8 Sicherheitsinformationen anzeigen und analysieren¶
8.1 CVE verwalten¶
Um die mehrfache Benennung derselben Schwachstelle durch verschiedene Organisationen zu vermeiden und eine einheitliche Namenskonvention zu gewährleisten, gründete MITRE das Projekt Common Vulnerabilities and Exposure (CVE). Jeder Schwachstelle wird von MITRE oder einer anderen CVE-Nummerierungsbehörde, wie z. B. Produktanbietern, Drittanbietern oder Forschern, eine eindeutige Kennung zugewiesen. Diese Kennung besteht aus dem Jahr der Veröffentlichung und einer einfachen Nummer und dient als zentrale Referenz.
CVEs werden vom National Institute of Standards and Technology (NIST) in der National Vulnerability Database (NVD) veröffentlicht und zugänglich gemacht. Die NVD ergänzt die CVEs mit Informationen über die Beseitigung, den Schweregrad, die potenziellen Auswirkungen und die betroffenen Produkte.
8.1.1 CVE ansehen¶
Bemerkung
Die Verfügbarkeit einer CVE in OPENVAS SECURITY INTELLIGENCE hängt von ihrer Verfügbarkeit in der NVD ab. Sobald sie dort veröffentlicht wurde, dauert es 1–2 Arbeitstage, bis sie in OPENVAS SECURITY INTELLIGENCE angezeigt wird.
8.1.1.1 Die Gesamtliste der CVE ansehen¶
Alle vorhandenen CVEs können durch Auswahl von Schwachstellen-Datenbank > CVE-Datenbank im Menü angezeigt werden.
Bemerkung
Aus Performancegründen werden nur die ersten 10.000 Elemente angezeigt. Mithilfe von Filtern können die angezeigten CVE eingegrenzt werden (siehe Kapitel 8.1.2).
Abb. 8.1 Seite CVE-Datenbank¶
Für alle CVE werden die folgenden Informationen angezeigt:
- Name
Eindeutige Kennung der CVE, bestehend aus dem Erscheinungsjahr und einer einfachen Zahl.
Durch Klicken auf den Namen wird die Detailseite der CVE geöffnet (siehe Kapitel 8.1.1.2).
- Beschreibung
Erweiterte Informationen über die CVE. Dies kann beinhalten, in welchen Versionen die Schwachstelle auftritt, wie sie verursacht wird und wie sie von Angreifern ausgenutzt werden kann.
- Schweregrad
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). Dazu gehören ein Schweregrad, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine auf dem Wert basierende Schweregradklasse:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Das Label
kann aus einem der folgenden Gründe angezeigt werden:Die CVE wurde veröffentlicht, aber es wurde von der NVD noch keine Schwachstellenanalyse/Schweregradbewertung vorgenommen. Dies kann von einigen Tagen bis zu einigen Wochen dauern. Die Spalte Status zeigt den aktuellen Status der CVE in der NVD an.
Zwischen der Schwachstellenanalyse/Schweregradbewertung und der Anzeige der aktualisierten Informationen in OPENVAS SECURITY INTELLIGENCE liegt immer eine Verzögerung von 1–2 Arbeitstagen.
- Veröffentlicht
Datum und Uhrzeit der Veröffentlichung der CVE in der NVD.
- Aktualisiert
Datum und Uhrzeit der letzten Änderung der CVE in der NVD.
- Status
Schwachstellenstatus gemäß https://nvd.nist.gov/vuln/vulnerability-status.
Received: Die CVE wurde kürzlich veröffentlicht und ist in der NVD eingegangen.
Awaiting Analysis: Die CVE wurde zur Analyse markiert und wird wahrscheinlich innerhalb von 24 Stunden analysiert werden.
Undergoing Analysis: Die CVE wird derzeit analysiert, was zur Verknüpfung von Referenzlink-Tags, CVSS-Metriken, CWE-Verknüpfung und Aussagen zur CPE-Anwendbarkeit führen wird.
Analyzed: Die CVE wurde analysiert.
Modified: Die CVE wurde von einer Quelle (CVE Primary CNA oder einer anderen CNA) geändert. Die ursprüngliche Analyse ist möglicherweise nicht mehr korrekt.
Deferred: Es ist nicht geplant, die CVE aufgrund von Ressourcen- oder anderen Bedenken durch die NVD (erneut) zu analysieren.
Bemerkung
CVEs, die in der NVD als
Rejectedmarkiert sind, sind in OPENVAS SECURITY INTELLIGENCE nicht verfügbar.
8.1.1.2 CVE-Details ansehen¶
In der Gesamtliste der CVE (siehe Kapitel 8.1.1.1) auf den Namen einer CVE klicken, um die CVE-Details anzuzeigen.
Abb. 8.2 Details einer CVE¶
Es werden die folgenden Informationen angezeigt:
- Schweregrad (dargestellt als grafisches Element)
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). Dazu gehören ein Schweregrad, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine auf dem Wert basierende Schweregradklasse:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
- Name
Eindeutige Kennung der CVE, bestehend aus dem Erscheinungsjahr und einer einfachen Zahl.
- Aliases
Eindeutige Kennung der Schwachstelle in der European Union Vulnerability Database (EUVD), bestehend aus dem Erscheinungsjahr und einer einfachen Zahl.
- Veröffentlicht
Datum und Uhrzeit der Veröffentlichung der CVE in der NVD.
- Zuletzt aktualisiert
Datum und Uhrzeit der letzten Änderung der CVE in der NVD.
- Status
Schwachstellenstatus gemäß https://nvd.nist.gov/vuln/vulnerability-status.
Received: Die CVE wurde kürzlich veröffentlicht und ist in der NVD eingegangen.
Awaiting Analysis: Die CVE wurde zur Analyse markiert und wird wahrscheinlich innerhalb von 24 Stunden analysiert werden.
Undergoing Analysis: Die CVE wird derzeit analysiert, was zur Verknüpfung von Referenzlink-Tags, CVSS-Metriken, CWE-Verknüpfung und Aussagen zur CPE-Anwendbarkeit führen wird.
Analyzed: Die CVE wurde analysiert.
Modified: Die CVE wurde von einer Quelle (CVE Primary CNA oder einer anderen CNA) geändert. Die ursprüngliche Analyse ist möglicherweise nicht mehr korrekt.
Deferred: Es ist nicht geplant, die CVE aufgrund von Ressourcen- oder anderen Bedenken durch die NVD (erneut) zu analysieren.
Bemerkung
CVEs, die in der NVD als
Rejectedmarkiert sind, sind in OPENVAS SECURITY INTELLIGENCE nicht verfügbar.- Beschreibung
Erweiterte Informationen über die CVE. Dies kann beinhalten, in welchen Versionen die Schwachstelle auftritt, wie sie verursacht wird und wie sie von Angreifern ausgenutzt werden kann.
- Greenbone Severity Vector, Greenbone Severity Score, Greenbone Severity Class, Greenbone Severity Origin
Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.
CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.
CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.
Bemerkung
Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.
Die NVD bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.
Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.
Der Greenbone Severity Score ist ein numerischer Score von 0,0 bis 10,0, der den Schweregrad einer Schwachstelle gemäß CVSS beschreibt, wobei 10,0 der höchste Schweregrad ist.
Der Greenbone Severity Vector ist der Schweregrad in Form eines CVSS-Vektors, einer komprimierten Textdarstellung der Werte, die zur Berechnung des Werts verwendet werden.
Die Greenbone Severity Class ist die auf dem Schweregrad basierende Klassifizierung:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Der Greenbone Severity Origin ist der Ursprung der Schweregrad-Metriken der neuesten verfügbaren CVSS-Version.
- EPSS Score [%]
Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).
Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.
- EPSS Perzentil
Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.
- Wird ausgenutzt
Informationen darüber, ob die Schwachstelle ausgenutzt wird.
CVEs werden als ausgenutzt markiert, wenn sie im Known Exploited Vulnerabilities (KEV) Catalog, gepflegt von CISA, aufgeführt sind.
- Betroffene Softwarekonfigurationen
Informationen über CPE von Produkten, die von der Schwachstellen betroffen sind, falls verfügbar, einschließlich der anfälligen Versionen.
Für jedes betroffene Produkt gibt es ein eigenes Nodes-Objekt.
- Metriken für den Schweregrad
Informationen zu den Metriken, die zur Berechnung von Schweregrad-Score, -vektor und -klasse gemäß dem Common Vulnerability Scoring System (CVSS) verwendet werden.
Bemerkung
Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.
- Referenzen
Referenzen für die CVE, z. B. Sicherheitshinweise, die die Schwachstelle enthalten, oder Herstellerinformationen.
- Schwächen
Kategorie, zu der die CVE in der Common Weakness Enumeration (CWE) gehört.
CWE definiert und kategorisiert Arten von Software- und Hardwareschwächen, die zu Sicherheitslücken führen können. Jede Schwäche wird durch eine eindeutige Kennung spezifiziert.
8.1.2 CVE filtern¶
Die Liste der CVE kann wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der CVE Keine Daten verfügbar angezeigt.
8.2 CSAF-Dokumente verwalten¶
Das Common Security Advisory Framework (CSAF) ist ein standardisiertes, maschinenlesbares Framework für die Verteilung von Sicherheitsdokumenten.
CSAF-Dokumente werden z. B. von Software- und Hardware-Anbietern, Regierungen und unabhängigen Forschern zur Verfügung gestellt und enthalten Informationen über Sicherheitslücken. Die Nutzer von CSAF-Dokumenten können so Sicherheitsinformationen von einer dezentralen Gruppe von Anbietern sammeln und die Risikobewertung mit zuverlässigeren Informationen und weniger Ressourcen automatisieren.
Zugangsbeschränkte CSAF-Quellen, aus denen CSAF-Dokumente abgerufen werden können, können zu OPENVAS SECURITY INTELLIGENCE hinzugefügt werden (siehe Kapitel 8.7).
8.2.1 CSAF-Dokumente ansehen¶
8.2.1.1 Die Gesamtliste der CSAF-Dokumente ansehen¶
Alle vorhandenen CSAF-Dokumente können durch Auswahl von Schwachstellen-Datenbank > CSAF-Sicherheitsmeldungen im Menü angezeigt werden.
Bemerkung
Aus Performancegründen werden nur die ersten 10.000 Elemente angezeigt. Mithilfe von Filtern können die angezeigten CSAF-Dokumente eingegrenzt werden (siehe Kapitel 8.2.2).
Abb. 8.3 Seite CSAF-Sicherheitsmeldungen¶
Für alle CSAF-Dokumente werden die folgenden Informationen angezeigt:
- Name
ID des CSAF-Dokuments.
Durch Klicken auf den Namen wird die Detailseite des CSAF-Dokuments geöffnet (siehe Kapitel 8.2.1.2).
- Titel
Beschreibender Name des CSAF-Dokuments.
- Schweregrad
Bemerkung
Nur die über den Meta-Feed von Greenbone zur Verfügung gestellten CSAF-Dokumente zeigen einen Schweregrad. Es handelt sich um den höchsten Schweregrad unter den im CSAF-Dokument beschriebenen Schwachstellen.
Für CSAF-Dokumente, die aus hinzugefügten zugangsbeschränkten CSAF-Quellen (siehe Kapitel 8.7) heruntergeladen wurden, wird der Schweregrad als
angezeigt.Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). Dazu gehören ein Schweregrad, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine auf dem Wert basierende Schweregradklasse:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
- Aktualisiert
Datum und Uhrzeit der letzten Änderung des CSAF-Dokuments durch die Organisation, die das CSAF-Dokument veröffentlicht hat.
- Herausgeber
Name der Organisation, die das CSAF-Dokument veröffentlicht hat.
- TLP
TLP ist ein Standard für den Austausch vertraulicher Informationen, der Dokumente in Klassen einteilt, die die Bedingungen für ihre Weitergabe regeln. Das TLP-Label wird aus dem CSAF-Dokument entnommen.
Die aktuelle CSAF-Spezifikation bezieht sich auf TLP-Version 2. Wenn ein CSAF-Dokument, das sich auf TLP-Version 2.1 bezieht, in einer CSAF-Quelle verfügbar ist (siehe Kapitel 8.7), wird dieses Dokument nicht in OPENVAS SECURITY INTELLIGENCE importiert.
Die folgenden Label sind möglich:
TLP:RED: nicht zur Weitergabe, nur an einzelne, direkte Empfänger oder Teilnehmer
TLP:AMBER: begrenzte Offenlegung, beschränkt auf die Organisation des Empfängers und auf Kunden, die diese Informationen benötigen, um sich selbst zu schützen oder weiteren Schaden zu verhindern
TLP:GREEN: begrenzte Offenlegung, beschränkt auf die Community des Empfängers
TLP:WHITE: keine Beschränkung der Offenlegung
Bemerkung
Wenn kein TLP-Label angezeigt wird, liegt dies daran, dass der entsprechende Wert nicht im CSAF-Dokument enthalten ist.
8.2.1.2 Details eines CSAF-Dokuments ansehen¶
In der Gesamtliste der CSAF-Dokumente (siehe Kapitel 8.2.1.1) auf den Namen eines CSAF-Dokuments klicken, um die Details des CSAF-Dokuments anzuzeigen.
Abb. 8.4 Details eines CSAF-Dokuments¶
Es werden die folgenden Informationen angezeigt:
- ID
ID des CSAF-Dokuments.
- Veröffentlichungsdatum
Datum und Uhrzeit der Veröffentlichung des CSAF-Dokuments.
- Zuletzt aktualisiert
Datum und Uhrzeit der letzten Änderung des CSAF-Dokuments durch die Organisation, die das CSAF-Dokument veröffentlicht hat.
- Verfasser
Name der Organisation, die das CSAF-Dokument veröffentlicht hat.
- Kontakt
Kontaktinformationen des Herausgebers.
- TLP
TLP ist ein Standard für den Austausch vertraulicher Informationen, der Dokumente in Klassen einteilt, die die Bedingungen für ihre Weitergabe regeln. Das TLP-Label wird aus dem CSAF-Dokument entnommen.
Die aktuelle CSAF-Spezifikation bezieht sich auf TLP-Version 2. Wenn ein CSAF-Dokument, das sich auf TLP-Version 2.1 bezieht, in einer CSAF-Quelle verfügbar ist (siehe Kapitel 8.7), wird dieses Dokument nicht in OPENVAS SECURITY INTELLIGENCE importiert.
Die folgenden Label sind möglich:
TLP:RED: nicht zur Weitergabe, nur an einzelne, direkte Empfänger oder Teilnehmer
TLP:AMBER: begrenzte Offenlegung, beschränkt auf die Organisation des Empfängers und auf Kunden, die diese Informationen benötigen, um sich selbst zu schützen oder weiteren Schaden zu verhindern
TLP:GREEN: begrenzte Offenlegung, beschränkt auf die Community des Empfängers
TLP:WHITE: keine Beschränkung der Offenlegung
Bemerkung
Wenn kein TLP-Label angezeigt wird, liegt dies daran, dass der entsprechende Wert nicht im CSAF-Dokument enthalten ist.
- Wird ausgenutzt
Informationen darüber, ob mindestens eine der CVEs im CSAF-Dokument ausgenutzt wird.
CVEs werden als ausgenutzt markiert, wenn sie im Known Exploited Vulnerabilities (KEV) Catalog, gepflegt von CISA, aufgeführt sind.
- Zusammenfassung
Kurze Beschreibung des CSAF-Dokuments und der darin behandelten Schwachstellen.
- Metriken für den Schweregrad
- Gesamtschweregrad
Vom Herausgeber zur Verfügung gestelltes Maß, um die Dringlichkeit und Kritikalität, mit der die gemeldeten Schwachstellen behoben werden sollten, zu vermitteln. Sie gilt für das Dokument als Ganzes und nicht für bestimmte Schwachstellen.
Bemerkung
Die „aggregate severity“ steht in keinem Zusammenhang mit dem Schweregrad von Schwachstellen nach dem Common Vulnerability Scoring System (CVSS) (siehe Kapitel 8.2.1.1).
- Greenbone Severity Class, Greenbone Severity Score, Greenbone Severity Vector
Bemerkung
Nur die über den Meta-Feed von Greenbone zur Verfügung gestellten CSAF-Dokumente enthalten diese Informationen. Die Informationen werden für die Schwachstelle mit dem höchsten Schweregrad unter den im CSAF-Dokument beschriebenen Schwachstellen angezeigt.
Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen.
CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.
CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.
Bemerkung
Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.
Die NVD bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.
Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.
Der Greenbone Severity Score ist ein numerischer Score von 0,0 bis 10,0, der den Schweregrad einer Schwachstelle gemäß CVSS beschreibt, wobei 10,0 der höchste Schweregrad ist.
Der Greenbone Severity Vector ist der Schweregrad in Form eines CVSS-Vektors, einer komprimierten Textdarstellung der Werte, die zur Berechnung des Werts verwendet werden.
Die Greenbone Severity Class ist die auf dem Schweregrad basierende Klassifizierung:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
- Greenbone Reference CVE
CVE-ID der Schwachstelle, für die die oben aufgeführten Metriken angezeigt werden. Es handelt sich um die Schwachstelle mit dem höchsten Schweregrad unter den im CSAF-Dokument beschriebenen Schwachstellen.
- Metriken für die Ausnutzbarkeit
Bemerkung
Nur die über den Meta-Feed von Greenbone zur Verfügung gestellten CSAF-Dokumente enthalten diese Informationen. Die Informationen werden für die Schwachstelle mit dem höchsten EPSS-Score unter den im CSAF-Dokument beschriebenen Schwachstellen angezeigt.
- EPSS Score [%]
Qualitatives Maß für die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle nach dem Exploit Prediction Scoring System (EPSS).
Der Score gibt die Wahrscheinlichkeit an, dass in den nächsten 30 Tagen Versuche zur Ausnutzung einer Schwachstelle beobachtet werden und ist ein Wert zwischen 0 und 100 %. Je höher der Wert, desto größer ist die Wahrscheinlichkeit, dass eine Schwachstelle tatsächlich ausgenutzt wird.
- EPSS Perzentil
Das EPSS-Perzentil gibt den Anteil der Schwachstellen an, die gleich oder niedriger als die Schwachstelle bewertet wurden. Dies hilft, den Score einzuordnen.
- Referenz-CVE
CVE-ID der Schwachstelle, für die die oben aufgeführten Metriken angezeigt werden. Es handelt sich um die Schwachstelle mit dem höchsten EPSS-Score unter den im CSAF-Dokument beschriebenen Schwachstellen.
- Dokumentenhinweise
Anmerkungen, die der Herausgeber dem CSAF-Dokument hinzugefügt hat.
Beispiele für Hinweise sind Zusammenfassungen, technische oder nichttechnische Details, FAQ und Nutzungsbedingungen.
- Schwachstellen
Informationen über die in dem CSAF-Dokument beschriebenen Schwachstellen.
Für jede Schwachstelle gibt es ein eigenes Akkordeon.
- Produkt
Informationen über Produkte, die von den im CSAF-Dokument beschriebenen Schwachstellen betroffen sind.
- Dokument
Informationen über die Erstellung des CSAF-Dokuments, wie z. B. Einzelheiten zu den Überarbeitungen, Sprache, Kategorie, CSAF-Version sowie Referenzen.
8.2.2 CSAF-Dokumente filtern¶
Die Liste der CSAF-Dokumente kann wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der CSAF-Dokumente Keine Daten verfügbar angezeigt.
8.3 CPE verwalten¶
Die Common Platform Enumeration (CPE) ist ein strukturiertes Benennungsschema für IT-Systeme, -Plattformen und -Pakete. Basierend auf der generischen Syntax für Uniform Resource Identifier (URI) umfasst CPE ein formales Namensformat, eine Sprache zur Beschreibung komplexer Plattformen, eine Methode zur Überprüfung von Namen anhand eines Systems und ein Beschreibungsformat zur Bindung von Text und Tests an einen Namen.
CPEs werden vom National Institute of Standards and Technology (NIST) in der National Vulnerability Database (NVD) veröffentlicht und zugänglich gemacht.
Ein CPE-Name beginnt mit „cpe:/“, gefolgt von bis zu 12 durch Doppelpunkte getrennten Komponenten (siehe Abb. 8.5).
Abb. 8.5 Namensstruktur eines CPE-Namens¶
8.3.1 CPEs ansehen¶
Bemerkung
Die Verfügbarkeit einer CPE in OPENVAS SECURITY INTELLIGENCE hängt von ihrer Verfügbarkeit in der NVD ab. Sobald sie dort veröffentlicht wurde, dauert es 1–2 Arbeitstage, bis sie in OPENVAS SECURITY INTELLIGENCE angezeigt wird.
8.3.1.1 Die Gesamtliste der CPEs ansehen¶
Alle vorhandenen CPEs können durch Auswahl von Schwachstellen-Datenbank > CPE-Datenbank im Menü angezeigt werden.
Bemerkung
Aus Performancegründen werden nur die ersten 10.000 Elemente angezeigt. Mithilfe von Filtern können die angezeigten CPEs eingegrenzt werden (siehe Kapitel 8.3.2).
Abb. 8.6 Seite CPE-Datenbank¶
Für alle CPEs werden die folgenden Informationen angezeigt:
- Name
CPE-Name des Systems, der Plattform oder des Pakets.
Durch Klicken auf den Namen wird die Detailseite der CPE geöffnet (siehe Kapitel 8.3.1.2).
- Titel
Beschreibender Name des Systems, der Plattform oder des Pakets.
- Erstellt
Datum und Uhrzeit der Erstellung der CPE im CPE Dictionary der NVD.
- Aktualisiert
Datum und Uhrzeit der letzten Änderung der CPE im CPE Dictionary der NVD.
- Schweregrad
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). Dazu gehören ein Schweregrad, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine auf dem Wert basierende Schweregradklasse:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Für eine CPE können mehrere Schwachstellen vorhanden sein. Der Schweregrad der schwerwiegendsten Sicherheitslücke für die CPE wird angezeigt.
Das Label
kann aus einem der folgenden Gründe angezeigt werden:Die CVEs für die CPE wurde(n) veröffentlicht, aber es wurde von der NVD noch keine Schwachstellenanalyse/Schweregradbewertung vorgenommen. Dies kann von einigen Tagen bis zu einigen Wochen dauern.
Zwischen der Schwachstellenanalyse/Schweregradbewertung und der Anzeige der aktualisierten Informationen in OPENVAS SECURITY INTELLIGENCE liegt immer eine Verzögerung von 1–2 Arbeitstagen.
8.3.1.2 CPE-Details ansehen¶
In der Gesamtliste der CPEs (siehe Kapitel 8.3.1.1) auf den Namen einer CPE klicken, um die CPE-Details anzuzeigen.
Abb. 8.7 Details einer CPE¶
Es werden die folgenden Informationen angezeigt:
- Name
CPE-Name des Systems, der Plattform oder des Pakets.
- ID
ID der CPE in der NVD.
- Erstellt
Datum und Uhrzeit der Erstellung der CPE im CPE Dictionary der NVD.
- Aktualisiert
Datum und Uhrzeit der letzten Änderung der CPE im CPE Dictionary der NVD.
- Importiert
Datum und Uhrzeit, zu der die CPE zu OPENVAS SECURITY INTELLIGENCE hinzugefügt wurde.
- Veraltet
Angabe, ob der CPE-Name in der NVD veraltet ist oder nicht. CPE-Namen können aus einer Reihe von Gründen veraltet sein. Wenn ein CPE-Name veraltet ist, wird die eindeutige Zeichenfolge nicht mehr als korrekt angesehen und es sollte stattdessen eine andere Zeichenfolge verwendet werden.
- Greenbone Severity Vector, Greenbone Severity Score, Greenbone Severity Class, Greenbone Severity Origin
Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard zum Beschreiben des Schweregrads von Schwachstellen. Die angezeigten Werte beziehen sich auf die verknüpfte CVE.
CVSS v2.0 und CVSS v3.x bestehen aus drei Metrikgruppen: Basis, Zeitlich und Umgebung.
CVSS v4.0, die aktuelle Version, besteht aus vier Metrikgruppen: Basis, Bedrohung, Umgebung und Ergänzung.
Bemerkung
Wenn eine Schwachstelle Daten von mehr als einer CVSS-Version enthält, wird immer die neueste Version verwendet.
Die NVD bietet CVSS-Bewertungen für Basis-Metriken, da es sich dabei um die grundlegenden Merkmale einer Schwachstelle handelt. Bewertungen für temporäre, Bedrohungs-, Umwelt- oder ergänzende Metriken werden nicht bereitgestellt, da sie stark von der Zeit, dem jeweiligen Unternehmen, in dem sie auftreten, und vom weiteren Kontext abhängen.
Die Basis-Score-Metriken bewerten die Ausnutzbarkeit einer Schwachstelle und ihre Auswirkungen auf das Zielsystem. Dazu gehört unter anderem die Bewertung der Zugänglichkeit des Zielsystems und ob die Vertraulichkeit, Integrität oder Verfügbarkeit des Zielsystems gefährdet ist.
Der Greenbone Severity Score ist ein numerischer Score von 0,0 bis 10,0, der den Schweregrad einer Schwachstelle gemäß CVSS beschreibt, wobei 10,0 der höchste Schweregrad ist.
Der Greenbone Severity Vector ist der Schweregrad in Form eines CVSS-Vektors, einer komprimierten Textdarstellung der Werte, die zur Berechnung des Werts verwendet werden.
Die Greenbone Severity Class ist die auf dem Schweregrad basierende Klassifizierung:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Der Greenbone Severity Origin ist der Ursprung der Schweregrad-Metriken der neuesten verfügbaren CVSS-Version.
- CVE
CVE, die für diese CPE existiert (siehe Kapitel 8.1).
Wenn mehrere CVEs für eine CPE vorhanden sind, wird die CVE mit dem höchsten Schweregrad angezeigt.
- CPE-Attribute
Aufschlüsselung der einzelnen Teile des CPE-Namens (siehe Abb. 8.5).
- Referenzen
Referenzen für die CPE, z. B. Herstellerinformationen.
8.3.2 CPEs filtern¶
Die Liste der CPEs kann wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der CPEs Keine Daten verfügbar angezeigt.
8.4 Schwachstellentests verwalten¶
Ein Schwachstellentest (VT) ist eine Routine, die ein Zielsystem auf das Vorhandensein eines bestimmten bekannten oder potenziellen Sicherheitsproblems überprüft. VTs enthalten Informationen über das Entwicklungsdatum, die betroffenen Systeme, die Auswirkungen der Schwachstellen und deren Behebung.
8.4.1 Schwachstellentests ansehen¶
8.4.1.1 Die Gesamtliste der Schwachstellentests ansehen¶
Alle vorhandenen VTs können durch Auswahl von Schwachstellen-Datenbank > Schwachstellentests im Menü angezeigt werden.
Bemerkung
Aus Performancegründen werden nur die ersten 10.000 Elemente angezeigt. Mithilfe von Filtern können die angezeigten VTs eingegrenzt werden (siehe Kapitel 8.4.2).
Abb. 8.8 Seite Schwachstellentests¶
Für alle VTs werden die folgenden Informationen angezeigt:
- Name
Name des VT.
Durch Klicken auf den Namen wird die Detailseite des VTs geöffnet (siehe Kapitel 8.4.1.2).
- Erstellt
Datum und Uhrzeit, zu der der VT dem OPENVAS ENTERPRISE FEED hinzugefügt wurde.
- Aktualisiert
Datum und Uhrzeit der letzten Änderung des VT im OPENVAS ENTERPRISE FEED.
- Art der Lösung
Art der Maßnahme zur Behebung der Schwachstelle. Es gibt die folgenden Lösungstypen:
Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.
Mitigation: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.
VendorFix: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.
NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.
WillNotFix: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.
- Schweregrad
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). Dazu gehören ein Schweregrad, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine auf dem Wert basierende Schweregradklasse:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Der Schweregrad der vom VT erkannten CVE wird angezeigt. Wenn mehrere CVEs mit dem VT verknüpft sind, wird der Schweregrad der CVE mit dem höchsten Schweregrad angezeigt.
- QdE
Kurz für „Qualität der Erkennung“. Die QdE beschreibt die Zuverlässigkeit der durchgeführten Schwachstellenerkennung. Es handelt sich um einen Wert zwischen 0 und 100, wobei 100 die höchste Zuverlässigkeit darstellt.
QdE
QdE-Typ
Beschreibung
100
exploit
Die Erkennung erfolgte durch die Ausnutzung einer Sicherheitslücke und ist daher vollständig bestätigt.
99
remote_vul
Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der Schwachstelle zeigt.
98
remote_app
Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der gefährdeten Anwendung zeigt.
97
package
Authentifizierte paketbasierte Prüfungen für z. B. Linux(oide) Systeme.
97
registry
Authentifizierte Prüfungen auf Basis der Registry von Microsoft Windows.
95
remote_active
Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort das wahrscheinliche Vorhandensein der gefährdeten Anwendung oder der Schwachstelle zeigt. „Wahrscheinlich“ bedeutet, dass die Erkennung nur in seltenen Fällen inkorrekt ist.
80
remote_banner
Prüfung von Anwendungsbannern auf dem Zielsystem, die den Patch-Status als Information anbieten. Zum Beispiel ist dies für viele proprietäre Produkte der Fall.
80
executable_version
Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) und Microsoft-Windows-Systeme, bei denen Anwendungen den Patch-Status in der Version anbieten.
75
Wenn Ergebnisse ohne QdE-Informationen verarbeitet werden, erhalten sie diesen Wert.
70
remote_analysis
Prüfungen auf dem Zielsystem, die einige Analysen durchführen, jedoch je nach Umgebungsbedingungen nicht immer vollständig zuverlässig sind.
50
remote_probe
Prüfung auf dem Zielsystem, bei welcher zwischenliegende Systeme wie Firewalls die korrekte Erkennung vortäuschen können, sodass nicht eindeutig ist, ob die Anwendung selbst geantwortet hat. Zum Beispiel kann dies für Verbindungen ohne TLS geschehen.
30
remote_banner_unreliable
Prüfung von Anwendungsbannern des Zielsystems, die den Patch-Status nicht als Information anbieten. Zum Beispiel ist dies für viele Open-Source-Produkte aufgrund von Backport-Patches der Fall.
30
executable_version_unreliable
Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) Systeme, bei denen Anwendungen den Patch-Status nicht in der Version anbieten.
30
package_unreliable
Authentifizierte paketbasierte Prüfungen, die nicht immer vollständig zuverlässig sind, für z. B. Linux(oide) Systeme.
1
general_note
Allgemeine Notiz zu einer potenziellen Schwachstelle ohne konkrete Erkennung einer vorhandenen Anwendung.
8.4.1.2 Details eines Schwachstellentests ansehen¶
In der Gesamtliste der VTs (siehe Kapitel 8.4.1.1) auf den Namen eines VT klicken, um die VT-Details anzuzeigen.
Abb. 8.9 Details eines VT¶
Es werden die folgenden Informationen angezeigt:
- Schweregrad (dargestellt als grafisches Element)
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS). Dazu gehören ein Schweregrad, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine auf dem Wert basierende Schweregradklasse:
Kritisch: 9,0–10,0
Hoch: 7,0–8,9
Mittel: 4,0–6,9
Niedrig: 0,0–3,9
Der Schweregrad der vom VT erkannten CVE wird angezeigt. Wenn mehrere CVEs mit dem VT verknüpft sind, wird der Schweregrad der CVE mit dem höchsten Schweregrad angezeigt.
- Betroffen
Produkte, einschließlich Version und Betriebssystem, die von der durch den Test erkannte Schwachstelle betroffen sind.
Diese Information ist nicht für alle Schwachstellentests verfügbar.
- Lösung
Beschreibung, wie die durch den Test erkannte Schwachstelle behoben werden kann.
Es gibt die folgenden Lösungsarten:
Workaround: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, mit denen die Gefährdung durch die Schwachstelle vermieden werden kann. Dies ist in der Regel die „erste Verteidigungslinie“ gegen eine neue Schwachstelle, bevor eine Schadensbegrenzung oder eine Lösung des Herstellers veröffentlicht oder überhaupt entdeckt wurde.
Mitigation: Es sind Informationen über eine Konfiguration oder ein bestimmtes Bereitstellungsszenario verfügbar, die dazu beitragen, das Risiko der Schwachstelle zu verringern, die Schwachstelle für das betroffene Produkt jedoch nicht beheben. Zu den Abhilfemaßnahmen kann die Verwendung von Geräten oder Zugriffskontrollen gehören, die nicht zum betroffenen Produkt gehören.
VendorFix: Es sind Informationen über eine offizielle Fehlerbehebung verfügbar, die vom ursprünglichen Hersteller des betroffenen Produkts herausgegeben wird. Sofern nicht anders angegeben, wird davon ausgegangen, dass diese Lösung die Schwachstelle vollständig behebt.
NoneAvailable: Derzeit ist keine Lösung verfügbar. Die Informationen sollten Einzelheiten darüber enthalten, warum es keine Lösung gibt.
WillNotFix: Es gibt keine Lösung für die Schwachstelle und wird auch in Zukunft keine geben. Dies ist häufig der Fall, wenn ein Produkt verwaist ist, nicht mehr gewartet wird oder anderweitig veraltet ist. Die Informationen sollten Einzelheiten darüber enthalten, warum keine Lösung veröffentlicht wird.
Diese Information ist nicht für alle Schwachstellentests verfügbar.
- Einblick
Einzelheiten über die Ursache der durch den Test erkannten Schwachstelle.
Diese Information ist nicht für alle Schwachstellentests verfügbar.
- Zusammenfassung
Kurze Zusammenfassung der durch den Test erkannten Schwachstelle.
- Meta
Weitere Informationen über den VT, wie z. B. die Erkennungsmethode, verknüpfte CVEs, die Testfamilie, das Format und Informationen zur Schweregradbewertung.
Durch Klicken auf eine CVE wird die Detailseite der CVE geöffnet (siehe Kapitel 8.1.1.2).
8.4.2 Schwachstellentests filtern¶
Die Liste der Schwachstellentests kann wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der Schwachstellentests Keine Daten verfügbar angezeigt.
8.5 SBOMs verwalten¶
Bemerkung
SBOM-Quellen können nur vom Super-Admin oder einem Operator verwaltet werden.
Eine Software-Stückliste (engl. Software Bill of Materials, SBOM) ist ein Dokument, das alle Komponenten und Abhängigkeiten auflistet, die in einem Softwareprodukt verwendet werden, einschließlich Quelle, Version und Lizenz. Die SBOM hilft bei der Identifizierung und Verfolgung der Komponenten und Abhängigkeiten sowie bei der Bewertung ihrer Risiken und Schwachstellen.
SBOMs können auf der Seite SBOM-Quellen hochgeladen und anschließend auf der Seite SBOMs auf Schwachstellen in den darin aufgeführten Produkten überprüft werden.
8.5.1 SBOMs hinzufügen¶
Eine SBOM kann wie folgt hinzugefügt werden:
Datenverwaltung > SBOM-Quellen im Menü wählen.
Auf SBOM hinzufügen klicken.
Abb. 8.10 Hinzufügen einer SBOM¶
Auf SBOM hochladen klicken.
SBOM-Datei aus dem Dateiverzeichnis wählen.
Bemerkung
Die SBOM muss eine JSON-formatierte CycloneDX-Datei sein.
Die Eingabefelder ausfüllen:
- Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden.
Wenn kein Name definiert wird, wird stattdessen der Dateiname angezeigt.
- Version
Version der SBOM. Es wird empfohlen, einen Wert einzugeben, der der tatsächlichen Version des durch die SBOM repräsentierten Produkts entspricht, oder einen Wert, der eine eindeutige Zuordnung der SBOM zu einem bestimmten Produkt ermöglicht.
Dieses Eingabefeld ist erforderlich.
- Kommentar
Der optionale Kommentar ermöglicht die Angabe weiterer Details und Hintergrundinformationen.
Auf Speichern klicken.
8.5.2 SBOMs ansehen¶
Alle vorhandenen SBOMs können durch Auswahl von Datenverwaltung > SBOM-Quellen im Menü angezeigt werden.
Abb. 8.11 Seite SBOM-Quellen¶
Für alle SBOMs werden die folgenden Informationen angezeigt:
- Name
Name, der der SBOM beim Hinzufügen gegeben wurde (siehe Kapitel 8.5.1).
- Version
Version, die der SBOM beim Hinzufügen gegeben wurde (siehe Kapitel 8.5.1).
- Aktualisiert
Datum und Uhrzeit der letzten Änderung der SBOM-Eintrags in OPENVAS SECURITY INTELLIGENCE.
Die folgenden Aktionen sind verfügbar:
8.5.3 SBOMs scannen¶
SBOMs, die auf der Seite SBOM-Quellen hinzugefügt werden, erscheinen auch auf der Seite SBOMs und können dort gescannt werden.
8.5.3.1 SBOM-Scans ansehen¶
Alle vorhandenen SBOMs und deren Scanstatus können durch Auswahl von Risiko & Exposition > SBOMs im Menü angezeigt werden.
Abb. 8.12 Seite SBOMs¶
Für alle SBOMs werden die folgenden Informationen angezeigt:
- Name
Name, der der SBOM beim Hinzufügen gegeben wurde (siehe Kapitel 8.5.1).
Wenn die SBOM mindestens einmal auf Schwachstellen gescannt wurde, werden durch Klicken auf den Namen die Ergebnisse des letzten Scans geöffnet.
- Version
Version, die der SBOM beim Hinzufügen gegeben wurde (siehe Kapitel 8.5.1).
- Status
Status des SBOM-Scans. Die folgenden Status sind möglich:
Die SBOM wurde mindestens einmal erfolgreich gescannt. Durch Klicken auf den SBOM-Namen können die Ergebnisse des letzten Scans geöffnet werden.
Der letzte Scan wurde durch den Shutdown oder Neustart eines Services unterbrochen.Weitere Informationen finden sich auf der Seite Benachrichtigungen (siehe Kapitel 9).
Der letzte Scan ist fehlgeschlagen. Dies kann verschiedene Gründe haben, z. B. dass der Scanbericht nicht in der Datenbank erstellt werden konnte.Weitere Informationen finden sich auf der Seite Benachrichtigungen (siehe Kapitel 9).
- Zuletzt überprüft
Datum und Uhrzeit des letzten Scans.
- Letztes Ergebnis
Ergebnis des letzten SBOM-Scans:
- Scan
Die SBOM auf Schwachstellen scannen.
Die folgende Aktion ist verfügbar:
Den CPE-Namen des Hauptprodukts kopieren (siehe Kapitel 8.5.6).
8.5.3.2 Einen SBOM-Scan ausführen¶
Eine SBOM kann wie folgt auf Schwachstellen gescannt werden:
Risiko & Exposition > SBOMs im Menü wählen.
In der Spalte Scan auf
klicken.Tipp
Ein laufender Scan kann durch Klicken auf
in der Spalte Scan abgebrochen werden. Es wird kein (Teil-)Bericht gespeichert.→ Wenn der SBOM-Scan abgeschlossen ist, wird ein Bericht erstellt.
Alle CPEs (siehe Kapitel 8.3) werden aus der SBOM extrahiert und in die CPE-Version 2.3 konvertiert. Für alle erkannten CPEs wird eine Liste der zugehörigen CVEs (siehe Kapitel 8.1) erstellt.
Der Bericht kann durch Klicken auf den SBOM-Namen aufgerufen werden (siehe Kapitel 8.5.3.3).
8.5.3.3 Den Bericht eines SBOM-Scans ansehen¶
Der Bericht des letzten SBOM-Scans kann wie folgt angezeigt werden:
Risiko & Exposition > SBOMs im Menü wählen.
Auf den SBOM-Namen klicken.
Abb. 8.13 Bericht eines SBOM-Scans¶
→ Die folgenden Informationen werden angezeigt:
- Name (SBOM)
Name, der der SBOM beim Hinzufügen gegeben wurde (siehe Kapitel 8.5.1).
- Name (intern)
Dateiname der SBOM-Datei (siehe Kapitel 8.5.1).
- Version
Version, die der SBOM beim Hinzufügen gegeben wurde (siehe Kapitel 8.5.1).
- Kommentar
Weitere Informationen über die SBOM, die beim Hinzufügen angegeben wurden (siehe Kapitel 8.5.1).
- SBOM-Erstellungsdatum
Datum, an dem die SBOM zu OPENVAS SECURITY INTELLIGENCE hinzugefügt wurde.
- Datum des Berichts
Datum, an dem der Scanbericht erstellt wurde.
- Gesamtzahl der Komponenten
Gesamtzahl der in der SBOM gefundenen Komponenten.
- CPE-referenzierte Komponenten
Gesamtzahl der Komponenten, die durch eine CPE beschrieben wurden und für die Suche nach Schwachstellen verwendet werden konnten.
- Nicht-CPE-referenzierte Komponenten
Gesamtzahl der Komponenten, die nicht durch eine CPE beschrieben wurden und daher nicht für die Suche nach Schwachstellen verwendet werden konnten.
- Komponenten mit Schwachstellen
In der SBOM entdeckte verwundbare Komponenten.
Für jede verwundbare Komponente gibt es ein eigenes Akkordeon.
Für jede verwundbare Komponente wird Folgendes angezeigt: Name der Komponente (aus der SBOM), CPE der Komponente sowie eine Liste der CVEs, die eine ähnliche CPE enthalten, mit CVE-Kennung, CVE-Titel, Basis-Schweregradklasse, Auswirkungs-Score und Schweregrad-Vektor.
8.5.4 SBOMs bearbeiten¶
Eine SBOM kann wie folgt bearbeitet werden:
Datenverwaltung > SBOM-Quellen im Menü wählen.
Die erforderlichen Daten aktualisieren (siehe Kapitel 8.5.1).
Auf Speichern klicken.
→ Die Daten der SBOM in OPENVAS SECURITY INTELLIGENCE werden aktualisiert.
8.5.5 SBOMs löschen¶
Eine SBOM kann wie folgt gelöscht werden:
Datenverwaltung > SBOM-Quellen im Menü wählen.
In der Spalte Aktion auf
klicken.→ Ein Warnhinweis wird angezeigt, mit der Aufforderung, den Löschvorgang zu bestätigen.
Bemerkung
Das Löschen einer SBOM ist irreversibel. Die SBOM und alle zugehörigen Daten werden dauerhaft entfernt.
Abb. 8.14 Bestätigen der Löschung¶
Auf Löschen klicken.
→ Die SBOM wird aus OPENVAS SECURITY INTELLIGENCE entfernt.
8.5.6 Den CPE-Namen des Hauptprodukts kopieren¶
Der CPE-Name des Hauptprodukts, d. h. des Produkts, das durch die SBOM repräsentiert wird, kann der SBOM entnommen und in die Zwischenablage kopiert werden.
Bemerkung
Informationen über CPE-Namen finden sich in Kapitel 8.3.
Wenn der CPE-Name nicht direkt in der SBOM verfügbar ist, wird er wie folgt generiert:
Der Wert „product“ wird aus
metadata.component.namein der SBOM übernommen.Der Wert „vendor“ wird aus
metadata.component.manufacturer.namein der SBOM übernommen, als Fallback wirdmetadata.component.nameverwendet.Der Wert „version“ wird aus
metadata.component.versionin der SBOM übernommen.Der Wert „part“ wird als
afestgelegt.Die CPE-Version wird auf
2.3gesetzt.Die übrigen Felder werden mit dem Platzhalter
*gefüllt.
Der CPE-Name kann wie folgt kopiert werden:
8.5.7 SBOMs filtern¶
Die Listen der SBOM-Quellen und SBOMs können wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der SBOMs Keine Daten verfügbar angezeigt.
8.6 SCAN-Berichte verwalten¶
Bemerkung
SCAN-Berichte können nur vom Super-Admin oder einem Operator verwaltet werden.
Die Ergebnisse eines mit einer OPENVAS-SCAN-Appliance durchgeführten Schwachstellenscans werden in einem Bericht zusammengefasst. Der Bericht enthält Informationen über die auf einem Zielsystem entdeckten Schwachstellen, z. B. den Schweregrad und Abhilfemaßnahmen. Falls verfügbar, werden die Schwachstellen mit CVEs verknüpft.
Ein SCAN-Bericht, der im Berichtformat GCS JSON Technical exportiert wurde, kann in OPENVAS SECURITY INTELLIGENCE hochgeladen und nach CSAF-Dokumenten durchsucht werden, die für die im Bericht aufgeführten CVEs verfügbar sind.
8.6.1 SCAN-Berichte hinzufügen¶
Ein SCAN-Bericht kann wie folgt hinzugefügt werden:
Datenverwaltung > SCAN-Berichte im Menü wählen.
Auf SCAN-Bericht hinzufügen klicken.
Abb. 8.15 Hinzufügen eines SCAN-Berichts¶
Auf SCAN-Bericht hochladen klicken.
SCAN-Bericht-Datei aus dem Dateiverzeichnis wählen.
Bemerkung
Der SCAN-Bericht muss im Berichtformat GCS JSON Technical exportiert werden (siehe Appliance-Handbuch).
Die Eingabefelder ausfüllen:
- Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden.
Dieses Eingabefeld ist erforderlich.
- Kommentar
Der optionale Kommentar ermöglicht die Angabe weiterer Details und Hintergrundinformationen.
Auf Speichern klicken.
8.6.2 SCAN-Berichte ansehen¶
Alle vorhandenen SCAN-Berichte können durch Auswahl von Datenverwaltung > SCAN-Berichte im Menü angezeigt werden.
Abb. 8.16 Seite SCAN-Berichte¶
Für alle SCAN-Berichte werden die folgenden Informationen angezeigt:
- Name
Name, der dem SCAN-Bericht beim Hinzufügen gegeben wurde (siehe Kapitel 8.6.1).
Wenn der SCAN-Bericht mindestens einmal nach relevanten CSAF-Dokumenten durchsucht wurde (siehe Kapitel 8.6.3), werden durch Klicken auf den Namen die Ergebnisse des letzten Scans geöffnet.
- Aufgabenname
Name der Aufgabe auf der Appliance, zu der der Bericht gehört.
Weitere Informationen finden sich im Appliance-Handbuch.
- Aufgaben-ID
ID der Aufgabe auf der Appliance, zu der der Bericht gehört.
Weitere Informationen finden sich im Appliance-Handbuch.
- Datum des Berichts
Datum und Uhrzeit, zu der der SCAN-Bericht auf der Appliance erstellt wurde.
Weitere Informationen finden sich im Appliance-Handbuch.
- Aktualisiert
Datum und Uhrzeit der letzten Änderung des SCAN-Berichts in OPENVAS SECURITY INTELLIGENCE.
- Zuletzt überprüft
Datum und Uhrzeit des letzten Scans.
- Status
Status des SCAN-Bericht-Scans. Die folgenden Status sind möglich:
- Scan
Den SCAN-Bericht auf CSAF-Dokumenten für die darin erwähnten CVEs durchsuchen (siehe Kapitel 8.6.3).
8.6.3 SCAN-Berichte scannen¶
8.6.3.1 Einen SCAN-Bericht-Scan ausführen¶
Ein SCAN-Bericht kann wie folgt nach CSAF-Dokumenten für die darin erwähnten CVEs durchsucht werden:
Datenverwaltung > SCAN-Berichte im Menü wählen.
In der Spalte Scan auf
klicken.Tipp
Ein laufender Scan kann durch Klicken auf
in der Spalte Scan abgebrochen werden. Es wird kein (Teil-)Bericht gespeichert.→ Wenn der SCAN-Bericht-Scan abgeschlossen ist, wird ein Bericht erstellt.
Alle CVEs (siehe Kapitel 8.1) werden aus dem SCAN-Bericht extrahiert. Für alle CVEs wird eine Liste der zugehörigen CSAF-Dokumente (siehe Kapitel 8.2) erstellt.
Der Bericht kann durch Klicken auf den Namen des SCAN-Berichts aufgerufen werden (siehe Kapitel 8.6.3.2).
8.6.3.2 Den Bericht eines SCAN-Bericht-Scans ansehen¶
Der Bericht des letzten SCAN-Bericht-Scan kann wie folgt angezeigt werden:
Datenverwaltung > SCAN-Berichte im Menü wählen.
Auf den Namen des SCAN-Berichts klicken.
Abb. 8.17 Bericht eines SCAN-Bericht-Scans¶
→ Die folgenden Informationen werden angezeigt:
- Aufgabenname
Name der Aufgabe auf der Appliance, zu der der Bericht gehört.
Weitere Informationen finden sich im Appliance-Handbuch.
- Aufgaben-ID
ID der Aufgabe auf der Appliance, zu der der Bericht gehört.
Weitere Informationen finden sich im Appliance-Handbuch.
- Dateiname
Dateiname des SCAN-Berichts, der hochgeladen wurde (siehe Kapitel 8.6.1).
- Datum des Scans
Datum und Uhrzeit, zu der der SCAN-Bericht nach zugehörigen CSAF-Dokumenten gescannt wurde.
- Datum des Berichts
Datum und Uhrzeit, zu der der SCAN-Bericht auf der Appliance erstellt wurde.
Weitere Informationen finden sich im Appliance-Handbuch.
- Schwachstellen
Informationen über die im SCAN-Bericht enthaltenen Schwachstellen.
Für jede Schwachstelle gibt es ein eigenes Akkordeon. Durch Klicken auf Alle Einträge öffnen werden alle Akkordeons geöffnet.
Für jede Schwachstelle wird Folgendes angezeigt: CSAF-Dokumente, in denen die Schwachstelle enthalten ist sowie Informationen über die Schwachstelle wie der Schweregrad und wo und wie die Schwachstelle erkannt wurde.
Weitere Informationen zu den angezeigten Details finden sich im Appliance-Handbuch.
8.6.4 SCAN-Berichte bearbeiten¶
Ein SCAN-Bericht kann wie folgt bearbeitet werden:
Datenverwaltung > SCAN-Berichte im Menü wählen.
In der Spalte Aktion auf
klicken und Bearbeiten in der Drop-down-Liste wählen.
Abb. 8.18 Bearbeiten eines SCAN-Berichts¶
Die erforderlichen Daten aktualisieren (siehe Kapitel 8.6.1).
Auf Speichern klicken.
→ Die Daten des SCAN-Berichts in OPENVAS SECURITY INTELLIGENCE werden aktualisiert.
8.6.5 SCAN-Berichte löschen¶
Ein SCAN-Bericht kann wie folgt gelöscht werden:
Datenverwaltung > SCAN-Berichte im Menü wählen.
In der Spalte Aktion auf
klicken und Löschen in der Drop-down-Liste wählen.
Abb. 8.19 Löschen eines SCAN-Berichts¶
→ Ein Warnhinweis wird angezeigt, mit der Aufforderung, den Löschvorgang zu bestätigen.
Bemerkung
Das Löschen eines SCAN-Berichts ist irreversibel. Der SCAN-Bericht und alle zugehörigen Daten werden dauerhaft entfernt.
Abb. 8.20 Bestätigen der Löschung¶
Auf Löschen klicken.
→ Der SCAN-Bericht wird aus OPENVAS SECURITY INTELLIGENCE entfernt.
8.6.6 Den Bericht eines SCAN-Bericht-Scans exportieren¶
Der Bericht eines SCAN-Bericht-Scans kann wie folgt exportiert werden:
Datenverwaltung > SCAN-Berichte im Menü wählen.
In der Spalte Aktion auf
klicken und Bericht exportieren in der Drop-down-Liste wählen.
Abb. 8.21 Exportieren des Berichts eines SCAN-Bericht-Scans¶
→ Der Bericht wird als gezippte HTML-Datei heruntergeladen. Er enthält die gleichen Informationen wie in Kapitel 8.6.3.2 beschrieben.
8.6.7 SCAN-Berichte filtern¶
Die Liste der SCAN-Berichte kann wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der SCAN-Berichte Keine Daten verfügbar angezeigt.
8.7 CSAF-Quellen verwalten¶
Bemerkung
CSAF-Quellen können nur vom Super-Admin oder einem Operator verwaltet werden.
Das Common Security Advisory Framework (CSAF) ist ein standardisiertes, maschinenlesbares Framework für die Verteilung von Sicherheitsdokumenten.
CSAF-Dokumente werden z. B. von Software- und Hardware-Anbietern, Regierungen und unabhängigen Forschern zur Verfügung gestellt und enthalten Informationen über Sicherheitslücken. Die Nutzer von CSAF-Dokumenten können so Sicherheitsinformationen von einer dezentralen Gruppe von Anbietern sammeln und die Risikobewertung mit zuverlässigeren Informationen und weniger Ressourcen automatisieren.
Zugangsbeschränkte CSAF-Quellen, aus denen CSAF-Dokumente abgerufen werden können, können zu OPENVAS SECURITY INTELLIGENCE hinzugefügt werden.
8.7.1 CSAF-Quellen hinzufügen¶
Eine CSAF-Quelle kann wie folgt hinzugefügt werden:
Datenverwaltung > CSAF-Quellen im Menü wählen.
Auf CSAF-Quelle hinzufügen klicken.
Abb. 8.22 Hinzufügen einer CSAF-Quelle¶
Die Eingabefelder ausfüllen:
- Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden.
Dieses Eingabefeld ist erforderlich.
- Kommentar
Der optionale Kommentar ermöglicht die Angabe weiterer Details und Hintergrundinformationen.
- URL
URL, von der die CSAF-Dokumente abgerufen werden.
Dieses Eingabefeld ist erforderlich.
- Importintervall
Auswahl, ob neue Daten nur bei manueller Auslösung oder nach einem Zeitplan, entweder in bestimmten Zeitabständen oder jeden Tag zur gleichen Zeit, heruntergeladen werden sollen.
- Manuell
Wenn diese Option ausgewählt ist, werden die CSAF-Dokumente nur dann von der Quelle heruntergeladen, wenn der Download manuell ausgelöst wird (siehe Kapitel 8.7.5). Die Anmeldedaten müssen für jeden Download-Vorgang eingegeben werden.
Diese Option wird verwendet, wenn die Anmeldedaten für die entsprechende Quelle nicht gespeichert werden sollen.
- Intervall
Wenn diese Option ausgewählt ist, werden die CSAF-Dokumente in regelmäßigen Abständen von der Quelle heruntergeladen.
Das Intervall kann auf einen Wert zwischen einer und 12 Stunden eingestellt werden. Der erste Download findet statt, nachdem die definierte Zeitspanne zum ersten Mal nach dem Hinzufügen der CSAF-Quelle verstrichen ist.
- Täglich
Wenn diese Option ausgewählt ist, werden die CSAF-Dokumente einmal täglich zu einer bestimmten Zeit von der Quelle heruntergeladen.
Der erste Download findet statt, wenn die angegebene Zeit zum ersten Mal erreicht wird.
- Häufigkeit der Datenimporte
Häufigkeit der Downloads zwischen einer und 12 Stunden in einstündigen Schritten.
Dieses Eingabefeld ist erforderlich, wenn für das Importintervall Intervall gewählt wurde.
- Tägliche Startzeit
Uhrzeit des täglichen Downloads im 24-Stunden-Format.
Dieses Eingabefeld ist erforderlich, wenn für das Importintervall Täglich gewählt wurde.
- Berechtigungstyp
Art der Authentifizierung, die erforderlich ist, um die CSAF-Dokumente von der entsprechenden Quelle herunterzuladen.
Diese Auswahl ist erdorderlich, wenn für das Importintervall Intervall oder Täglich gewählt wurde.
- Token
Token, das für die Authentifizierung zum Herunterladen der CSAF-Dokumente von der entsprechenden Quelle verwendet wird.
- Benutzername & Passwort
Benutzername und Passwort, die für die Authentifizierung zum Herunterladen der CSAF-Dokumente von der entsprechenden Quelle verwendet werden.
- TLS-Client-Zertifikat
TLS-Client-Zertifikat und Schlüssel, die für die Authentifizierung zum Herunterladen der CSAF-Dokumente von der entsprechenden Quelle verwendet werden.
Auf Speichern klicken.
8.7.2 CSAF-Quellen ansehen¶
Alle vorhandenen CSAF-Quellen können durch Auswahl von Datenverwaltung > CSAF-Quellen im Menü angezeigt werden.
Abb. 8.23 Seite Zugangsbeschränkte CSAF-Quellen¶
Für alle CSAF-Quellen werden die folgenden Informationen angezeigt:
- Name
Name, der der CSAF-Quelle beim Hinzufügen gegeben wurde (siehe Kapitel 8.7.1).
- URL
URL, von der die CSAF-Dokumente abgerufen werden.
Durch Klicken auf die URL wird diese in einem separaten Browsertab geöffnet.
- Letzter Import
Datum und Uhrzeit des letzten erfolgreichen Downloads von CSAF-Dokumenten.
- Status
Status des Downloads von CSAF-Dokumenten. Die folgenden Status sind möglich:
Der letzte Download wurde vom Benutzer abgebrochen. Weitere Informationen finden sich auf der Seite Benachrichtigungen (siehe Kapitel 9).
Der letzte Download wurde erfolgreich abgeschlossen, aber es gab Probleme mit einigen Dokumenten, die auf einen der folgenden Gründe zurückzuführen sind:Es wurden doppelte CSAF-Dokumente erkannt.
Es wurden ungültige CSAF-Dokumente erkannt.
Weitere Informationen finden sich auf der Seite Benachrichtigungen (siehe Kapitel 9).
Der letzte Download ist aus einem der folgenden Gründe fehlgeschlagen:Das Zielnetzwerk ist nicht verfügbar.
Die angegebenen Anmeldedaten sind nicht gültig.
Ein interner Fehler ist aufgetreten.
Der Download wurde unterbrochen.
Der Download läuft bereits.
Es gab einen Fehler auf Seiten der CSAF-Quelle.
Weitere Informationen finden sich auf der Seite Benachrichtigungen (siehe Kapitel 9).
- Importintervall
Einstellung, wann und wie neue Daten heruntergeladen werden.
Manuell: Die CSAF-Dokumente werden nur dann von der Quelle heruntergeladen, wenn der Download manuell ausgelöst wird (siehe Kapitel 8.7.5).
Intervall: Die CSAF-Dokumente werden in regelmäßigen Abständen von der Quelle heruntergeladen.
Täglich: Die CSAF-Dokumente werden einmal täglich zu einer bestimmten Zeit von der Quelle heruntergeladen.
Durch Klicken auf
sind die folgenden Aktionen verfügbar:
Die CSAF-Quelle bearbeiten (siehe Kapitel 8.7.3).
Die CSAF-Quelle löschen (siehe Kapitel 8.7.4).
CSAF-Dokumente von der CSAF-Quelle herunterladen (siehe Kapitel 8.7.5). Diese Aktion wird angezeigt, wenn derzeit kein Download ausgeführt wird.
Den laufenden Download von CSAF-Dokumenten abbrechen (siehe Kapitel 8.7.5). Diese Aktion wird angezeigt, wenn gerade ein Download ausgeführt wird.
8.7.3 CSAF-Quellen bearbeiten¶
Eine CSAF-Quelle kann wie folgt bearbeitet werden:
Datenverwaltung > CSAF-Quellen im Menü wählen.
In der Spalte Aktion auf
klicken und Bearbeiten in der Drop-down-Liste wählen.
Abb. 8.24 Bearbeiten einer CSAF-Quelle¶
Die erforderlichen Daten aktualisieren (siehe Kapitel 8.7.1).
Auf Speichern klicken.
→ Die Daten der Quelle in OPENVAS SECURITY INTELLIGENCE werden aktualisiert.
8.7.4 CSAF-Quellen löschen¶
Eine CSAF-Quelle kann wie folgt gelöscht werden:
Datenverwaltung > CSAF-Quellen im Menü wählen.
In der Spalte Aktion auf
klicken und Löschen in der Drop-down-Liste wählen.
Abb. 8.25 Löschen einer CSAF-Quelle¶
→ Ein Warnhinweis wird angezeigt, mit der Aufforderung, den Löschvorgang zu bestätigen.
Bemerkung
Das Löschen einer CSAF-Quelle ist irreversibel. Die CSAF-Quelle und alle zugehörigen Daten, einschließlich der von der Quelle heruntergeladenen CSAF-Dokumente, werden dauerhaft entfernt.
Abb. 8.26 Bestätigen der Löschung¶
Auf Löschen klicken.
→ Die CSAF-Quelle wird aus OPENVAS SECURITY INTELLIGENCE entfernt.
8.7.5 Dokumente von einer CSAF-Quelle herunterladen¶
Dokumente können wie folgt manuell von einer CSAF-Quelle heruntergeladen werden:
Datenverwaltung > CSAF-Quellen im Menü wählen.
In der Spalte Aktion auf
klicken und Herunterladen in der Drop-down-Liste wählen.
Abb. 8.27 Herunterladen von CSAF-Dokumenten¶
Bemerkung
Wenn das Importintervall auf Intervall oder Täglich eingestellt ist, werden die Anmeldedaten verwendet, die beim Hinzufügen der CSAF-Quelle angegeben wurden (siehe Kapitel 8.7.1).
→ Der Download von CSAF-Dokumenten beginnt direkt. Siehe Kapitel 8.7.2 für mögliche Status.
Bemerkung
Wenn das Importintervall auf Manuell eingestellt ist, ist es erforderlich, den Berechtigungstyp anzugeben und die Anmeldedaten einzugeben, bevor der Download beginnt. Die Anmeldedaten werden nur einmal verwendet und nicht gespeichert.
→ Mit Schritt 3 fortfahren.
Den Berechtigungstyp aus der Drop-down-Liste wählen.
Abb. 8.28 Authentifizieren des Downloads¶
Das Token, den Benutzernamen und das Passwort oder das TLS-Zertifikat und den Schlüssel für die Authentifizierung eingeben.
Auf Herunterladen klicken.
→ Der Download von CSAF-Dokumenten beginnt. Siehe Kapitel 8.7.2 für mögliche Status.
8.7.6 CSAF-Quellen filtern¶
Die Liste der CSAF-Quellen kann wie in Kapitel 5.4 beschrieben gefiltert werden.
Bemerkung
Wenn ein Filter keine Ergebnisse liefert, wird in der Tabelle mit der Liste der CSAF-Quellen Keine Daten verfügbar angezeigt.





