Zum Hauptinhalt springen

Reports & Schwachstellenmanagement

Worum geht's hier?

Wie die Greenbone Enterprise Appliance Scan-Ergebnisse in Reports verwandelt und wie du damit durchgängig arbeitest: Report-Formate konfigurieren und verwalten, Reports lesen, filtern, exportieren und importieren, Alerts auslösen, Delta-Reports erstellen sowie das Konzept Quality of Detection (QoD). Außerdem werden die zentralen Ergebnis- und Schwachstellen-Ansichten, der Schwachstellen-Trend und die drei Behebungswerkzeuge behandelt — Remediation-Tickets, Notizen und Overrides (einschließlich False Positives).

Quellenbezug

Basierend auf dem Handbuch der Greenbone Enterprise Appliance (GOS 22.04 / OPENVAS SCAN 22.04), Kapitel 11, geprĂĽft im Juni 2026. Die Report-Verarbeitung ist in der kostenlosen Community Edition identisch.

Die Abschnittsverweise unten (z. B. §11.2) verweisen auf die Kapitelnummern des Handbuchs. Nicht alle Appliance-Modelle unterstützen jede Menüoption — prüfe die Modelltabellen in Kapitel 3 des Handbuchs, um zu bestätigen, dass eine Funktion für deine Appliance verfügbar ist.

Die Ergebnisse eines Scans werden in einem Report zusammengefasst. Die Appliance speichert alle Reports aller jemals durchgeführten Scans in einer lokalen Datenbank, sodass historische Informationen zugänglich bleiben. Sobald ein Scan gestartet ist, kann der Report der bisher gefundenen Ergebnisse eingesehen werden; wenn der Scan abgeschlossen ist, wechselt der Status auf Done und es werden keine weiteren Ergebnisse hinzugefügt.

1. Report-Formate konfigurieren und verwalten​

Ein Report-Format definiert, wie ein Report aus den rohen Scan-Ergebnissen erzeugt wird. Viele Formate reduzieren die verfügbaren Daten, um sie aussagekräftig darzustellen, und sie ermöglichen es, Report-Informationen in andere Dokumentformate zur Verarbeitung durch Drittanwendungen (Connectoren) zu exportieren. Der Dateiname eines exportierten Reports ist in den Benutzereinstellungen konfigurierbar (§8.7).

Das native Appliance-XML-Format enthält alle Daten und ist das Format, das beim Import eines exportierten Reports auf eine andere Appliance zu verwenden ist — erstelle dafür einen Container-Task (§10.5). Siehe Ein System scannen zu Container-Tasks. (§11.1)

1.1 Standard-Report-Formate​

Alle Standard-Report-Formate sind Datenobjekte, die über den Feed verteilt werden; sie werden mit jedem Feed-Update heruntergeladen und aktualisiert. (§11.1.1)

hinweis

Report-Formate können veraltet sein. Sie sind im Web-Interface mit (Deprecated) markiert und werden nicht mehr dokumentiert. Ein veraltetes Format kann nicht mehr verwendet werden — ein Export in einem solchen Format kann eine leere oder anderweitig unbrauchbare Datei erzeugen.

Wenn keine Standard-Report-Formate verfügbar sind, ist möglicherweise ein Feed-Update nötig, oder der Feed Import Owner muss gesetzt werden (§7.2.1.10.1). Standard-Report-Formate können nicht bearbeitet werden. Sie können nur vorübergehend vom Feed Import Owner oder einem Super-Administrator gelöscht werden — sie tauchen beim nächsten Feed-Update wieder auf. Um eines dauerhaft zu löschen, muss der Feed Import Owner es löschen und anschließend auf (Unset) geändert werden.

Die folgenden Report-Formate sind standardmäßig verfügbar:

Report-FormatEinsatz
Anonymous XMLAnonyme Version des XML-Formats; IP-Adressen werden durch zufällige IP-Adressen ersetzt.
ARF: Asset Reporting Format v1.0.0Report im NIST Asset Reporting Format.
CPE – Common Platform Enumeration CSV TableWählt alle CPE-Tabellen in eine einzige kommagetrennte Datei aus.
CSV HostsKommagetrennte Datei mit den entdeckten Systemen.
CSV ResultsKommagetrennte Datei mit den Ergebnissen eines Scans.
GCR PDF – Greenbone Compliance ReportVollständiger Compliance-Report für Compliance-Audits, alle Schwachstellen in grafischer Form als PDF. Englisch.
GSR HTML – Greenbone Security ReportVollständiger Security-Report mit allen Schwachstellen und Ergebnissen; HTML mit dynamisch sortierbaren Listen (JavaScript erforderlich). Englisch.
GSR PDF – Greenbone Security ReportVollständiger Security-Report, alle Schwachstellen in grafischer Form als PDF. Topologie-Graph entfällt ab 100 Hosts. Englisch.
GXCR PDF – Greenbone Executive Compliance ReportGekürzter Compliance-Report für das Management, grafisches PDF. Englisch.
GXR PDF – Greenbone Executive ReportGekürzter Security-Report für das Management, grafisches PDF. Topologie-Graph entfällt ab 100 Hosts. Englisch.
LaTeXLaTeX-Quelltext. Englisch.
NBEAltes OpenVAS-/Nessus-Format; keine Unterstützung für Notizen, Overrides und einige zusätzliche Informationen.
PDFVollständiger, neutraler Report als PDF. Englisch.
TLS MapReport-Format für TLS-Map-Scans (§12.6).
Topology SVGStellt die Ergebnisse als SVG-Bild dar.
TXTTextdatei; nĂĽtzlich beim Versand per E-Mail. Englisch.
Verinice ISMImportdatei für das ISMS-Tool verinice (§18.1).
Verinice ISM all resultsImportdatei für das ISMS-Tool verinice (§18.1).
Verinice ITG (obsolete)Importdatei für das ISMS-Tool verinice (§18.1).
Vulnerability Report HTML (recommended)Neuer vollständiger Security-Report mit allen Schwachstellen und Ergebnissen; öffnet sich in einem Browser oder HTML-Viewer. Englisch.
Vulnerability Report PDF (recommended)Neuer vollständiger Security-Report, alle Schwachstellen in grafischer Form als PDF. Begrenzt auf die ersten 500 Ergebnisse pro Host (auf der Titelseite wird ein Hinweis angezeigt, wenn Ergebnisse weggelassen werden). Englisch.
XMLNativer XML-Export. Enthält alle Ergebnisse und formatiert sie überhaupt nicht.

1.2 Report-Formate verwalten​

Liste alle Report-Formate über Configuration > Report Formats auf. Für jedes Format zeigt die Liste: (§11.1.2)

  • Name — Name des Report-Formats.
  • Extension — der heruntergeladene Dateiname ist die Report-UUID plus diese Erweiterung; sie hilft dem Browser auĂźerdem, eine kompatible Anwendung zu starten, wenn der Content-Type nicht erkannt wird.
  • Content Type — gibt das verwendete Format an und wird beim Download mitgesendet, damit der Browser eine kompatible Anwendung starten kann. Er wird auĂźerdem intern genutzt, um im Kontext passende Plug-ins anzubieten (zum Beispiel werden alle text/*-Plug-ins angeboten, wenn ein Report per E-Mail gesendet wird).
  • Trust (Last Verified) — jedes Report-Format-Plug-in muss von Greenbone digital signiert sein; Signaturen werden ĂĽber den Greenbone Enterprise Feed verteilt. Die Trust-PrĂĽfung erfolgt automatisch, und ihr Ergebnis erscheint in dieser Spalte.
  • Active — ein Format ist nur in den AuswahlmenĂĽs verfĂĽgbar, wenn es aktiviert ist. Neu importierte Formate starten deaktiviert, und ein Format kann erst aktiviert werden, wenn es vertrauenswĂĽrdig ist.

Aktionen auf der Listenseite: ein Format in den Papierkorb verschieben (solange es im Papierkorb bleibt, wird es beim nächsten Feed-Update nicht erneut heruntergeladen) und ein Format bearbeiten (nur selbst erstellte Formate können bearbeitet werden). Ein Dropdown unter der Liste lässt mehrere Formate gleichzeitig in den Papierkorb verschieben. Die Detailseite (Klick auf den Formatnamen) bietet dieselben Aktionen plus das Öffnen des Handbuchkapitels und das Hinzufügen eines neuen Formats.

1.3 Ein Report-Format hinzufügen​

vorsicht

Um Missbrauch zu verhindern, muss jedes zusätzlich importierte Report-Format von Greenbone geprüft und digital signiert werden. Nicht von Greenbone signierte Formate werden in GOS nicht unterstützt und können nicht verwendet werden.

Um ein Report-Format zu importieren (§11.1.3):

  1. Beschaffe ein Report-Format-Plug-in, das von Greenbone geprĂĽft und akzeptiert wurde.
  2. Wähle Configuration > Report Formats und starte dann den Import.
  3. Klicke auf Browse... und wähle das Plug-in aus.
  4. Klicke auf Save. Das importierte Format erscheint auf der Seite Report Formats.
  5. Ă–ffne es in seiner Zeile zur Bearbeitung.
  6. Wähle bei Active den Radio-Button Yes.
  7. Klicke auf Save.

2. Reports verwenden und verwalten​

Liste jeden Report jedes Scans über Scans > Reports auf. Die Gesamtanzahl der Reports für einen Task wird auf der Seite Tasks in der Spalte Reports angezeigt; klicke auf diese Zahl, um die Seite Reports gefiltert auf diesen Task zu öffnen. Ein Klick auf das Datum in der Spalte Last Report öffnet die Detailseite des neuesten Reports dieses Tasks. (§11.2)

Pro Report zeigt die Liste:

  • Date — Datum und Uhrzeit der Report-Erstellung.
  • Status — Status des zugehörigen Tasks.
  • Task — der zugehörige Task.
  • Severity — höchste vom Scan gefundene Schwere.
  • High / Medium / Low / Log / False Pos. — Anzahl der gefundenen Schwachstellen je Schweregrad.

Report-Aktionen: einen Delta-Report erstellen (siehe Abschnitt 2.5) und den Report löschen. Ein Dropdown unter der Liste löscht mehrere Reports gleichzeitig.

2.1 Einen Report lesen​

Klicke auf das Datum eines Reports, um seine Details zu öffnen. Die folgenden Register sind verfügbar: (§11.2.1)

  • Information — allgemeine Informationen ĂĽber den Scan.
  • Results — alle Ergebnisse in diesem Report (siehe Abschnitt 2.1.1).
  • Hosts — gescannte Hosts mit Namen, IP-Adressen, erkannten Betriebssystemen, Schwachstellenzahlen je Schweregrad und höchster gefundener Schwere.
  • Ports — gescannte Ports mit Portname, Anzahl der Hosts und höchster gefundener Schwere.
  • Applications — gescannte Anwendungen mit CPE, Anzahl der Hosts, Anzahl der Ergebnisvorkommen, die dieses CPE erkennen, und höchster gefundener Schwere.
  • Operating Systems — gescannte Betriebssysteme mit Systemname, Hostname, Anzahl der gescannten Hosts und höchster gefundener Schwere.
  • CVEs — vom Scan gefundene CVEs.
  • Closed CVEs — CVEs ursprĂĽnglich erkannter Schwachstellen, die während des Scans bereits als behoben bestätigt wurden.
  • TLS Certificates — vom Scan gefundene TLS-Zertifikate.
  • Error Messages — während des Scans aufgetretene Fehler.
  • User Tags — zugewiesene Tags (§8.4).

Spalten können durch Klick auf den Spaltentitel auf- oder absteigend sortiert werden. Aus der oberen linken Ecke kannst du unter anderem: das Handbuchkapitel öffnen; alle Report-Formate anzeigen; Report-Inhalte, die mindestens eine QoD von 70 % haben und bei aktivierten Overrides, zu den Assets hinzufügen (oder Report-Inhalte aus den Assets entfernen); den zugehörigen Task anzeigen; Results, Vulnerabilities oder TLS Certificates gefiltert auf diesen Report öffnen; Performance für die Dauer des Scans öffnen; einen gefilterten Report herunterladen (Abschnitt 2.2); und einen Alert auslösen, um einen Report zu senden (Abschnitt 2.4).

2.1.1 Ergebnisse eines Reports​

Das Register Results listet alle von der Appliance erkannten Schwachstellen auf. (§11.2.1.1)

hinweis

Standardmäßig werden Overrides nicht auf die Ergebnisse angewendet. Wende sie an, indem du den Report filterst und Apply Overrides auf Yes setzt (siehe Abschnitt 2.1.3).

Pro Ergebnis wird Folgendes angezeigt:

  • Vulnerability — Name der gefundenen Schwachstelle; klicke darauf fĂĽr Schwachstellendetails. Schwachstellen mit angehängter Notiz oder angehängtem Ticket sind mit dem jeweiligen Symbol markiert. Wenn die Spalte leer erscheint, wurde die jeweilige VT noch nicht aktualisiert.
  • Solution type — siehe die Tabelle unten.
  • Severity — die Schwere der Schwachstelle (CVSS, §14.2.3), als Balken dargestellt.
  • QoD — Quality of Detection, ein Wert zwischen 0 % und 100 %, der die Zuverlässigkeit der Erkennung beschreibt. Standardmäßig werden nur Ergebnisse angezeigt, die von VTs mit einer QoD von 70 % oder höher erkannt wurden; der Filter kann gesenkt werden (§8.3.1). Siehe Abschnitt 2.6.
  • Host — Host, auf dem das Ergebnis gefunden wurde (IP-Adresse und Name getrennt angezeigt).
  • Location — Portnummer und Protokolltyp, mit denen die Schwachstelle auf dem Host gefunden wurde.
  • Created — Datum und Uhrzeit der Report-Erstellung.

Lösungstypen, die jedes Ergebnis bieten kann:

Solution typeBedeutung
Vendor patchEin Hersteller-Patch ist verfĂĽgbar.
WorkaroundEin Workaround ist verfĂĽgbar.
MitigationEine Minderung durch Konfiguration ist verfĂĽgbar.
Will not fixEs gibt und wird keinen Fix geben.
No fix availableEs existiert keine Lösung.

2.1.2 Einen Report interpretieren​

Beim Interpretieren der Ergebnisse solltest du Folgendes beachten (§11.2.1.2):

  • False Positives — ein False Positive ist ein Finding, das ein Problem beschreibt, das in Wirklichkeit nicht existiert. Scanner finden häufig Hinweise auf eine Schwachstelle, ohne ein abschlieĂźendes Urteil fällen zu können. Die Appliance meldet alle potenziell existierenden Schwachstellen (statt ein False Negative zu riskieren), weil ein Benutzer False Positives identifizieren und verwalten kann. Wenn du weiĂźt, dass ein False Positive vorliegt, konfiguriere einen Override (Abschnitt 5).
  • Mehrere Findings, eine Ursache — ein altes Softwarepaket löst oft viele VTs und damit viele Alerts aus; die Installation eines aktuellen Pakets beseitigt viele Schwachstellen auf einmal.
  • High und Medium — diese sind am wichtigsten und sollten vorrangig behandelt werden, High vor Medium. Weiche nur in Ausnahmefällen davon ab (zum Beispiel, wenn ein High-Finding durch die Firewall nicht erreichbar ist).
  • Low und Log — standardmäßig herausgefiltert, aber fĂĽr ein detailliertes Verständnis nĂĽtzlich; ihre BerĂĽcksichtigung erhöht die Sicherheit. Ein typisches Log-Ergebnis ist ein Service-Banner, das Name und Versionsnummer offenlegt, was fĂĽr einen Angreifer nĂĽtzlich ist, falls diese Version eine bekannte Schwachstelle hat.

2.1.3 Einen Report filtern​

Ein Report enthält oft viele Findings, daher können sowohl der vollständige Report als auch gefilterte Teilmengen angezeigt und heruntergeladen werden. Zum Filtern (§11.2.1.3):

  1. Ă–ffne den Filter in der Filterleiste.
  2. Gib ein Stichwort in das Eingabefeld Filter ein.
  3. Wähle bei Apply Overrides Yes, um Overrides zu aktivieren, oder No, um sie zu deaktivieren (Abschnitt 5).
  4. Aktiviere bei Bedarf Only show hosts that have results.
  5. Wähle bei QoD die gewünschte QoD aus (Abschnitt 2.6).
  6. Aktiviere bei Severity (Class) die Checkboxen der gewĂĽnschten Schweregradklassen.
  7. Wähle bei Solution Type die Radio-Buttons der gewünschten Lösungstypen aus.
  8. Gib einen Teil eines Schwachstellennamens, Hosts oder einer Location in das jeweilige Eingabefeld ein.
  9. Klicke auf Update.

2.2 Einen Report exportieren​

Um einen Report zu exportieren (§11.2.2):

  1. Wähle Scans > Reports.
  2. Klicke auf das Datum eines Reports, um seine Detailseite zu öffnen.
  3. Öffne die Export-Aktion — der Scan Report Content Composer öffnet sich. Der angewendete Filter wird im Eingabefeld Filter angezeigt und kann hier nicht geändert werden; ändere ihn über das Filtern (Abschnitt 2.1.3).
  4. Aktiviere Notes, um angehängte Notizen einzuschließen, und Overrides, um aktivierte Overrides zu kennzeichnen und ihren Text einzuschließen. Overrides werden nur berücksichtigt, wenn sie beim Filtern des Reports aktiviert waren.
  5. Wähle das Format in der Dropdown-Liste Report Format aus.
  6. Aktiviere optional Store as default, um die Einstellungen fĂĽr zukĂĽnftige Exporte zu behalten.
  7. Klicke auf OK und speichere dann mit Save File.

2.3 Einen Report importieren​

Um einen Report zu importieren (§11.2.3):

  1. Wähle Scans > Reports.
  2. Starte den Import.
  3. Klicke auf Browse... und wähle die XML-Datei des Reports aus.
  4. Wähle bei Container Task den Container-Task aus, dem der Report hinzugefügt werden soll (hier kann ein neuer Container-Task erstellt werden; siehe §10.5).
  5. Wähle Yes, um den Report zu den Assets hinzuzufügen.
  6. Klicke auf Import.

2.4 Einen Alert für einen Report auslösen​

Ein Alert umfasst oft den Versand eines Reports. Der von einem Alert gesendete Report unterliegt einem im Alert Content Composer definierten Filter (§10.12). Das Auslösen eines Alerts für einen Report fügt einen zweiten Filter hinzu, der aus dem Scan Report Content Composer stammt (Abschnitt 2.2). Um einen Alert manuell auszulösen (§11.2.4):

  1. Wähle Scans > Reports.
  2. Klicke auf das Datum eines Reports, um die Ergebnisse anzuzeigen.
  3. Filtere den Report (über den Powerfilter, Abschnitt 2.1.3, oder durch Auswahl eines Registers), sodass nur die zu sendenden Ergebnisse angezeigt werden. Der Filter des Alert Content Composers wird zusätzlich angewendet — um ihn zu neutralisieren, passe den Report-Filter so an, dass keine Ergebnisse herausgefiltert werden.
  4. Öffne die Alert-Aktion — der Scan Report Content Composer öffnet sich. Der angewendete Anzeigefilter wird in Filter angezeigt und kann hier nicht geändert werden.
  5. Aktiviere Notes und/oder Overrides nach Bedarf (Overrides werden nur berĂĽcksichtigt, wenn sie beim Filtern aktiviert sind).
  6. Wähle den Alert in der Dropdown-Liste Alert aus (hier kann ein neuer Alert erstellt werden; siehe §10.12).
  7. Aktiviere optional Store as default.
  8. Klicke auf OK.

2.5 Einen Delta-Report erstellen​

Wenn ein einzelner Task mehr als einen Report hat, kann ein Delta-Report erstellt werden (§11.2.5):

  1. Wähle Scans > Tasks.
  2. Klicke auf die Gesamtanzahl der Reports in der Spalte Reports — die Seite Reports öffnet sich, gefiltert auf diesen Task.
  3. Wähle in der Spalte Actions den neueren Report aus; sein Auswahlsymbol wird daraufhin ausgegraut.
  4. Wähle in der Spalte Actions den älteren Report aus — der Delta-Report wird angezeigt und kann exportiert werden.

Die Spalte Delta zeigt den Typ jedes Delta-Ergebnisses:

TypSymbolBedeutung
Gone[-]Das Ergebnis existiert im zweiten (älteren) Report, aber nicht im ersten (neueren) Report.
New[+]Das Ergebnis existiert im ersten (neueren) Report, aber nicht im zweiten (älteren) Report.
Same[=]Das Ergebnis existiert in beiden Reports und ist gleich.
Changed[~]Das Ergebnis existiert in beiden Reports, ist aber unterschiedlich.

Verwende delta_states= in der Filterleiste, um nur bestimmte Typen anzuzeigen (§8.3): delta_states=g (Gone), delta_states=n (New), delta_states=s (Same), delta_states=c (Changed). Kombiniere Buchstaben, um mehrere gleichzeitig anzuzeigen, z. B. zeigt delta_states=gs Gone und Same.

2.6 Das Konzept Quality of Detection (QoD)​

Die Quality of Detection (QoD) ist ein Wert zwischen 0 % und 100 %, der die Zuverlässigkeit der durchgeführten Schwachstellen- oder Produkterkennung beschreibt. Der Bereich erlaubt eine fein abgestufte Qualitätsangabe, aber die meisten Tests verwenden eine Standardmethodik, sodass QoD-Typen mit einem QoD-Wert verknüpft sind. Die Liste der Typen kann mit der Zeit erweitert werden. (§11.2.6)

:::note QoD-Interpretation

  • Die QoD eines Detection-Ergebnisses ist höher als die eines tatsächlichen Vulnerability-Ergebnisses: Sie spiegelt die (zuverlässige) Qualität der Produkterkennung selbst wider, nicht die Qualität der zugehörigen Schwachstellentests, die aus verschiedenen GrĂĽnden unzuverlässig sein können.
  • Es wird immer die niedrigste anwendbare QoD verwendet — zum Beispiel, wenn mehrere Erkennungsmethoden (remote oder lokal/authentifiziert) existieren.
  • Standardmäßig werden nur Ergebnisse angezeigt, die von VTs mit einer QoD von 70 % oder höher erkannt wurden; Ergebnisse darunter sind anfällig fĂĽr False Positives. Wenn du den Filter senkst, um Ergebnisse mit niedriger QoD anzuzeigen, liegt es in deiner eigenen Verantwortung zu bestimmen, ob ein Ergebnis ein False Positive ist (§8.3.1). :::
QoDQoD-TypBeschreibung
100 %exploitDie Erkennung erfolgte über einen Exploit und ist daher vollständig verifiziert.
99 %remote_vulRemote Active Checks (Code-AusfĂĽhrung, Traversal-Angriff, SQL-Injection usw.), bei denen die Antwort eindeutig das Vorhandensein der Schwachstelle zeigt.
98 %remote_appRemote Active Checks, bei denen die Antwort eindeutig das Vorhandensein der verwundbaren Anwendung zeigt.
97 %packageAuthentifizierte paketbasierte PrĂĽfungen fĂĽr z. B. Linux(oide) Systeme.
97 %registryAuthentifizierte registrybasierte PrĂĽfungen fĂĽr Microsoft-Windows-Systeme.
95 %remote_activeRemote Active Checks, bei denen die Antwort das wahrscheinliche Vorhandensein der verwundbaren Anwendung oder der Schwachstelle zeigt ("wahrscheinlich" = nur seltene Umstände würden die Erkennung falsch machen).
80 %remote_bannerRemote-Banner-Prüfungen von Anwendungen, die den Patch-Stand in der Version angeben (viele proprietäre Produkte tun das).
80 %executable_versionAuthentifizierte PrĂĽfungen der Executable-Version fĂĽr Linux(oide) oder Microsoft-Windows-Systeme, bei denen Anwendungen den Patch-Stand in der Version angeben.
75 %(keiner)Zugewiesen an Ergebnisse, die ohne jede QoD-Information verarbeitet wurden (z. B. bei der Migration von Daten von einem Altsystem auf ein aktuell unterstĂĽtztes System).
70 %remote_analysisRemote-Prüfungen, die eine gewisse Analyse durchführen, aber je nach Umgebungsbedingungen nicht immer vollständig zuverlässig sein können; vermutete False-Positive- oder False-Negative-Grenzfälle können eine Benutzeranalyse erfordern (Abschnitt 5).
50 %remote_probeRemote-Prüfungen, bei denen zwischengeschaltete Systeme wie Firewalls eine korrekte Erkennung vortäuschen können, sodass unklar ist, ob die Anwendung selbst geantwortet hat (z. B. bei Nicht-TLS-Verbindungen).
30 %remote_banner_unreliableRemote-Banner-PrĂĽfungen von Anwendungen, die den Patch-Stand nicht in der Versionskennung angeben (z. B. viele Open-Source-Produkte aufgrund von Backport-Patches).
30 %executable_version_unreliableAuthentifizierte PrĂĽfungen der Executable-Version fĂĽr Linux(oide) Systeme, bei denen Anwendungen den Patch-Stand nicht in der Versionskennung angeben.
30 %package_unreliableAuthentifizierte paketbasierte Prüfungen, die nicht immer vollständig zuverlässig sind, z. B. für Linux(oide) Systeme.
1 %general_noteAllgemeiner Hinweis auf eine potenzielle Schwachstelle, ohne dass eine vorhandene Anwendung gefunden wurde.

3. Alle vorhandenen Ergebnisse anzeigen​

Während ein Report nur die Ergebnisse eines einzelnen Scans enthält, werden alle Ergebnisse in der internen Datenbank gespeichert und können über Scans > Results eingesehen werden. Powerfilter grenzen die Liste auf interessante Ergebnisse ein (§8.3). (§11.3)

Pro Ergebnis zeigt die Liste dieselben Kernfelder wie das Register Results eines Reports: Vulnerability (Notiz-/Ticket-Symbole gelten; eine leere Spalte bedeutet, dass die VT noch nicht aktualisiert ist; externe Verweise und Hintergrundinformationen erscheinen immer in den Details), Solution type, Severity (CVSS-Balken, §14.2.3), QoD (70-%-Standardschwelle, Abschnitt 2.6), Host, Location und Created. Ein Dropdown unter der Liste exportiert mehrere Ergebnisse gleichzeitig.

Die Detailseite eines Ergebnisses (Klick auf den Ergebnisnamen) hat die Register Information und User Tags. Aus der oberen linken Ecke kannst du das Handbuchkapitel öffnen, alle Ergebnisse anzeigen, das Ergebnis als XML exportieren, eine Notiz erstellen (Abschnitt 4), einen Override erstellen (Abschnitt 5), ein Ticket erstellen (Abschnitt 6) und den zugehörigen Task oder Report anzeigen.

4. Alle vorhandenen Schwachstellen anzeigen​

Alle Schwachstellen werden ebenfalls in der internen Datenbank gespeichert und über Scans > Vulnerabilities eingesehen; Powerfilter gelten (§8.3). (§11.4)

Pro Schwachstelle zeigt die Liste:

  • Name — Titel der Schwachstelle.
  • Oldest Result — Datum und Uhrzeit des ältesten dafĂĽr gefundenen Ergebnisses.
  • Newest Result — Datum und Uhrzeit des neuesten dafĂĽr gefundenen Ergebnisses.
  • Severity — CVSS-Schwere als Balken dargestellt (§14.2.3).
  • QoD — Quality of Detection (70-%-Standardschwelle; Abschnitt 2.6).
  • Results — Anzahl der Ergebnisse fĂĽr diese Schwachstelle; klicke auf die Zahl, um Results darauf gefiltert zu öffnen.

Die Detailseite einer Schwachstelle (Klick auf den Namen) bietet aus der oberen linken Ecke: das Handbuchkapitel öffnen, alle Schwachstellen anzeigen, die Schwachstelle als XML exportieren, eine Notiz erstellen (Abschnitt 4), einen Override erstellen (Abschnitt 5) und die zugehörigen Ergebnisse anzeigen.

5. Trend der Schwachstellen​

Wenn ein Task mehrmals gelaufen ist, wird der Trend der entdeckten Schwachstellen in der Spalte Trend auf der Seite Tasks (Scans > Tasks) angezeigt. Der Trend beschreibt die Veränderung zwischen dem neuesten und dem zweitneuesten Report. (§11.5)

TrendBedeutung
UpIm neuesten Report ist die höchste Schwere höher als im zweitneuesten Report.
MoreDie höchste Schwere ist in beiden gleich, aber der neueste Report hat mehr Issues dieser Schwere.
SameDie höchste Schwere und die Anzahl der Issues sind in beiden gleich.
LessDie höchste Schwere ist in beiden gleich, aber der neueste Report hat weniger Issues dieser Schwere.
DownIm neuesten Report ist die höchste Schwere niedriger als im zweitneuesten Report.

6. Notizen, Overrides und Tickets — was ist der Unterschied?​

Diese drei Werkzeuge heften sich alle an ein Finding, tun aber Unterschiedliches:

WerkzeugWas es tutWirkung auf Ergebnisse
NotizFügt einer VT einen Kommentar hinzu, der in Reports angezeigt wird. Kann an ein bestimmtes Ergebnis, einen Task, eine Schwere, einen Port oder einen Host angehängt oder auf alle Reports verallgemeinert werden.Keine — rein informativ.
OverrideÄndert die Schwere eines Ergebnisses (zum Beispiel um ein False Positive oder ein akzeptiertes Risiko zu behandeln oder um ein Log-Finding lokal anzuheben).Ändert, wie ein Ergebnis angezeigt wird, wenn Overrides aktiviert sind.
TicketBeauftragt einen Benutzer (oder dich selbst) mit dem Beheben eines Findings, mit einem Status-Workflow (Open / Fixed / Fixed verified / Closed).Keine auf die Schwere — es ist Behebungs-Tracking.

7. Tickets verwenden​

Tickets ermöglichen es Benutzern, andere oder sich selbst mit dem Beheben von Scan-Findings zu beauftragen. Wenn du ein Ticket für einen anderen Benutzer erstellst, erhält dieser Benutzer Lese- und Schreibzugriff auf das Ticket und automatischen Lesezugriff auf den zugehörigen Task, die Reports und die Ergebnisse. (§11.6)

hinweis

Wenn einem Benutzer eine Ticket-Zuweisung entzogen wird, bleibt der Lesezugriff auf den Task und die Reports erhalten; Berechtigungen werden auf der Detailseite des Tasks geprüft und entzogen (§10.8). Wenn mehrere Tickets für Ergebnisse desselben Reports demselben Benutzer zugewiesen sind, erscheint dieselbe Berechtigung mehrfach. Wenn der Assignee eines Tickets geändert wird, erhält der neue Assignee nicht automatisch Lesezugriff — der Ticket-Owner muss ihn über die Detailseite des Tasks gewähren.

7.1 Ein Ticket erstellen​

  1. Klicke entweder über Scans > Reports (klicke auf ein Report-Datum, um die Ergebnisse anzuzeigen) oder über Scans > Results auf einen Eintrag in der Spalte Vulnerability und öffne die Detailseite des Ergebnisses. (§11.6.1)
  2. Erstelle ein neues Ticket.
  3. Wähle bei Assign to User den Assignee aus.
  4. Gib eine Notiz in das Eingabefeld Note ein.
  5. Klicke auf Save. Die Anzahl der Tickets fĂĽr ein Ergebnis wird in der oberen linken Ecke der Detailseite des Ergebnisses angezeigt.

7.2 Den Status eines Tickets ändern​

Ein Ticket kann folgende Status haben (§11.6.2):

StatusBedeutung
OpenDie Schwachstelle wurde noch nicht behoben.
FixedDie Schwachstelle wurde behoben.
Fixed verifiedDer Task ist erneut gelaufen und die Schwachstelle wurde nicht mehr gefunden. Wird automatisch gesetzt.
ClosedDer Fix wurde verifiziert oder das Ticket wird nicht mehr benötigt.

Um den Status zu ändern:

  1. Wähle Resilience > Remediation Tickets.
  2. Bearbeite es in der Zeile des Tickets.
  3. Wähle den neuen Status in der Dropdown-Liste Status aus.
  4. Wähle den Benutzer in der Dropdown-Liste Assigned User aus.
  5. Gib eine Notiz fĂĽr den neuen Status ein.
  6. Klicke auf Save.

7.3 Einen Alert für ein Ticket einrichten​

Ticket-Alerts können auslösen, wenn ein neues Ticket eingeht, wenn sich der Status eines zugewiesenen Tickets ändert oder wenn sich der Status eines eigenen Tickets ändert. Richte einen über Configuration > Alerts ein, indem du einen neuen Alert erstellst und ihn definierst. (§11.6.3)

Die Alert-Details umfassen:

  • Name — frei wählbar.
  • Comment — optionale zusätzliche Information.
  • Event — Ticket Received (ein neues Ticket wird einem selbst zugewiesen), Assigned Ticket Changed (der Status eines einem selbst zugewiesenen Tickets ändert sich) oder Owned Ticket Changed (der Status eines einem anderen Benutzer zugewiesenen Tickets ändert sich).
  • Method — eine Methode pro Alert. Um fĂĽr dasselbe Event verschiedene Alerts auszulösen, erstelle mehrere Alerts, die mit demselben Task verknĂĽpft sind. Methoden:
    • Email — an die angegebene Adresse gesendet; die Ăśbertragung kann mit einem konfigurierbaren S/MIME- oder GPG-SchlĂĽssel verschlĂĽsselt werden (Email Encryption).
    • Start Task — startet einen zusätzlichen, in Start Task ausgewählten Task.
    • System Logger — sendet den Alert an einen Syslog-Daemon (der Syslog-Server wird ĂĽber die Konsole definiert, §7.2.12).

7.4 Tickets verwalten​

Liste alle Tickets über Resilience > Remediation Tickets auf. Jede Zeile zeigt: Vulnerability, Severity, Host, Solution Type, Assigned User, Modification Time und Status. (§11.6.4)

Listenaktionen: das Ticket in den Papierkorb verschieben (nur der Owner darf das), bearbeiten und klonen. Ein Dropdown unter der Liste verschiebt mehrere Tickets in den Papierkorb oder exportiert sie gleichzeitig. Die Detailseite (Klick auf den Ticketnamen) hat die Register Information und User Tags und bietet klonen, bearbeiten, in den Papierkorb verschieben und Export als XML.

8. Notizen verwenden​

Notizen fügen einer VT Kommentare hinzu und erscheinen in Reports. Eine Notiz kann an ein bestimmtes Ergebnis, einen Task, eine Schwere, einen Port oder einen Host angehängt werden (sodass sie nur in bestimmten Reports erscheint) oder verallgemeinert werden, sodass sie in allen Reports erscheint. (§11.7)

8.1 Eine Notiz erstellen​

Über ein Scan-Ergebnis (der einfachste Weg) (§11.7.1.1):

  1. Wähle Scans > Reports und klicke auf das Report-Datum, um die Ergebnisse anzuzeigen.
  2. Wähle das Register Results.
  3. Klicke auf ein Ergebnis in der Spalte Vulnerability.
  4. Ă–ffne die Detailseite des Ergebnisses.
  5. Erstelle aus der oberen linken Ecke eine neue Notiz.
  6. Definiere die Notiz und klicke dann auf Save. Die Notiz erscheint danach auf der Detailseite des Ergebnisses.

Auf der Seite Notes (§11.7.1.2):

  1. Wähle Scans > Notes und erstelle eine neue Notiz.
  2. Gib die VT-ID in NVT OID ein.
  3. Definiere die Notiz. Du kannst in Hosts IP-Adressbereiche und CIDR-Blöcke eingeben, um ganze Subnetze abzudecken, ohne jeden Host aufzulisten. Die Auswahl des Radio-Buttons Any für Hosts, Locations, Schweren, Tasks oder Ergebnisse verallgemeinert die Notiz.
  4. Klicke auf Save.

8.2 Notizen verwalten​

Liste alle Notizen über Scans > Notes auf. Listenaktionen: in den Papierkorb verschieben, bearbeiten, klonen und Export als XML; ein Dropdown unter der Liste verschiebt oder exportiert mehrere gleichzeitig. Die Detailseite (Klick auf den Notiznamen) hat die Register Information, User Tags und Permissions (§9.4) und bietet erstellen, klonen, bearbeiten, in den Papierkorb verschieben und exportieren. (§11.7.2)

9. Overrides und False Positives verwenden​

Ein Override ändert die Schwere eines Ergebnisses. Overrides sind besonders nützlich, um Ergebnisse zu verwalten, die als False Positive erkannt wurden und eine kritische Schwere erhielten, aber künftig eine andere Schwere tragen sollen, um Ergebnisse mit nur Schwere Log auf eine höhere lokale Schwere anzuheben und um akzeptable Risiken zu verwalten. (§11.8)

:::tip Override- und False-Positive-Handhabung Die Appliance meldet bewusst jede potenziell existierende Schwachstelle, statt ein False Negative zu riskieren. Wenn du bestätigt hast, dass ein Finding ein False Positive (oder ein akzeptiertes Risiko) ist, erstelle einen Override, um seine Schwere anzupassen, statt es zu ignorieren — so bleibt das Finding dokumentiert und auditierbar. Denke daran, dass Overrides nicht auf Ergebnisse angewendet werden, sofern du Apply Overrides im Filter nicht auf Yes setzt. :::

9.1 Einen Override erstellen​

Über ein Scan-Ergebnis (§11.8.1.1):

  1. Wähle Scans > Reports, klicke auf das Report-Datum, um die Ergebnisse anzuzeigen.
  2. Wähle das Register Results, klicke auf ein Ergebnis in der Spalte Vulnerability.
  3. Ă–ffne die Detailseite des Ergebnisses und erstelle dann einen neuen Override.
  4. Definiere den Override und wähle die neue Schwere in New Severity aus, klicke dann auf Save.

Beim Erstellen eines Overrides ĂĽber ein Scan-Ergebnis sind einige Einstellungen vorausgefĂĽllt. Die Felder sind:

  • NVT — die VT, auf die der Override angewendet wird.
  • Active — ob der Override aktiv ist; eine Aktivierung fĂĽr eine beliebige Anzahl an Tagen ist möglich.
  • Hosts — Host oder Host-Bereich, fĂĽr den das Ergebnis gefunden werden muss, damit der Override gilt. IP-Bereiche und CIDR-Blöcke werden unterstĂĽtzt; ein Bereich wird mit einem Minus geschrieben, z. B. 198.168.1.1-198.168.1.25. Ein Bereich größer als 4096 wird nicht unterstĂĽtzt. WidersprĂĽchliche Overrides (z. B. einer fĂĽr einen Host-Bereich und ein anderer fĂĽr einen Host innerhalb dieses Bereichs) sind nicht erlaubt.
  • Location — Port, fĂĽr den das Ergebnis gefunden werden muss, oder Any. Ein bestimmter Port ist eine Zahl gefolgt von /tcp oder /udp.
  • Severity — Schwerebereich der VT, auf den der Override angewendet werden soll.
  • New Severity — Schwere, die die VT nach Anwendung des Overrides haben soll.
  • Task — Tasks, auf die der Override angewendet werden soll.
  • Result — Ergebnisse, auf die der Override angewendet werden soll. Wähle Any, wenn der Override auf zukĂĽnftige Reports angewendet werden soll.
  • Text — beschreibt den Override im Detail.

Wenn mehrere Overrides auf dieselbe VT im selben Report zutreffen, wird der jĂĽngste Override verwendet.

Auf der Seite Overrides (§11.8.1.2): Wähle Scans > Overrides, erstelle einen neuen Override, gib die VT-ID in NVT OID ein, definiere ihn (gleiche Felder wie oben), wähle New Severity und klicke auf Save.

9.2 Overrides verwalten​

Liste alle Overrides über Scans > Overrides auf. Listenaktionen: in den Papierkorb verschieben, bearbeiten, klonen und Export als XML; ein Dropdown unter der Liste verschiebt oder exportiert mehrere gleichzeitig. Die Detailseite (Klick auf den Override-Namen) hat die Register Information, User Tags und Permissions (§9.4) und bietet erstellen, klonen, bearbeiten, in den Papierkorb verschieben und exportieren. (§11.8.2)

9.3 Overrides deaktivieren und aktivieren​

Da Overrides ändern, wie Ergebnisse angezeigt werden, können sie über den Filter aktiviert oder deaktiviert werden (§11.8.3):

  1. Ă–ffne den Filter in der Filterleiste.
  2. Wähle bei Apply Overrides Yes, um Overrides zu aktivieren, oder No, um sie zu deaktivieren.
  3. Klicke auf Update.

Overrides können außerdem in exportierten Reports gekennzeichnet werden (Abschnitt 2.2).

Verwandt​