Beispiel für die Berechnung der Vertrauenspunktzahl
Beispiel für die Berechnung der Konfidenz für eine Zero-Day-Schwachstelle basierend auf den Informationen zu Common Vulnerabilities and Exposures (CVE).
Im Folgenden finden Sie ein Beispiel für die Berechnung der Konfidenzpunktzahl aus den Informationen der Common Platform Enumeration (CPE) von CVE-2019-5786.
Hinweis:
Es folgt ein Beispiel für einen Risikobewertungsdatensatz: Um die CPEs anzuzeigen, können Sie die Spalte Schwachstelle nach Schwachstelle gruppieren. Weitere Informationen zum Anzeigen der Details zu angreifbarer Software finden Sie unter Zeigen Sie Details zu angreifbarer Software an.
Es folgt ein Beispiel für ein Erkennungsmodell:
So berechnen Sie die Konfidenzpunktzahl
Der Konfidenzpunktzahlbereich liegt zwischen 0 und 1. Basierend auf den CPE-Informationen wird die Konfidenzpunktzahl anhand der folgenden Formel berechnet:((BASE SCORE) + (publisher score) +(product score) + (version score) + (edition score) + (display name score)) / 100((25) + (10) + (10)) / 10045 / 100.45Hinweis:
Informationen zu den zur Berechnung der Konfidenzpunktzahl verwendeten Werten finden Sie unter Referenztabellen der Vertrauensbewertung für die Risikobewertung.
Berechnung der Konfidenzpunktzahl, wenn das Softwaremodell mit dem normalisierten Discovery-Modell abgeglichen wird
Wenn Sie das normalisierte Discovery-Modell verwenden, bieten die zusätzlichen Informationen, die für das Software-Discovery-Modell verfügbar sind, eine verbesserte Konfidenzpunktzahl. Im Folgenden finden Sie die Beispielberechnung:
Es folgt ein Beispieldatensatz für eine normalisierte Risikobewertung.Es folgt ein Beispiel für ein normalisiertes Erkennungsmodell.
((BASE SCORE) + (publisher score) +(product score) + (version score) + (edition score) + (display name score)) / 100((25) + (15) + (15) + (15) + (15) + (10)) / 10085 / 100.85Hinweis:
Informationen zu den zur Berechnung der Konfidenzpunktzahl verwendeten Werten finden Sie unter Referenztabellen der Vertrauensbewertung für die Risikobewertung.