Erstellen Sie einen Anwendungsschwachstellen-Rechner

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Ein Anwendungsschwachstellen-Rechner ist eine vordefinierte Formel zum Berechnen eines Zielfelds, wenn bestimmte Kriterien erfüllt sind. Rechner, die das angreifbare Anwendungselement (AVI) berechnen Risikopunktzahl , Kann enthalten Risikoregeln . Risikoberechnungen bieten Einblicke in die Priorisierung von Fehlerkorrekturen.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager-Gruppe

    Hinweis:
    Bei der Ausführung von Anwendungsschwachstellen-Rechnern, die Skripts enthalten, kann es zu einer Leistungsverschlechterung kommen.

    Ordnen Sie Ihre Regeln an, um zuerst die einfachsten Regeln auszuführen. Führen Sie nur Skripts für die Elemente aus, die nicht mit einer Bedingung und einem Vorlagenwert oder einer Risikoregel behandelt werden können.

    Prozedur

    1. Navigieren zu Alle > Application Vulnerability Response > Administration > Schwachstellen-Rechneran.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Tabelle : 1. Formular „Schwachstellenrechner“
      Feld Beschreibung
      Name Der Name des Anwendungsschwachstellen-Rechners.
      Tabelle Automatisch mit dem Namen der AVI-Tabelle ausgefüllt.
      Anwendung Automatisch ausgefüllt mit Vulnerability Response.
      Zielfeld Zu berechnendes Feld.
      Beschreibung Textbeschreibung des Rechners.
      Aktiv Aktivieren oder deaktivieren Sie den Rechner.
    4. Klicken Sie mit der rechten Maustaste in den Header zu Speichern .
      Die Regeln Für Schwachstellenrechner Abschnitt wird angezeigt.
    5. Erstellen Sie eine Regel für den Rechner, indem Sie auf klicken Neu .
      Hinweis:
      Für Neue Risikoregeln Formular (nur verfügbar, wenn Zielfeld Ist Risikopunktzahl ) Siehe Schritt 10.
    6. Füllen Sie die Felder entsprechend aus.
      Tabelle : 2. Formular „Schwachstellen-Rechner-Regel“
      Feld Beschreibung
      Name Name der Rechnerregel.
      Reihenfolge Die Reihenfolge, in der der Schwachstellenrechner ausgeführt werden soll. Ein Rechner mit einer Auftragseingabe von 100 wird vor einem Rechner mit einer Auftragseingabe von 200 ausgeführt.
      Rechner Wird automatisch mit dem übergeordneten Rechner ausgefüllt.
      Aktiv Standardmäßig ist Aktiv Das Kontrollkästchen ist aktiviert, was bedeutet, dass die Rechnerregel aktiv ist. Wenn Sie dieses Kontrollkästchen deaktivieren, gilt diese Regel nicht für neue angreifbare Elemente, die im System erstellt wurden.
      Erweiterte Ansicht Wenn diese Option ausgewählt ist, können geskriptete Bedingungen und geskriptete Werte aus ausgewählt werden Bedingungstyp Und Werttyp .
    7. Füllen Sie die Felder im aus Wenn diese Bedingung erfüllt ist Registerkarte entsprechend.
      Tabelle : 3. Registerkarte „wenn diese Bedingung erfüllt ist“
      Feld Beschreibung
      Bedingungstyp Verfügbar, wenn Sie auswählen Erweiterte Ansicht . Zur Auswahl stehen:
      • Filter: Verwendet Filterbedingungen.
      • Filtergruppe: Siehe Erstellen und definieren Sie Filtergruppen Zum Definieren der Rechnerkriterien.
      • Skript: Skriptbedingung, die verwendet wird, um zu bestimmen, wann dieser Rechner angewendet werden soll.
        Hinweis:
        Bevor Sie Skripts schreiben, um zu bestimmen, wann die Rechner angewendet werden sollen, kehren Sie zu zurück Anwendungsschwachstellen-Rechner Liste. Erkunden Sie die mit dem Basissystem gelieferten Schwachstellenrechner-Datensätze.
      Bedingung Definiert grundlegende Filterbedingungen, um zu bestimmen, ob der Rechner verwendet werden soll oder nicht.

      Wählen Sie entweder aus Filtergruppe Oder Skript Bedingungstypen, blendet dieses Feld aus.
    8. Klicken Sie auf Legen Sie diese Werte fest Registerkarte und füllen Sie die Felder im Formular entsprechend aus.
      Tabelle : 4. Legen Sie die Registerkarte diese Felder fest
      Feld Beschreibung
      Werttyp Verfügbar, wenn Sie auswählen Erweiterte Ansicht . Zur Auswahl stehen:
      • Vorlage: Definieren Sie die Werte, die für jedes Feld festgelegt werden sollen.
      • Skript: Wird verwendet, um die Werte für jedes Feld festzulegen.
      Skriptwerte Verfügbar, wenn Sie ausgewählt haben Skript Werttyp.

      Definiert, auf welche Werte die Berechnungen angewendet werden sollen.
      Vorlage Wählen Sie die Felder und Werte aus, die Sie für den Rechner verwenden möchten.

      Wählen Sie entweder aus Skript Werttyp, blendet dieses Feld aus.
    9. Wenn Sie alle Einträge abgeschlossen haben, klicken Sie auf Übermitteln .
      Hinweis:
      Wenn Sie einen vorhandenen Rechner bearbeiten und alle vorhandenen Punktzahlen aktualisieren möchten, können Sie verwenden Rechner Erneut Anwenden Schaltfläche. Er wird durch alle aktiven Avis ausgeführt. Wenn dieser Rechner zum Festlegen seines Werts verwendet würde, berechnet er den Wert für diese Avis neu. Da das erneute Anwenden eines Rechners lange dauern kann, wird er von einer geplanten Aufgabe verarbeitet.
    10. Für Neue Risikoregeln Füllen Sie die Felder entsprechend aus.

      Legen Sie jede Gewichtung entsprechend dem Prozentsatz des Ergebnisses fest, der aus diesem Wert stammen soll. Legen Sie für alle Daten, die Ihr Scanner nicht bereitstellt, oder für Daten, die nicht Teil der Risikopunktzahl sein sollten, die Gewichtung auf null fest.

      Während Sie die Gewichtungen aktualisieren, zeigen Szenarien die verbleibenden Gewichtungen sowie die erwarteten Gewichtungen an Risikopunktzahl Ergebnisse.

      Feld Beschreibung
      Name Name der Rechnerregel.
      Reihenfolge Die Reihenfolge, in der der Rechner ausgeführt werden soll. Ein Rechner mit einer Auftragseingabe von 100 wird vor einem Rechner mit einer Auftragseingabe von 200 ausgeführt.
      Rechner Wird automatisch mit dem übergeordneten Rechner ausgefüllt.
      Aktiv Standardmäßig ist Aktiv Das Kontrollkästchen ist aktiviert, was bedeutet, dass die Rechnerregel aktiv ist. Wenn Sie dieses Kontrollkästchen deaktivieren, gilt diese Regel nicht für neue angreifbare Elemente, die im System erstellt wurden.
      Bedingung Definiert grundlegende Filterbedingungen für die Bestimmung, ob der Rechner verwendet werden soll.

      Wählen Sie entweder aus Filtergruppe Oder Skript Bedingungstypen, blendet dieses Feld aus.
      Gewichtungen
      Schwachstellenschweregrad Prozentsatz des Ergebnisses, das aus dem Schweregrad stammt.
      OWASP Top 10 Prozentsatz des Ergebnisses, das aus der Präsenz der Schwachstelle in der OWASP Top 10-Liste stammt. Wenn diese Informationen in Ihren Schwachstellen nicht vorhanden sind, legen Sie die Gewichtung auf null fest.
      SANS Top 25 Prozentsatz des Ergebnisses, das aus der Präsenz der Schwachstelle in der Liste der Top 25 der SANS stammt. Wenn diese Informationen in Ihren Schwachstellen nicht vorhanden sind, legen Sie die Gewichtung auf null fest.
      Laufende Summe Automatisch berechnete Prozentsätze insgesamt. Wenn dieser Wert 100 erreicht, werden in der Szenariovorschau Beispielrisikopunktzahlen in verschiedenen Szenarien angezeigt.
      Beispielszenarien Wenn alle Gewichtungen 100 % ergeben, werden Szenarien für Risikopunktzahlen angezeigt, die in einigen der möglichen Szenarien eine Vorschau der Risikopunktzahl bieten.
      Beispiel für Schwachstellenrisikoregel
    11. Klicken Sie auf Absenden.