Crie uma calculadora de vulnerabilidade da aplicação

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Uma calculadora de vulnerabilidade da aplicação é uma fórmula predefinida para calcular um campo de destino quando determinados critérios são atendidos. Calculadoras, que calculam o item vulnerável da aplicação (AVI) Pontuação de risco , pode conter Regras de risco . Os cálculos de risco oferecem informações para priorizar a correção.

    Antes de Iniciar

    Função necessária: Grupo do gerenciador de apps-sec

    Nota:
    Você pode notar degradação de desempenho ao executar calculadoras de vulnerabilidade da aplicação que contêm scripts.

    Ordene suas regras para executar as regras mais simples primeiro. Execute scripts somente nos itens que não podem ser manipulados com um valor de condição e modelo ou uma regra de risco.

    Procedimento

    1. Navegar até Tudo > Resposta a vulnerabilidades de aplicações > Administração > Calculadoras de vulnerabilidade.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme o apropriado.
      Tabela 1. Formulário da calculadora de vulnerabilidades
      Campo Descrição
      Nome O nome da calculadora de vulnerabilidade da aplicação.
      Tabela Preenchido automaticamente com o nome da tabela AVI.
      Aplicação Preenchido automaticamente com Resposta a vulnerabilidades.
      Campo de destino Campo a ser calculado.
      Descrição Descrição do texto da calculadora.
      Ativo Ligue ou desligue a calculadora.
    4. Clique com o botão direito do mouse no cabeçalho para Salvar .
      . Regras da calculadora de vulnerabilidades a seção é exibida.
    5. Clique em para criar uma regra para a calculadora Novo .
      Nota:
      Para Novas regras de risco (disponível somente quando Campo de destino é Pontuação de risco consulte a etapa 10.
    6. Preencha os campos, se for o caso.
      Tabela 2. Formulário de regra da calculadora de vulnerabilidades
      Campo Descrição
      Nome Nome da regra da calculadora.
      Ordem A ordem na qual a calculadora de vulnerabilidades deve ser executada. Uma calculadora com uma entrada de pedido de 100 é executada antes de uma calculadora com uma entrada de pedido de 200.
      Calculadora Preenchido automaticamente com o primário da calculadora.
      Ativo Por padrão, o. Ativo está marcada, o que significa que a regra da calculadora está ativa. Se você desmarcar esta caixa de seleção, esta regra não se aplicará a novos itens vulneráveis criados no sistema.
      Exibição avançada Quando selecionado, as condições com script e os valores com script podem ser selecionados Tipo de condição e. Tipo de valor .
    7. Preencha os campos em Quando esta condição é atendida , conforme apropriado.
      Tabela 3. Quando esta condição for atendida
      Campo Descrição
      Tipo de condição Disponível quando você seleciona Exibição avançada . As opções incluem:
      • Filtro: Usa condições de filtro.
      • Grupo de filtros: Consulte crie e defina grupos de filtros para definir os critérios da calculadora.
      • Script: Condição de script usada para determinar quando aplicar esta calculadora.
        Nota:
        Antes de escrever scripts para determinar quando aplicar as calculadoras, retorne para Calculadoras de vulnerabilidade da aplicação lista. Explore os registros da calculadora de vulnerabilidades enviados com o sistema base.
      Condição Define condições básicas de filtro para determinar se a calculadora deve ser usada ou não.

      Selecionando Grupo de filtros ou Script tipos de condição, oculta este campo.
    8. Clique em Defina estes valores e preencha os campos no formulário, conforme apropriado.
      Tabela 4. Defina a guia destes campos
      Campo Descrição
      Tipo de valor Disponível quando você seleciona Exibição avançada . As opções incluem:
      • Modelo: Defina os valores a serem definidos em cada campo.
      • Script: Usado para definir os valores em cada campo.
      Valores de Script Disponível se você selecionou Script tipo de valor.

      Define a quais valores aplicar os cálculos.
      Modelo Selecione os campos e valores que você deseja usar para a calculadora.

      Selecionando Script tipo de valor, oculta este campo.
    9. Após concluir todas as entradas, clique em Enviar .
      Nota:
      Ao editar uma calculadora existente e quiser atualizar todas as pontuações existentes, você pode usar o. Reaplique a calculadora botão. Ele é executado em todos os Avis ativos e, se essa calculadora for usada para definir seu valor, recalcula o valor desses Avis. Uma vez que a reaplicação de uma calculadora pode levar muito tempo, um trabalho agendado lida com isso.
    10. Para Novas regras de risco preencha os campos conforme apropriado.

      Defina cada ponderação de acordo com a porcentagem do resultado que deve vir desse valor. Para quaisquer dados que o scanner não forneça ou para dados que não devem fazer parte da pontuação de risco, defina o peso como zero.

      À medida que você atualiza os pesos, os cenários exibem os pesos restantes, bem como os previstos Pontuação de risco resultados.

      Campo Descrição
      Nome Nome da regra da calculadora.
      Ordem A ordem em que a calculadora será executada. Uma calculadora com uma entrada de pedido de 100 é executada antes de uma calculadora com uma entrada de pedido de 200.
      Calculadora Preenchido automaticamente com o primário da calculadora.
      Ativo Por padrão, o. Ativo está marcada, o que significa que a regra da calculadora está ativa. Se você desmarcar esta caixa de seleção, esta regra não se aplicará a novos itens vulneráveis criados no sistema.
      Condição Define condições básicas de filtro para determinar se a calculadora deve ser usada.

      Selecionando Grupo de filtros ou Script tipos de condição, oculta este campo.
      Pesos
      Severidade da Vulnerabilidade Porcentagem do resultado que vem da gravidade.
      10 principais da OWASP Porcentagem do resultado que vem da presença da vulnerabilidade na lista dos 10 principais do OWASP. Se essas informações não estiverem presentes em suas vulnerabilidades, defina o peso como zero.
      25 principais da SANS Porcentagem do resultado que vem da presença da vulnerabilidade na lista das 25 principais SANS. Se essas informações não estiverem presentes em suas vulnerabilidades, defina o peso como zero.
      Total da execução Percentuais totais calculados automaticamente. Quando esse valor atinge 100, a visualização do cenário mostra pontuações de risco de amostra em diferentes cenários.
      Cenários de exemplo Quando todos os pesos totalizam 100%, os cenários de pontuação de risco são exibidos, fornecendo uma visualização da pontuação de risco em alguns dos cenários possíveis.
      Exemplo de regra de risco de vulnerabilidade
    11. Clique em Enviar.