
Dieser Berichtstyp enthält für den ausgewählten Zeitraum und unter Berücksichtigung des aktuell angewandten Filters Folgendes:
Gesamtanzahl der Assets
Diagramm Schwachstellen-Trends
Top 10 der anfälligsten Assets-Balken
Listen der 10 wichtigsten kritischen, hohen und mittleren Schwachstellen
- Kritische Assets mit Schwachstellen-Details
Dieser Berichtstyp enthält für den ausgewählten Zeitraum und unter Berücksichtigung des aktuell angewandten Filters Folgendes:
Gesamtanzahl der Assets
Diagramm Schwachstellen-Trends
Top 10 der anfälligsten Assets-Balken
Listen der 10 wichtigsten kritischen, hohen und mittleren Schwachstellen
Für die ausgewählte Anzahl von Assets eine vollständige Liste der auf jedem Asset erkannten Schwachstellen. Die im Bericht enthaltenen Assets werden in absteigender Reihenfolge ihrer Kritikalität ausgewählt.
Ein Bericht kann wie folgt exportiert werden:
Auf Als Bericht exportieren klicken.
Abb. 6.7 Einen Bericht vom Dashboard exportieren¶
Gewünschten Berichtstyp aus der Drop-down-Liste Vorlage wählen.
Zeitraum, der im Bericht berücksichtigt werden soll, aus der Drop-down-Liste Zeitraum des Trends wählen.
Wenn der Berichtstyp Kritische Assets mit Schwachstellen-Details ausgewählt wurde, in der Drop-down-Liste Anzahl Assets die Anzahl der Assets wählen, für die Details zu Schwachstellen in den Bericht aufgenommen werden sollen.
Auf Exportieren klicken.
→ Der Bericht wird erstellt.
Bemerkung
Je nach Anzahl der Assets und des gewählten Zeitraums kann die Erstellung einige Zeit in Anspruch nehmen.
→ Es wird eine Druckvorschau der PDF-Datei geöffnet.
Die PDF-Datei speichern.
6.2.2 Assets verwalten¶
6.2.2.1 Assets erstellen¶
Assets werden während des Datenimports von einer verbundenen Appliance erstellt (siehe Kapitel 6.1.3).
Die folgenden Fälle sind möglich:
Ein Asset existiert bereits in OPENVAS SECURITY INTELLIGENCE
Wenn für eine Appliance bereits ein Asset vorhanden ist, werden die importierten Schwachstellendaten dem vorhandenen Asset zugeordnet und alle entsprechenden geänderten Daten aktualisiert, beispielsweise die IP-Adresse für Assets mit demselben Hostnamen und dynamischen IP-Adressen.
Ein Asset existiert noch nicht in OPENVAS SECURITY INTELLIGENCE
Wenn für eine Appliance noch kein Asset vorhanden ist, wird das Asset anhand des Hostnamens (erstes Kriterium, für Assets mit Hostnamen) oder der IP-Adresse (zweites Kriterium, für Assets ohne Hostnamen) erstellt.
Bemerkung
Es ist möglich, dass mehrere Assets mit demselben Hostnamen existieren. Die Appliance, die die Asset-Daten bereitstellt, wird beim Erstellen von Assets berücksichtigt, beispielsweise um Assets mit demselben Hostnamen in separaten Netzwerken zu unterstützen.
Assets, die seit mehr als 180 Tagen nicht aktualisiert wurden, d. h. für die keine neuen Daten importiert wurden, werden automatisch aus OPENVAS SECURITY INTELLIGENCE entfernt.
6.2.2.2 Assets ansehen¶
6.2.2.2.1 Die Gesamtliste der Assets ansehen¶
Alle vorhandenen Assets können durch Auswahl von Risiko & Exposition > Assets im Menü angezeigt werden (siehe Abb. 6.8).
Abb. 6.8 Seite Assets¶
Für alle Assets werden die folgenden Informationen angezeigt:
- Hostname
Name des Assets. Der Name wird als
angezeigt, wenn das Asset keinen Hostnamen hat.Durch Klicken auf den Hostnamen wird die Detailseite des Assets geöffnet (siehe Kapitel 6.2.2.2.2).
- IP-Adresse
IP-Adresse des Assets.
- Betriebssystem
Erkanntes Betriebssystem des Assets, zum Beispiel Windows 10 Enterprise 21H2 oder FreeBSD 12.2.
- Name der Appliance
Name, der für die Appliance angegeben wurde, als sie mit OPENVAS SECURITY INTELLIGENCE verbunden wurde (siehe Kapitel 6.1.2).
- Letzter Scan
Datum und Uhrzeit, zu der das Asset zuletzt gescannt wurde.
- Asset-ID
Interne Kennung, die ein Asset eindeutig identifiziert. Wenn Assets in verschiedenen Netzwerken denselben Hostnamen haben, kann die Asset-ID zur Unterscheidung der Assets verwendet werden.
- Kritikalität
Die Balken zeigen die Anzahl und Verteilung der Schwachstellen mit kritischem, hohem und mittlerem Schweregrad.
Durch Bewegen des Cursors über einen Balken wird die Anzahl der Schwachstellen für die entsprechende Schweregradklasse angezeigt.
Bei der Sortierung nach dieser Spalte werden die Assets nach der Anzahl der kritischen Schwachstellen, dann nach der Anzahl der hohen Schwachstellen und schließlich nach der Anzahl der mittleren Schwachstellen sortiert.
- Tags
Mit dem Asset verknüpfte Tags (siehe Kapitel 6.2.3).
Durch Klicken auf die Anzahl der zusätzlichen Tags, zum Beispiel
, werden alle Tags angezeigt (siehe Abb. 6.9).
Abb. 6.9 Anzeigen zusätzlicher Tags¶
Für alle Assets sind die folgenden Aktionen verfügbar:
6.2.2.2.2 Asset-Details ansehen¶
In der Gesamtliste der Assets (siehe Kapitel 6.2.2.2.1) auf den Hostnamen eines Assets klicken, um die Detailseite eines Assets anzuzeigen (siehe Abb. 6.10).
Abb. 6.10 Asset-Details¶
Es werden die folgenden Informationen angezeigt:
- Hostname
Name des Assets. Der Name ist leer, wenn das Asset keinen Hostnamen hat.
- IP-Adresse
IP-Adresse des Assets.
- Betriebssystem
Erkanntes Betriebssystem des Assets, zum Beispiel Windows 10 Enterprise 21H2 oder FreeBSD 12.2.
- Name der Appliance
Name, der für die Appliance angegeben wurde, als sie mit OPENVAS SECURITY INTELLIGENCE verbunden wurde (siehe Kapitel 6.1.2).
- Letzter Scan
Datum und Uhrzeit, zu der das Asset zuletzt gescannt wurde.
In einer Tabelle unterhalb werden alle für das Asset erkannten Schwachstellen angezeigt. Für alle Schwachstellen werden die folgenden Informationen angezeigt:
- Schweregrad
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.
CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.
CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.
Bemerkung
Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.
Die National Vulnerability Database (NVD) bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.
Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.
Zum Schweregrad gehören ein Schweregrad-Score, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine Schweregradklasse. Unabhängig von der CVSS-Version wird die Schweregradklasse anhand der folgenden Einstufung bestimmt:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Vorhandene Übersteuerungen werden zusammen mit den Scan-Ergebnissen aus der verbundenen Appliance importiert. Wenn für eine Schwachstelle eine Übersteuerung vorliegt, wird dies durch
neben dem Schweregrad angezeigt. Durch Bewegen des Cursors über den Schweregrad wird der ursprüngliche Schweregrad angezeigt.- EPSS-Score [%]
Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).
Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.
- EPSS Perzentil
Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.
- Schwachstellen-Name
Name der Schwachstelle.
Durch Klicken auf den Namen der Schwachstelle wird die Detailseite einer Schwachstelle geöffnet (siehe Kapitel 6.2.4.1.2).
- Port/Protokoll
Zum Entdecken der Schwachstelle auf dem Host genutzte Portnummer und genutzter Protokolltyp.
Durch Klicken auf die Anzahl der zusätzlichen Ports, zum Beispiel
, werden alle Ports angezeigt.- QdE
Kurz für „Quality der Erkennung“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.
Weitere Informationen befinden sich in Kapitel 6.2.4.4.
- Art der Lösung
Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:
Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.
Abschwächende Lösung: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.
Hersteller-Lösung: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.
NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.
Keine Anbieterlösung verfügbar: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.
Für alle Schwachstellen sind die folgenden Aktionen verfügbar:
Details zur Schwachstelle als Overlay anzeigen (siehe Kapitel 6.2.4.1.2).
6.2.2.3 Assets filtern¶
Sowohl die Gesamtliste der Assets als auch die Detailseite eines Assets können wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der Assets Keine Daten verfügbar. Bitte prüfen Sie Ihren Filter. angezeigt.
6.2.2.4 Assets exportieren¶
6.2.2.4.1 Eine Liste von Assets exportieren¶
Die Liste der Assets (siehe Kapitel 6.2.2.2.1) kann als CSV-Datei exportiert werden. Wenn die Asset-Liste gefiltert ist, werden nur die gefilterten Assets exportiert.
Bemerkung
Wenn keine Daten importiert werden oder der Filter keine Ergebnisse liefert, ist die Exportfunktion deaktiviert. Es müssen Daten von verbundenen Appliances importiert werden (siehe Kapitel 6.1.3) oder der Filter muss angepasst werden (siehe Kapitel 5.4).
Eine Liste von Assets kann wie folgt exportiert werden:
Risiko & Exposition > Assets im Menü wählen.
Assets so filtern, dass alle angezeigt werden, die exportiert werden sollen (siehe Kapitel 6.2.2.3).
Auf Exportieren klicken und Exportieren aus der Drop-down-Liste wählen.
→ Die Liste der Assets wird exportiert.
Bemerkung
Der Dateiname besteht aus dem statischen Text
asset_list, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel:asset_list_unfiltered_2025-04-10.csvDie CSV-Datei enthält für jedes Asset die folgenden Informationen:
Hostname
IP-Adresse
Betriebssystem
Name der Appliance
Letzter Scan
Asset-ID
6.2.2.4.2 Eine Liste von Assets mit all ihren Schwachstellen exportieren¶
Die Liste der Assets (siehe Kapitel 6.2.2.2.1) mit Details zu all ihren Schwachstellen kann als CSV-Datei exportiert werden. Wenn die Asset-Liste gefiltert ist, werden nur die gefilterten Assets exportiert.
Bemerkung
Wenn keine Daten importiert werden oder der Filter keine Ergebnisse liefert, ist die Exportfunktion deaktiviert. Es müssen Daten von verbundenen Appliances importiert werden (siehe Kapitel 6.1.3) oder der Filter muss angepasst werden (siehe Kapitel 5.4).
Eine Liste von Assets mit all ihren Schwachstellen kann wie folgt exportiert werden:
Risiko & Exposition > Assets im Menü wählen.
Assets so filtern, dass alle angezeigt werden, die exportiert werden sollen (siehe Kapitel 6.2.2.3).
Auf Exportieren klicken und Daten mit Details exportieren aus der Drop-down-Liste wählen.
→ Die Liste der Assets wird exportiert.
Bemerkung
Der Dateiname besteht aus dem statischen Text
assets_with_vulnerabilities, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel:assets_with_vulnerabilities_unfiltered_2025-04-10.csvDie CSV-Datei enthält für jedes Asset die folgenden Informationen:
Hostname
IP-Adresse
Betriebssystem
Name der Appliance
Letzter Scan
Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)
EPSS-Score
EPSS Perzentil
Schwachstellen-Name
Art der Lösung
Lösung
QdE
Zusammenfassung
Auswirkungen
Betroffene Software/Betriebssystem
Spezifisches Ergebnis
CVE-Referenzen
CERT-Referenzen
6.2.2.4.3 Asset-Details exportieren¶
Die Details eines bestimmten Assets (siehe Kapitel 6.2.2.2.2) können als CSV-Datei exportiert werden. Die exportierte Datei enthält eine Liste der für das Asset erkannten Schwachstellen. Wenn die Schwachstellenliste gefiltert ist, werden nur die gefilterten Schwachstellen exportiert.
Die Asset-Details können wie folgt exportiert werden:
Risiko & Exposition > Assets im Menü wählen.
Auf den Hostnamen eines Assets klicken, um die Asset-Details anzuzeigen.
Auf Exportieren klicken.
→ Die Asset-Details werden exportiert.
Bemerkung
Der Dateiname besteht aus dem Hostnamen des Assets (oder der IP-Adresse, falls das Asset keinen Hostnamen hat), der Angabe, ob die Liste gefiltert (
filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel:server12_unfiltered_2025-04-10.csvDie CSV-Datei enthält die folgenden Informationen:
Hostname
IP-Adresse
Betriebssystem
Name der Appliance
Letzter Scan
Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)
Schwachstellen-Name
Port/Protokoll
Art der Lösung
Lösung
QdE
Zusammenfassung
Auswirkungen
Betroffene Software/Betriebssystem
CVE-Referenzen
CERT-Referenzen
Bemerkung
Hostname, IP-Adresse, Betriebssystem, Appliance-Name und letzter Scan sind für alle Schwachstellen identisch, da sie alle für dasselbe Asset erkannt wurden. So kann referenziert werden, für welches Asset die Schwachstellen exportiert wurden.
6.2.2.5 Assets löschen¶
Bemerkung
Neben der manuellen Löschung von Assets können diese auch automatisch entfernt werden, wenn keine neuen Daten für sie importiert wurden (siehe Kapitel 5.5).
Assets können wie folgt manuell gelöscht werden:
Risiko & Exposition > Assets im Menü wählen.
In der Spalte Aktion auf
klicken.→ Ein Warnhinweis wird angezeigt, mit der Aufforderung, den Löschvorgang zu bestätigen.
Bemerkung
Das Asset und alle zugehörigen Daten werden entfernt.
Wenn das Asset in zukünftigen Scans auf der Appliance enthalten ist, wird es beim nächsten Import von der Appliance erneut in OPENVAS SECURITY INTELLIGENCE importiert.
Abb. 6.11 Bestätigen der Löschung¶
Auf Asset löschen klicken.
→ Das Asset wird aus OPENVAS SECURITY INTELLIGENCE entfernt.
Bemerkung
Da alle zugehörigen Daten ebenfalls gelöscht werden, kann das Löschen eines Assets einige Zeit dauern.
6.2.4 Schwachstellen verwalten¶
Bemerkung
Schwachstellen mit den Schweregraden Log und Falsch-Positiv auf der Appliance werden nicht in OPENVAS SECURITY INTELLIGENCE angezeigt.
6.2.4.1 Schwachstellen ansehen¶
6.2.4.1.1 Die Gesamtliste der Schwachstellen ansehen¶
Alle vorhandenen Schwachstellen können durch Auswahl von Risiko & Exposition > Schwachstellen im Menü angezeigt werden (siehe Abb. 6.16).
Abb. 6.16 Seite Schwachstellen¶
Für alle Schwachstellen werden die folgenden Informationen angezeigt:
- Schweregrad
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.
CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.
CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.
Bemerkung
Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.
Die National Vulnerability Database (NVD) bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.
Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.
Zum Schweregrad gehören ein Schweregrad-Score, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine Schweregradklasse. Unabhängig von der CVSS-Version wird die Schweregradklasse anhand der folgenden Einstufung bestimmt:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Vorhandene Übersteuerungen werden zusammen mit den Scan-Ergebnissen aus der verbundenen Appliance importiert. Wenn für eine Schwachstelle eine Übersteuerung vorliegt, wird dies durch
neben dem Schweregrad angezeigt. Durch Bewegen des Cursors über den Schweregrad wird der ursprüngliche Schweregrad angezeigt.- EPSS-Score [%]
Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).
Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.
- EPSS Perzentil
Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.
- Schwachstellen-Name
Beschreibender Name der Schwachstelle.
Durch Klicken auf den Schwachstellen-Namen wird die Detailseite der Schwachstelle geöffnet (siehe Kapitel 6.2.4.1.2).
- QdE
Kurz für „Quality der Erkennung“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.
Weitere Informationen befinden sich in Kapitel 6.2.4.4.
- Betroffene Assets
Anzahl der Assets, bei denen diese Schwachstelle erkannt wurde.
Durch Klicken auf die Anzahl der betroffenen Assets wird die Seite Betroffene Assets geöffnet (siehe Kapitel 6.2.4.1.3).
- Art der Lösung
Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:
Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.
Abschwächende Lösung: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.
Hersteller-Lösung: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.
NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.
Keine Anbieterlösung verfügbar: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.
6.2.4.1.2 Schwachstellen-Details ansehen¶
In der Gesamtliste der Schwachstellen (siehe Kapitel 6.2.4.1.1) auf den Namen einer Schwachstelle klicken, um die Detailseite einer Schwachstelle anzuzeigen (siehe Abb. 6.17).
Abb. 6.17 Schwachstellen-Details¶
Es werden die folgenden Informationen angezeigt:
- Name (wird oben unter der Überschrift Schwachstellen-Details angezeigt)
Beschreibender Name der Schwachstelle.
- Schweregrad (dargestellt als grafisches Element)
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.
CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.
CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.
Bemerkung
Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.
Die National Vulnerability Database (NVD) bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.
Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.
Zum Schweregrad gehören ein Schweregrad-Score, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine Schweregradklasse. Unabhängig von der CVSS-Version wird die Schweregradklasse anhand der folgenden Einstufung bestimmt:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Vorhandene Übersteuerungen werden zusammen mit den Scan-Ergebnissen aus der verbundenen Appliance importiert. Wenn für eine Schwachstelle eine Übersteuerung vorliegt, wird der neue Schweregrad im grafischen Element angezeigt. Der ursprüngliche Schweregrad wird durch
gekennzeichnet. Durch Bewegen des Cursors über
wird der ursprüngliche Schweregrad angezeigt.- Art der Lösung
Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:
Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.
Abschwächende Lösung: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.
Hersteller-Lösung: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.
NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.
Keine Anbieterlösung verfügbar: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.
- Lösung
Beschreibung, wie die Schwachstelle behoben werden kann.
- Schwachstellen-Überblick
Einzelheiten über die Ursache der Schwachstelle.
Diese Informationen sind nicht für alle Schwachstellen verfügbar.
- Zusammenfassung
Weitere Details zur Schwachstelle.
- Auswirkungen
Mögliche Folgen, wenn die Schwachstelle ausgenutzt wird, z. B. die Ausführung von Remote-Code.
Diese Informationen sind nicht für alle Schwachstellen verfügbar.
- Betroffene Software/Betriebssystem
Produkte, einschließlich Version und Betriebssystem, die von der Schwachstelle betroffen sind.
Diese Informationen sind nicht für alle Schwachstellen verfügbar.
- Link zu betroffenen Assets
Link zu einer Übersicht der Assets, bei denen diese Schwachstelle entdeckt wurde (siehe Kapitel 6.2.4.1.3).
- Meta-Daten
- Familie
Gruppe von Schwachstellentests, zu der der Test gehört, der die Schwachstelle entdeckt hat.
- Qualität der Erkennung
Abgekürzt als „QdE“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.
Weitere Informationen befinden sich in Kapitel 6.2.4.4.
- EPSS-Score [%]
Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).
Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.
- EPSS Perzentil
Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.
- CVE-Referenzen
CVE-Referenzen (Common Vulnerabilities and Exposure) für die Schwachstelle.
CVE wurde von MITRE gegründet, um die mehrfache Benennung der gleichen Schwachstelle durch verschiedene Organisationen zu vermeiden und eine einheitliche Namenskonvention zu gewährleisten. Jeder Schwachstelle wird von MITRE oder einer anderen CVE-Nummerierungsbehörde, wie z. B. Produktanbietern, Drittanbietern oder Forschern, eine eindeutige Kennung zugewiesen. Diese Kennung besteht aus dem Jahr der Veröffentlichung und einer einfachen Nummer und dient als zentrale Referenz.
CVEs werden vom National Institute of Standards and Technology (NIST) in der National Vulnerability Database (NVD) veröffentlicht und zugänglich gemacht. Die NVD ergänzt die CVEs mit Informationen über die Beseitigung, den Schweregrad, die potenziellen Auswirkungen und die betroffenen Produkte.
Die Schwachstelle kann keine CVE-Referenzen, eine CVE-Referenz oder mehrere CVE-Referenzen haben.
Durch Klicken auf eine Referenz wird das Greenbone-SecInfo-Portal in einem separaten Browser-Tab geöffnet. Auf Als Gast anmelden klicken, um die CVE-Details anzuzeigen.
- Andere Referenzen
Alle weiteren verfügbaren Referenzen, beispielsweise weitere Details vom Softwarehersteller. Die Schwachstelle kann keine weiteren Referenzen, eine weitere Referenz oder mehrere weitere Referenzen haben.
Links werden in separaten Browser-Tabs geöffnet.
6.2.4.1.3 Betroffene Assets ansehen¶
In der Gesamtliste der Schwachstellen (siehe Kapitel 6.2.4.1.1) auf die Anzahl der betroffenen Assets klicken, um alle Assets anzuzeigen, für die diese Schwachstelle erkannt wurde (siehe Abb. 6.18).
Abb. 6.18 Von einer Schwachstelle betroffene Assets¶
Bemerkung
Die Filterleiste auf dieser Seite bietet eine schreibgeschützte Ansicht. So kann überprüft werden, ob die Liste der angezeigten Assets vollständig ist.
Sie ist vollständig, wenn kein Filter verwendet wird oder wenn ein Filter mit nur Schwachstellen-Attributen verwendet wird. Sie kann unvollständig sein, wenn ein Filter mit mindestens einem Asset-Attribut verwendet wird.
Für die Schwachstelle werden die folgenden Informationen angezeigt:
- Schwachstellen-Name (wird nach dem statischen Text Assets betroffen von in der Überschrift der Seite angezeigt)
Beschreibender Name der Schwachstelle.
- Art der Lösung
Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:
Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.
Abschwächende Lösung: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.
Hersteller-Lösung: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.
NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.
Keine Anbieterlösung verfügbar: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.
- Lösung
Beschreibung, wie die Schwachstelle behoben werden kann.
- Schweregrad (dargestellt als grafisches Element auf der rechten Seite)
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.
CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.
CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.
Bemerkung
Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.
Die National Vulnerability Database (NVD) bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.
Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.
Zum Schweregrad gehören ein Schweregrad-Score, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine Schweregradklasse. Unabhängig von der CVSS-Version wird die Schweregradklasse anhand der folgenden Einstufung bestimmt:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Vorhandene Übersteuerungen werden zusammen mit den Scan-Ergebnissen aus der verbundenen Appliance importiert. Wenn für eine Schwachstelle eine Übersteuerung vorliegt, wird der neue Schweregrad im grafischen Element angezeigt. Der ursprüngliche Schweregrad wird durch
gekennzeichnet. Durch Bewegen des Cursors über
wird der ursprüngliche Schweregrad angezeigt.
Durch Klicken auf
auf der rechten Seite werden die folgenden zusätzlichen Informationen angezeigt:
- Schwachstellen-Überblick
Einzelheiten über die Ursache der Schwachstelle.
Diese Informationen sind nicht für alle Schwachstellen verfügbar.
- Zusammenfassung
Weitere Details zur Schwachstelle.
- Auswirkungen
Mögliche Folgen, wenn die Schwachstelle ausgenutzt wird, z. B. die Ausführung von Remote-Code.
Diese Informationen sind nicht für alle Schwachstellen verfügbar.
- Betroffene Software/Betriebssystem
Produkte, einschließlich Version und Betriebssystem, die von der Schwachstelle betroffen sind.
Diese Informationen sind nicht für alle Schwachstellen verfügbar.
- Meta-Daten
- Familie
Gruppe von Schwachstellentests, zu der der Test gehört, der die Schwachstelle entdeckt hat.
- Qualität der Erkennung
Abgekürzt als „QdE“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.
Weitere Informationen befinden sich in Kapitel 6.2.4.4.
- EPSS-Score [%]
Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).
Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.
- EPSS Perzentil
Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.
Für alle von der Schwachstelle betroffenen Assets werden folgende Informationen angezeigt:
- Hostname
Name des Assets. Der Name ist leer, wenn das Asset keinen Hostnamen hat.
Durch Klicken auf den Hostnamen wird die Detailseite des Assets geöffnet (siehe Kapitel 6.2.2.2.2).
- IP-Adresse
IP-Adresse des Assets.
- Port/Protokoll
Zum Entdecken der Schwachstelle auf dem Host genutzte Portnummer und genutzter Protokolltyp.
Durch Klicken auf die Anzahl der zusätzlichen Ports, zum Beispiel
, werden alle Ports angezeigt.- Betriebssystem
Erkanntes Betriebssystem des Assets, zum Beispiel Windows 10 Enterprise 21H2 oder FreeBSD 12.2.
- Name der Appliance
Name, der für die Appliance angegeben wurde, als sie mit OPENVAS SECURITY INTELLIGENCE verbunden wurde (siehe Kapitel 6.1.2).
- Letzter Scan
Datum und Uhrzeit, zu der das Asset zuletzt gescannt wurde.
6.2.4.2 Schwachstellen filtern¶
Die Gesamtliste der Schwachstellen kann wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der Schwachstellen Keine Daten verfügbar. Bitte prüfen Sie Ihren Filter. angezeigt.
6.2.4.3 Schwachstellen exportieren¶
6.2.4.3.1 Eine Liste von Schwachstellen exportieren¶
Die Liste der Schwachstellen (siehe Kapitel 6.2.4.1.1) kann als CSV-Datei exportiert werden. Wenn die Schwachstellen-Liste gefiltert ist, werden nur die gefilterten Schwachstellen exportiert.
Bemerkung
Wenn keine Daten importiert werden oder der Filter keine Ergebnisse liefert, ist die Exportfunktion deaktiviert. Es müssen Daten von verbundenen Appliances importiert werden (siehe Kapitel 6.1.3) oder der Filter muss angepasst werden (siehe Kapitel 5.4).
Eine Liste von Schwachstellen kann wie folgt exportiert werden:
Risiko & Exposition > Schwachstellen im Menü wählen.
Schwachstellen so filtern, dass alle angezeigt werden, die exportiert werden sollen (siehe Kapitel 6.2.4.2).
Auf Exportieren klicken und Exportieren aus der Drop-down-Liste wählen.
→ Die Liste der Schwachstellen wird exportiert.
Bemerkung
Der Dateiname besteht aus dem statischen Text
vulnerability_list, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel:vulnerability_list_unfiltered_2025-04-10.csvDie CSV-Datei enthält für jede Schwachstelle die folgenden Informationen:
Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)
EPSS-Score
EPSS Perzentil
Schwachstellen-Name
QdE
Zusammenfassung
Anzahl Assets
Art der Lösung
6.2.4.3.2 Eine Liste von Schwachstellen mit all ihren betroffenen Assets exportieren¶
Die Liste der Schwachstellen (siehe Kapitel 6.2.4.1.1) mit Details zu all ihren betroffenen Assets kann als CSV-Datei exportiert werden. Wenn die Schwachstellen-Liste gefiltert ist, werden nur die gefilterten Schwachstellen exportiert.
Bemerkung
Wenn keine Daten importiert werden oder der Filter keine Ergebnisse liefert, ist die Exportfunktion deaktiviert. Es müssen Daten von verbundenen Appliances importiert werden (siehe Kapitel 6.1.3) oder der Filter muss angepasst werden (siehe Kapitel 5.4).
Eine Liste von Schwachstellen mit all ihren betroffenen Assets kann wie folgt exportiert werden:
Risiko & Exposition > Schwachstellen im Menü wählen.
Schwachstellen so filtern, dass alle angezeigt werden, die exportiert werden sollen (siehe Kapitel 6.2.4.2).
Auf Exportieren klicken und Daten mit Details exportieren aus der Drop-down-Liste wählen.
→ Die Liste der Schwachstellen wird exportiert.
Bemerkung
Der Dateiname besteht aus dem statischen Text
vulnerabilities_with_affected_assets, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel:vulnerabilities_with_affected_assets_unfiltered_2025-04-10.csvDie CSV-Datei enthält für jede Schwachstelle die folgenden Informationen:
Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)
EPSS-Score
EPSS Perzentil
Schwachstellen-Name
Art der Lösung
Lösung
QdE
Zusammenfassung
Auswirkungen
Betroffene Software/Betriebssystem
Spezifisches Ergebnis
CVE-Referenzen
CERT-Referenzen
Port/Protokoll
Hostname
IP-Adresse
Betriebssystem
Name der Appliance
Letzter Scan
6.2.4.3.3 Eine Liste von betroffenen Assets exportieren¶
Die Liste der von einer bestimmten Schwachstelle betroffenen Assets (siehe Kapitel 6.2.4.1.3) kann als CSV-Datei exportiert werden. Wenn die Liste der betroffenen Assets nach einem Asset-Attribut gefiltert ist (siehe Kapitel 5.4.3, Tab Assets (Gesamtliste)), werden nur die betroffenen Assets exportiert, die dem Filter entsprechen.
Die Liste der betroffenen Assets kann wie folgt exportiert werden:
Risiko & Exposition > Schwachstellen im Menü wählen.
Auf die Anzahl der Assets in der Spalte Betroffene Assets klicken.
Auf Exportieren klicken.
→ Die Liste der betroffenen Assets wird exportiert.
Bemerkung
Der Dateiname besteht aus dem Namen der Schwachstelle, dem statischen Text
affected_assets, der Angabe, ob die Liste gefiltert (filtered) oder ungefiltert (unfiltered) ist, und dem Exportdatum im Format JJJJ-MM-TT. Beispiel:operating_system__os__end_of_life__eol__detection_affected_assets_filtered_2025-04-10.csvDie CSV-Datei enthält die folgenden Informationen:
Schweregrad (bei Übersteuerungen wird in der CSV-Datei nur der neue Schweregrad angezeigt, ohne den übersteuerten Schweregrad anzugeben)
Schwachstellen-Name
Art der Lösung
Lösung
QdE
Zusammenfassung
Auswirkungen
Betroffene Software/Betriebssystem
CVE-Referenzen
CERT-Referenzen
Port/Protokoll
Hostname
IP-Adresse
Betriebssystem
Name der Appliance
Letzter Scan
Bemerkung
Schweregrad, Name der Schwachstelle, Art der Lösung, Lösung, QdE, Zusammenfassung, Auswirkungen, betroffene Software/Betriebssystem, CVE-Referenzen und CERT-Referenzen sind für alle Assets identisch, da sie alle von derselben Schwachstelle betroffen sind. So kann referenziert werden, von welcher Schwachstelle die Assets betroffen sind.
6.2.4.4 Konzept der Qualität der Erkennung¶
Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 und 100 und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung.
Obwohl der QdE-Bereich es erlaubt, die Qualität detailgenau darzustellen, nutzen die meisten Prüfroutinen eine Standardmethodik. Deshalb werden den QdE-Werten QdE-Typen zugewiesen. Die aktuelle Typenliste wird möglicherweise mit der Zeit erweitert.
Bemerkung
Die QdE eines „Erkennungs“-Ergebnisses ist höher als die eines tatsächlichen „Schwachstellen“-Ergebnisses, da sie die Qualität der Produkterkennung selbst widerspiegelt – die zuverlässig ist – und nicht die Qualität der zugehörigen Schwachstellentests, die aus verschiedenen Gründen unzuverlässig sein können (siehe Tabelle).
Es wird immer die niedrigste QdE verwendet, die zutreffen kann, beispielsweise bei mehreren Erkennungsmethoden (remote oder lokal/authentifiziert).
QdE |
QdE-Typ |
Beschreibung |
|---|---|---|
100 |
exploit |
Die Erkennung erfolgte durch die Ausnutzung einer Sicherheitslücke und ist daher vollständig bestätigt. |
99 |
remote_vul |
Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der Schwachstelle zeigt. |
98 |
remote_app |
Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der gefährdeten Anwendung zeigt. |
97 |
package |
Authentifizierte paketbasierte Prüfungen für z. B. Linux(oide) Systeme. |
97 |
registry |
Authentifizierte Prüfungen auf Basis der Registry von Microsoft Windows. |
95 |
remote_active |
Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort das wahrscheinliche Vorhandensein der gefährdeten Anwendung oder der Schwachstelle zeigt. „Wahrscheinlich“ bedeutet, dass die Erkennung nur in seltenen Fällen inkorrekt ist. |
80 |
remote_banner |
Prüfung von Anwendungsbannern auf dem Zielsystem, die den Patch-Status als Information anbieten. Zum Beispiel ist dies für viele proprietäre Produkte der Fall. |
80 |
executable_version |
Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) und Microsoft-Windows-Systeme, bei denen Anwendungen den Patch-Status in der Version anbieten. |
75 |
Wenn Ergebnisse ohne QdE-Informationen verarbeitet werden, erhalten sie diesen Wert. |
|
70 |
remote_analysis |
Prüfungen auf dem Zielsystem, die einige Analysen durchführen, jedoch je nach Umgebungsbedingungen nicht immer vollständig zuverlässig sind. |
50 |
remote_probe |
Prüfung auf dem Zielsystem, bei welcher zwischenliegende Systeme wie Firewalls die korrekte Erkennung vortäuschen können, sodass nicht eindeutig ist, ob die Anwendung selbst geantwortet hat. Zum Beispiel kann dies für Verbindungen ohne TLS geschehen. |
30 |
remote_banner_unreliable |
Prüfung von Anwendungsbannern des Zielsystems, die den Patch-Status nicht als Information anbieten. Zum Beispiel ist dies für viele Open-Source-Produkte aufgrund von Backport-Patches der Fall. |
30 |
executable_version_unreliable |
Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) Systeme, bei denen Anwendungen den Patch-Status nicht in der Version anbieten. |
30 |
package_unreliable |
Authentifizierte paketbasierte Prüfungen, die nicht immer vollständig zuverlässig sind, für z. B. Linux(oide) Systeme. |
1 |
general_note |
Allgemeine Notiz zu einer potenziellen Schwachstelle ohne konkrete Erkennung einer vorhandenen Anwendung. |







