Erstellen Sie einen Anwendungsschwachstellen-Rechner

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Ein Anwendungsschwachstellen-Rechner enthält eine vordefinierte Formel zur Berechnung eines Zielfelds, wenn bestimmte Kriterien erfüllt sind. Rechner, die die Risikopunktzahl des angreifbaren Elements (AVI) der Anwendung berechnen, können Risikoregelnenthalten. Risikoberechnungen bieten Einblicke in die Priorisierung der Problembehebung.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager-Gruppe

    Hinweis:
    Beim Ausführen von Anwendungsschwachstellen-Rechnern, die Skripts enthalten, kann es zu einer Verschlechterung der Leistung kommen.

    Ordnen Sie Ihre Regeln so an, dass die einfachsten Regeln zuerst ausgeführt werden. Führen Sie Skripts nur für die Elemente aus, die nicht mit einer Bedingung und einem Vorlagenwert oder einer Risikoregel behandelt werden können.

    Prozedur

    1. Navigieren zu Alle > Application Vulnerability Response > Administration > Schwachstellen-Rechneran.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Tabelle : 1. Formular „Schwachstellen-Rechner“.
      Feld Beschreibung
      Name Der Name des Anwendungsschwachstellen-Rechners.
      Tabelle Automatisch mit dem Namen der AVI-Tabelle ausgefüllt.
      Anwendung Automatisch ausgefüllt mit Vulnerability Response.
      Zielfeld Zu berechnendes Feld.
      Beschreibung Textbeschreibung des Rechners.
      Aktiv Rechner ein- oder ausschalten.
    4. Klicken Sie mit der rechten Maustaste in den Header, um Speichernzu wählen.
      Der Abschnitt Regeln des Schwachstellen-Rechners wird angezeigt.
    5. Erstellen Sie eine Regel für den Rechner, indem Sie auf Neuklicken.
      Hinweis:
      Das Formular „ Neue Risikoregeln“ (nur verfügbar, wenn das Feld Ziel auf Risikopunktzahlfestgelegtist) finden Sie in Schritt 10.
    6. Füllen Sie die Felder entsprechend aus.
      Tabelle : 2. Formular „Regel des Schwachstellen-Rechners“.
      Feld Beschreibung
      Name Name der Rechnerregel.
      Bestellung Reihenfolge, in der der Schwachstellen-Rechner ausgeführt werden soll. Ein Rechner mit einem Reihenfolgeneintrag von 100 wird vor einem Rechner mit einem Reihenfolgeneintrag von 200 ausgeführt.
      Rechner Automatisch mit dem übergeordneten Rechner ausgefüllt.
      Aktiv Standardmäßig ist das Kontrollkästchen Aktiv aktiviert, was bedeutet, dass die Rechnerregel aktiv ist. Wenn Sie dieses Kontrollkästchen deaktivieren, gilt diese Regel nicht für neue angreifbare Elemente, die im System erstellt werden.
      Erweiterte Ansicht Wenn diese Option ausgewählt ist, können geskriptete Bedingungen und geskriptete Werte unter Bedingungstyp und Werttypausgewählt werden.
    7. Füllen Sie die Felder auf der Registerkarte Wenn diese Bedingung erfüllt ist entsprechend aus.
      Tabelle : 3. Registerkarte, wenn diese Bedingung erfüllt ist
      Feld Beschreibung
      Bedingungstyp Verfügbar, wenn Sie die Ansicht „Erweitert“ auswählen. Zur Auswahl stehen:
      • Filter: Verwendet Filterbedingungen.
      • Filtergruppe: Siehe Filtergruppen erstellen und definieren, um die Rechnerkriterien zu definieren.
      • Skript: Skriptbedingung, anhand derer bestimmt wird, wann dieser Rechner angewendet werden soll.
        Hinweis:
        Bevor Sie Skripts schreiben, um zu bestimmen, wann die Rechner angewendet werden sollen, kehren Sie zur Liste der Rechner für Anwendungsschwachstellen zurück. Machen Sie sich mit den Datensätzen des Schwachstellen-Rechners vertraut, die im Lieferumfang des Basissystems enthalten sind.
      Bedingung Definiert grundlegende Filterbedingungen, um zu bestimmen, ob der Rechner verwendet werden soll oder nicht.

      Wenn Sie entweder den Bedingungstyp „Filtergruppe“ oder „ Skript “ auswählen, wird dieses Feld ausgeblendet.
    8. Klicken Sie auf die Registerkarte Diese Werte festlegen, und füllen Sie die Felder im Formular entsprechend aus.
      Tabelle : 4. Legen Sie die Registerkarte für diese Felder fest
      Feld Beschreibung
      Werttyp Verfügbar, wenn Sie die Ansicht „Erweitert“ auswählen. Zur Auswahl stehen:
      • Vorlage: Definieren Sie die Werte, die für jedes Feld festgelegt werden sollen.
      • Skript: Wird verwendet, um die Werte für jedes Feld festzulegen.
      Skriptwerte Verfügbar, wenn Sie den Werttyp „ Skript “ ausgewählt haben.

      Definiert, auf welche Werte die Berechnungen angewendet werden sollen.
      Vorlage Wählen Sie die Felder und Werte aus, die Sie für den Rechner verwenden möchten.

      Wenn Sie den Werttyp „Skript “ auswählen, wird dieses Feld ausgeblendet.
    9. Wenn Sie alle Eingaben abgeschlossen haben, klicken Sie auf Absenden.
      Hinweis:
      Wenn Sie einen vorhandenen Rechner bearbeiten und alle vorhandenen Punktzahlen aktualisieren möchten, können Sie die Schaltfläche Rechner erneut anwenden verwenden. Er durchläuft alle aktiven AVIs, und wenn dieser Rechner zum Festlegen des Werts verwendet wird, berechnet er den Wert für diese AVIs neu. Da das erneute Anwenden eines Rechners sehr lange dauern kann, wird dies von einer regelmäßigen Aufgabe verarbeitet.
    10. Füllen Sie im Formular „Neue Risikoregeln“ die entsprechenden Felder aus.

      Legen Sie jede Gewichtung entsprechend dem Prozentsatz des Ergebnisses fest, der von diesem Wert stammen soll. Legen Sie für alle Daten, die Ihr Scanner nicht bereitstellt, oder für Daten, die nicht Teil der Risikopunktzahl sein sollen, die Gewichtung auf Null fest.

      Wenn Sie die Gewichtungen aktualisieren, zeigen die Szenarien die verbleibenden Gewichtungen sowie die erwarteten Risikopunktzahlergebnisse an.

      Feld Beschreibung
      Name Name der Rechnerregel.
      Bestellung Die Reihenfolge, in der der Rechner ausgeführt werden soll. Ein Rechner mit einem Reihenfolgeneintrag von 100 wird vor einem Rechner mit einem Reihenfolgeneintrag von 200 ausgeführt.
      Rechner Automatisch mit dem übergeordneten Rechner ausgefüllt.
      Aktiv Standardmäßig ist das Kontrollkästchen Aktiv aktiviert, was bedeutet, dass die Rechnerregel aktiv ist. Wenn Sie dieses Kontrollkästchen deaktivieren, gilt diese Regel nicht für neue angreifbare Elemente, die im System erstellt werden.
      Bedingung Definiert grundlegende Filterbedingungen für die Bestimmung, ob der Rechner verwendet werden soll.

      Wenn Sie entweder den Bedingungstyp „Filtergruppe“ oder „ Skript “ auswählen, wird dieses Feld ausgeblendet.
      Gewichtungen
      Schwachstellenschweregrad Prozentsatz des Ergebnisses, der sich aus dem Schweregrad ergibt.
      OWASP Top 10 Prozentsatz des Ergebnisses, der sich aus dem Vorhandensein der Schwachstelle in der OWASP-Top-10-Liste ergibt. Wenn diese Informationen in Ihren Schwachstellen nicht vorhanden sind, setzen Sie die Gewichtung auf 0.
      SANS Top 25 Prozentsatz des Ergebnisses, der sich aus dem Vorhandensein der Schwachstelle in der SANS-Top-25-Liste ergibt. Wenn diese Informationen in Ihren Schwachstellen nicht vorhanden sind, setzen Sie die Gewichtung auf 0.
      Laufende Summe Automatisch berechnete Prozentsätze insgesamt. Wenn dieser Wert 100 erreicht, zeigt die Szenariovorschau Beispiel-Risikopunktzahlen in verschiedenen Szenarien an.
      Beispielszenarien Wenn alle Gewichtungen insgesamt 100 % ergeben, werden Risikopunktzahl-Szenarien angezeigt, die eine Vorschau der Risikopunktzahl in einigen der möglichen Szenarien bieten.
      Beispiel für die Regel zum Schwachstellenrisiko
    11. Klicken Sie auf Absenden.