Ein Anwendungsschwachstellen-Rechner ist eine vordefinierte Formel, um ein Zielfeld zu berechnen, wenn bestimmte Kriterien erfüllt sind. Rechner, die die Risikopunktzahl des angreifbaren Elements (AVI) der Anwendung berechnen, können Risikoregelnenthalten. Risikoberechnungen bieten Einblicke in die Priorisierung von Remediationen.

Vorbereitungen

Erforderliche Rolle: App-Sec-Manager-Gruppe

Hinweis: Möglicherweise stellen Sie eine Leistungsverschlechterung fest, wenn Sie Anwendungsschwachstellen-Rechner ausführen, die Skripts enthalten.

Ordnen Sie Ihre Regeln so, dass die einfachsten Regeln zuerst ausgeführt werden. Führen Sie Skripts nur für die Elemente aus, die nicht mit einer Bedingung und einem Vorlagenwert oder einer Risikoregel behandelt werden können.

Prozedur

  1. Navigieren zu Alle > Application Vulnerability Response > Administration > Sicherheitsrisiko-Rechner.
  2. Klicken Sie auf Neu.
  3. Füllen Sie die entsprechenden Felder im Formular aus.
    Tabelle : 1. Formular „Schwachstellenrechner“.
    Feld Beschreibung
    Name Der Name des Anwendungsschwachstellen-Rechners.
    Tabelle Wird automatisch mit dem Namen der AVI-Tabelle ausgefüllt.
    Anwendung Automatisch ausgefüllt mit Vulnerability Response.
    Zielfeld Zu berechnendes Feld.
    Beschreibung Textbeschreibung des Rechners.
    Aktiv Schalten Sie den Rechner ein oder aus.
  4. Klicken Sie mit der rechten Maustaste auf den Header, um Speichern.
    Der Abschnitt „ Regeln des Schwachstellenrechners“ wird angezeigt.
  5. Erstellen Sie eine Regel für den Rechner, indem Sie auf Neuklicken.
    Hinweis: Informationen zum Formular „ Neue Risikoregeln“ (nur verfügbar, wenn das Feld Ziel Risikopunktzahllautet) finden Sie in Schritt 10.
  6. Füllen Sie die Felder entsprechend aus.
    Tabelle : 2. Formular „Schwachstellenrechner – Regel“
    Feld Beschreibung
    Name Name der Rechnerregel.
    Bestellung Die Reihenfolge, in der der Schwachstellenrechner ausgeführt werden soll. Ein Rechner mit einem Reihenfolgeeintrag von 100 wird vor einem Rechner mit einem Reihenfolgeeintrag von 200 ausgeführt.
    Rechner Automatisch mit dem übergeordneten Rechner ausgefüllt.
    Aktiv Standardmäßig ist die Checkbox Aktiv aktiviert, was bedeutet, dass die Rechnerregel aktiv ist. Wenn Sie diese Checkbox deaktivieren, gilt diese Regel nicht für neue angreifbare Elemente, die im System erstellt werden.
    Erweiterte Ansicht Wenn diese Option ausgewählt ist, können geskriptete Bedingungen und geskriptete Werte aus Bedingungstyp und Werttypausgewählt werden.
  7. Füllen Sie die Felder auf der Registerkarte Wenn diese Bedingung erfüllt ist entsprechend aus.
    Tabelle : 3. Registerkarte „Wenn diese Bedingung erfüllt ist“
    Feld Beschreibung
    Bedingungstyp Verfügbar, wenn Sie die erweiterte Ansichtauswählen. Zur Auswahl stehen:
    • Filter: Verwendet Filterbedingungen.
    • Filtergruppe: Informationen zum Definieren der Rechnerkriterien finden Sie unter Filtergruppen erstellen und definieren.
    • Skript: Skriptbedingung, die verwendet wird, um zu bestimmen, wann dieser Rechner angewendet werden soll.
      Hinweis: Bevor Sie Skripts schreiben, um zu bestimmen, wann die Rechner angewendet werden sollen, kehren Sie zur Liste der Anwendungsschwachstellenrechner zurück. Untersuchen Sie die Datensätze des Schwachstellenrechners, die im Lieferumfang des Basissystems enthalten sind.
    Bedingung Definiert grundlegende Filterbedingungen für die Bestimmung, ob der Rechner verwendet werden soll oder nicht.

    Wenn Sie entweder die Bedingungstypen Filtergruppe oder Skript auswählen, wird dieses Feld ausgeblendet.
  8. Klicken Sie auf die Registerkarte Diese Werte festlegen, und füllen Sie die Felder im Formular entsprechend aus.
    Tabelle : 4. Legen Sie diese Felder auf der Registerkarte fest
    Feld Beschreibung
    Werttyp Verfügbar, wenn Sie die erweiterte Ansichtauswählen. Zur Auswahl stehen:
    • Vorlage: Definieren Sie die Werte, die für jedes Feld festgelegt werden sollen.
    • Skript: Wird verwendet, um die Werte in jedem Feld festzulegen.
    Skriptwerte Verfügbar, wenn Sie den Werttyp Skript ausgewählt haben.

    Definiert, auf welche Werte die Berechnungen angewendet werden sollen.
    Vorlage Wählen Sie die Felder und Werte aus, die Sie für den Rechner verwenden möchten.

    Wenn Sie einen der Werttypen Skript auswählen, wird dieses Feld ausgeblendet.
  9. Wenn Sie alle Eingaben abgeschlossen haben, klicken Sie auf Absenden.
    Hinweis: Wenn Sie einen vorhandenen Rechner bearbeiten und alle vorhandenen Punktzahlen aktualisieren möchten, können Sie die Schaltfläche Rechner erneut anwenden verwenden. Er durchläuft alle aktiven AVIs. Wenn dieser Rechner zum Festlegen des Werts verwendet wird, wird der Wert für diese AVIs neu berechnet. Da das erneute Anwenden eines Rechners sehr lange dauern kann, wird dies mit einer regelmäßigen Aufgabe erledigt.
  10. Füllen Sie im Formular „Neue Risikoregeln“ die entsprechenden Felder aus.

    Legen Sie jede Gewichtung entsprechend dem Prozentsatz des Ergebnisses fest, der aus diesem Wert stammen soll. Legen Sie für alle Daten, die Ihr Scanner nicht bereitstellt, oder für Daten, die nicht Teil der Risikopunktzahl sein sollen, die Gewichtung auf 0 fest.

    Wenn Sie die Gewichtungen aktualisieren, zeigen Szenarien die verbleibenden Gewichtungen sowie die erwarteten Ergebnisse der Risikopunktzahl an.

    Feld Beschreibung
    Name Name der Rechnerregel.
    Bestellung Die Reihenfolge, in der der Rechner ausgeführt werden soll. Ein Rechner mit einem Reihenfolgeeintrag von 100 wird vor einem Rechner mit einem Reihenfolgeeintrag von 200 ausgeführt.
    Rechner Automatisch mit dem übergeordneten Rechner ausgefüllt.
    Aktiv Standardmäßig ist die Checkbox Aktiv aktiviert, was bedeutet, dass die Rechnerregel aktiv ist. Wenn Sie diese Checkbox deaktivieren, gilt diese Regel nicht für neue angreifbare Elemente, die im System erstellt werden.
    Bedingung Definiert grundlegende Filterbedingungen für die Bestimmung, ob der Rechner verwendet werden soll.

    Wenn Sie entweder die Bedingungstypen Filtergruppe oder Skript auswählen, wird dieses Feld ausgeblendet.
    Gewichtungen
    Schwachstellenschweregrad Prozentsatz des Ergebnisses, der aus dem Schweregrad stammt.
    OWASP Top 10 Prozentsatz des Ergebnisses, der auf das Vorhandensein der Schwachstelle in der OWASP Top 10-Liste zurückzuführen ist. Wenn diese Informationen in Ihren Schwachstellen nicht vorhanden sind, setzen Sie die Gewichtung auf 0.
    SANS Top 25 Prozentsatz des Ergebnisses, der aus dem Vorhandensein der Schwachstelle in der SANS-Top-25-Liste stammt. Wenn diese Informationen in Ihren Schwachstellen nicht vorhanden sind, setzen Sie die Gewichtung auf 0.
    Laufende Summe Automatisch berechnete Prozentsätze. Wenn dieser Wert 100 erreicht, zeigt die Szenariovorschau Beispiel-Risikopunktzahlen in verschiedenen Szenarien an.
    Beispielszenarien Wenn alle Gewichtungen 100 % ergeben, werden Risikopunktzahl-Szenarien angezeigt, die eine Vorschau der Risikopunktzahl in einigen der möglichen Szenarien bieten.
    Beispiel für Regel für Schwachstellenrisiko
  11. Klicken Sie auf Absenden.