Reports & Schwachstellenmanagement
Wie die Greenbone Enterprise Appliance Scan-Ergebnisse in Reports verwandelt und wie du damit durchgängig arbeitest: Report-Formate konfigurieren und verwalten, Reports lesen, filtern, exportieren und importieren, Alerts auslösen, Delta-Reports erstellen sowie das Konzept Quality of Detection (QoD). Außerdem werden die zentralen Ergebnis- und Schwachstellen-Ansichten, der Schwachstellen-Trend und die drei Behebungswerkzeuge behandelt — Remediation-Tickets, Notizen und Overrides (einschließlich False Positives).
Basierend auf dem Handbuch der Greenbone Enterprise Appliance (GOS 22.04 / OPENVAS SCAN 22.04), Kapitel 11, geprĂĽft im Juni 2026. Die Report-Verarbeitung ist in der kostenlosen Community Edition identisch.
Die Abschnittsverweise unten (z. B. §11.2) verweisen auf die Kapitelnummern des Handbuchs. Nicht alle Appliance-Modelle unterstützen jede Menüoption — prüfe die Modelltabellen in Kapitel 3 des Handbuchs, um zu bestätigen, dass eine Funktion für deine Appliance verfügbar ist.
Die Ergebnisse eines Scans werden in einem Report zusammengefasst. Die Appliance speichert alle Reports aller jemals durchgeführten Scans in einer lokalen Datenbank, sodass historische Informationen zugänglich bleiben. Sobald ein Scan gestartet ist, kann der Report der bisher gefundenen Ergebnisse eingesehen werden; wenn der Scan abgeschlossen ist, wechselt der Status auf Done und es werden keine weiteren Ergebnisse hinzugefügt.
1. Report-Formate konfigurieren und verwalten​
Ein Report-Format definiert, wie ein Report aus den rohen Scan-Ergebnissen erzeugt wird. Viele Formate reduzieren die verfügbaren Daten, um sie aussagekräftig darzustellen, und sie ermöglichen es, Report-Informationen in andere Dokumentformate zur Verarbeitung durch Drittanwendungen (Connectoren) zu exportieren. Der Dateiname eines exportierten Reports ist in den Benutzereinstellungen konfigurierbar (§8.7).
Das native Appliance-XML-Format enthält alle Daten und ist das Format, das beim Import eines exportierten Reports auf eine andere Appliance zu verwenden ist — erstelle dafür einen Container-Task (§10.5). Siehe Ein System scannen zu Container-Tasks. (§11.1)
1.1 Standard-Report-Formate​
Alle Standard-Report-Formate sind Datenobjekte, die über den Feed verteilt werden; sie werden mit jedem Feed-Update heruntergeladen und aktualisiert. (§11.1.1)
Report-Formate können veraltet sein. Sie sind im Web-Interface mit (Deprecated) markiert und werden nicht mehr dokumentiert. Ein veraltetes Format kann nicht mehr verwendet werden — ein Export in einem solchen Format kann eine leere oder anderweitig unbrauchbare Datei erzeugen.
Wenn keine Standard-Report-Formate verfügbar sind, ist möglicherweise ein Feed-Update nötig, oder der Feed Import Owner muss gesetzt werden (§7.2.1.10.1). Standard-Report-Formate können nicht bearbeitet werden. Sie können nur vorübergehend vom Feed Import Owner oder einem Super-Administrator gelöscht werden — sie tauchen beim nächsten Feed-Update wieder auf. Um eines dauerhaft zu löschen, muss der Feed Import Owner es löschen und anschließend auf (Unset) geändert werden.
Die folgenden Report-Formate sind standardmäßig verfügbar:
| Report-Format | Einsatz |
|---|---|
| Anonymous XML | Anonyme Version des XML-Formats; IP-Adressen werden durch zufällige IP-Adressen ersetzt. |
| ARF: Asset Reporting Format v1.0.0 | Report im NIST Asset Reporting Format. |
| CPE – Common Platform Enumeration CSV Table | Wählt alle CPE-Tabellen in eine einzige kommagetrennte Datei aus. |
| CSV Hosts | Kommagetrennte Datei mit den entdeckten Systemen. |
| CSV Results | Kommagetrennte Datei mit den Ergebnissen eines Scans. |
| GCR PDF – Greenbone Compliance Report | Vollständiger Compliance-Report für Compliance-Audits, alle Schwachstellen in grafischer Form als PDF. Englisch. |
| GSR HTML – Greenbone Security Report | Vollständiger Security-Report mit allen Schwachstellen und Ergebnissen; HTML mit dynamisch sortierbaren Listen (JavaScript erforderlich). Englisch. |
| GSR PDF – Greenbone Security Report | Vollständiger Security-Report, alle Schwachstellen in grafischer Form als PDF. Topologie-Graph entfällt ab 100 Hosts. Englisch. |
| GXCR PDF – Greenbone Executive Compliance Report | Gekürzter Compliance-Report für das Management, grafisches PDF. Englisch. |
| GXR PDF – Greenbone Executive Report | Gekürzter Security-Report für das Management, grafisches PDF. Topologie-Graph entfällt ab 100 Hosts. Englisch. |
| LaTeX | LaTeX-Quelltext. Englisch. |
| NBE | Altes OpenVAS-/Nessus-Format; keine Unterstützung für Notizen, Overrides und einige zusätzliche Informationen. |
| Vollständiger, neutraler Report als PDF. Englisch. | |
| TLS Map | Report-Format für TLS-Map-Scans (§12.6). |
| Topology SVG | Stellt die Ergebnisse als SVG-Bild dar. |
| TXT | Textdatei; nĂĽtzlich beim Versand per E-Mail. Englisch. |
| Verinice ISM | Importdatei für das ISMS-Tool verinice (§18.1). |
| Verinice ISM all results | Importdatei für das ISMS-Tool verinice (§18.1). |
| Verinice ITG (obsolete) | Importdatei für das ISMS-Tool verinice (§18.1). |
| Vulnerability Report HTML (recommended) | Neuer vollständiger Security-Report mit allen Schwachstellen und Ergebnissen; öffnet sich in einem Browser oder HTML-Viewer. Englisch. |
| Vulnerability Report PDF (recommended) | Neuer vollständiger Security-Report, alle Schwachstellen in grafischer Form als PDF. Begrenzt auf die ersten 500 Ergebnisse pro Host (auf der Titelseite wird ein Hinweis angezeigt, wenn Ergebnisse weggelassen werden). Englisch. |
| XML | Nativer XML-Export. Enthält alle Ergebnisse und formatiert sie überhaupt nicht. |
1.2 Report-Formate verwalten​
Liste alle Report-Formate über Configuration > Report Formats auf. Für jedes Format zeigt die Liste: (§11.1.2)
- Name — Name des Report-Formats.
- Extension — der heruntergeladene Dateiname ist die Report-UUID plus diese Erweiterung; sie hilft dem Browser außerdem, eine kompatible Anwendung zu starten, wenn der Content-Type nicht erkannt wird.
- Content Type — gibt das verwendete Format an und wird beim Download mitgesendet, damit der Browser eine kompatible Anwendung starten kann. Er wird außerdem intern genutzt, um im Kontext passende Plug-ins anzubieten (zum Beispiel werden alle
text/*-Plug-ins angeboten, wenn ein Report per E-Mail gesendet wird). - Trust (Last Verified) — jedes Report-Format-Plug-in muss von Greenbone digital signiert sein; Signaturen werden über den Greenbone Enterprise Feed verteilt. Die Trust-Prüfung erfolgt automatisch, und ihr Ergebnis erscheint in dieser Spalte.
- Active — ein Format ist nur in den Auswahlmenüs verfügbar, wenn es aktiviert ist. Neu importierte Formate starten deaktiviert, und ein Format kann erst aktiviert werden, wenn es vertrauenswürdig ist.
Aktionen auf der Listenseite: ein Format in den Papierkorb verschieben (solange es im Papierkorb bleibt, wird es beim nächsten Feed-Update nicht erneut heruntergeladen) und ein Format bearbeiten (nur selbst erstellte Formate können bearbeitet werden). Ein Dropdown unter der Liste lässt mehrere Formate gleichzeitig in den Papierkorb verschieben. Die Detailseite (Klick auf den Formatnamen) bietet dieselben Aktionen plus das Öffnen des Handbuchkapitels und das Hinzufügen eines neuen Formats.
1.3 Ein Report-Format hinzufügen​
Um Missbrauch zu verhindern, muss jedes zusätzlich importierte Report-Format von Greenbone geprüft und digital signiert werden. Nicht von Greenbone signierte Formate werden in GOS nicht unterstützt und können nicht verwendet werden.
Um ein Report-Format zu importieren (§11.1.3):
- Beschaffe ein Report-Format-Plug-in, das von Greenbone geprĂĽft und akzeptiert wurde.
- Wähle
Configuration > Report Formatsund starte dann den Import. - Klicke auf
Browse...und wähle das Plug-in aus. - Klicke auf
Save. Das importierte Format erscheint auf der Seite Report Formats. - Ă–ffne es in seiner Zeile zur Bearbeitung.
- Wähle bei
Activeden Radio-ButtonYes. - Klicke auf
Save.
2. Reports verwenden und verwalten​
Liste jeden Report jedes Scans über Scans > Reports auf. Die Gesamtanzahl der Reports für einen Task wird auf der Seite Tasks in der Spalte Reports angezeigt; klicke auf diese Zahl, um die Seite Reports gefiltert auf diesen Task zu öffnen. Ein Klick auf das Datum in der Spalte Last Report öffnet die Detailseite des neuesten Reports dieses Tasks. (§11.2)
Pro Report zeigt die Liste:
- Date — Datum und Uhrzeit der Report-Erstellung.
- Status — Status des zugehörigen Tasks.
- Task — der zugehörige Task.
- Severity — höchste vom Scan gefundene Schwere.
- High / Medium / Low / Log / False Pos. — Anzahl der gefundenen Schwachstellen je Schweregrad.
Report-Aktionen: einen Delta-Report erstellen (siehe Abschnitt 2.5) und den Report löschen. Ein Dropdown unter der Liste löscht mehrere Reports gleichzeitig.
2.1 Einen Report lesen​
Klicke auf das Datum eines Reports, um seine Details zu öffnen. Die folgenden Register sind verfügbar: (§11.2.1)
- Information — allgemeine Informationen über den Scan.
- Results — alle Ergebnisse in diesem Report (siehe Abschnitt 2.1.1).
- Hosts — gescannte Hosts mit Namen, IP-Adressen, erkannten Betriebssystemen, Schwachstellenzahlen je Schweregrad und höchster gefundener Schwere.
- Ports — gescannte Ports mit Portname, Anzahl der Hosts und höchster gefundener Schwere.
- Applications — gescannte Anwendungen mit CPE, Anzahl der Hosts, Anzahl der Ergebnisvorkommen, die dieses CPE erkennen, und höchster gefundener Schwere.
- Operating Systems — gescannte Betriebssysteme mit Systemname, Hostname, Anzahl der gescannten Hosts und höchster gefundener Schwere.
- CVEs — vom Scan gefundene CVEs.
- Closed CVEs — CVEs ursprünglich erkannter Schwachstellen, die während des Scans bereits als behoben bestätigt wurden.
- TLS Certificates — vom Scan gefundene TLS-Zertifikate.
- Error Messages — während des Scans aufgetretene Fehler.
- User Tags — zugewiesene Tags (
§8.4).
Spalten können durch Klick auf den Spaltentitel auf- oder absteigend sortiert werden. Aus der oberen linken Ecke kannst du unter anderem: das Handbuchkapitel öffnen; alle Report-Formate anzeigen; Report-Inhalte, die mindestens eine QoD von 70 % haben und bei aktivierten Overrides, zu den Assets hinzufügen (oder Report-Inhalte aus den Assets entfernen); den zugehörigen Task anzeigen; Results, Vulnerabilities oder TLS Certificates gefiltert auf diesen Report öffnen; Performance für die Dauer des Scans öffnen; einen gefilterten Report herunterladen (Abschnitt 2.2); und einen Alert auslösen, um einen Report zu senden (Abschnitt 2.4).
2.1.1 Ergebnisse eines Reports​
Das Register Results listet alle von der Appliance erkannten Schwachstellen auf. (§11.2.1.1)
Standardmäßig werden Overrides nicht auf die Ergebnisse angewendet. Wende sie an, indem du den Report filterst und Apply Overrides auf Yes setzt (siehe Abschnitt 2.1.3).
Pro Ergebnis wird Folgendes angezeigt:
- Vulnerability — Name der gefundenen Schwachstelle; klicke darauf für Schwachstellendetails. Schwachstellen mit angehängter Notiz oder angehängtem Ticket sind mit dem jeweiligen Symbol markiert. Wenn die Spalte leer erscheint, wurde die jeweilige VT noch nicht aktualisiert.
- Solution type — siehe die Tabelle unten.
- Severity — die Schwere der Schwachstelle (CVSS,
§14.2.3), als Balken dargestellt. - QoD — Quality of Detection, ein Wert zwischen 0 % und 100 %, der die Zuverlässigkeit der Erkennung beschreibt. Standardmäßig werden nur Ergebnisse angezeigt, die von VTs mit einer QoD von 70 % oder höher erkannt wurden; der Filter kann gesenkt werden (
§8.3.1). Siehe Abschnitt 2.6. - Host — Host, auf dem das Ergebnis gefunden wurde (IP-Adresse und Name getrennt angezeigt).
- Location — Portnummer und Protokolltyp, mit denen die Schwachstelle auf dem Host gefunden wurde.
- Created — Datum und Uhrzeit der Report-Erstellung.
Lösungstypen, die jedes Ergebnis bieten kann:
| Solution type | Bedeutung |
|---|---|
| Vendor patch | Ein Hersteller-Patch ist verfĂĽgbar. |
| Workaround | Ein Workaround ist verfĂĽgbar. |
| Mitigation | Eine Minderung durch Konfiguration ist verfĂĽgbar. |
| Will not fix | Es gibt und wird keinen Fix geben. |
| No fix available | Es existiert keine Lösung. |
2.1.2 Einen Report interpretieren​
Beim Interpretieren der Ergebnisse solltest du Folgendes beachten (§11.2.1.2):
- False Positives — ein False Positive ist ein Finding, das ein Problem beschreibt, das in Wirklichkeit nicht existiert. Scanner finden häufig Hinweise auf eine Schwachstelle, ohne ein abschließendes Urteil fällen zu können. Die Appliance meldet alle potenziell existierenden Schwachstellen (statt ein False Negative zu riskieren), weil ein Benutzer False Positives identifizieren und verwalten kann. Wenn du weißt, dass ein False Positive vorliegt, konfiguriere einen Override (Abschnitt 5).
- Mehrere Findings, eine Ursache — ein altes Softwarepaket löst oft viele VTs und damit viele Alerts aus; die Installation eines aktuellen Pakets beseitigt viele Schwachstellen auf einmal.
- High und Medium — diese sind am wichtigsten und sollten vorrangig behandelt werden, High vor Medium. Weiche nur in Ausnahmefällen davon ab (zum Beispiel, wenn ein High-Finding durch die Firewall nicht erreichbar ist).
- Low und Log — standardmäßig herausgefiltert, aber für ein detailliertes Verständnis nützlich; ihre Berücksichtigung erhöht die Sicherheit. Ein typisches
Log-Ergebnis ist ein Service-Banner, das Name und Versionsnummer offenlegt, was fĂĽr einen Angreifer nĂĽtzlich ist, falls diese Version eine bekannte Schwachstelle hat.
2.1.3 Einen Report filtern​
Ein Report enthält oft viele Findings, daher können sowohl der vollständige Report als auch gefilterte Teilmengen angezeigt und heruntergeladen werden. Zum Filtern (§11.2.1.3):
- Ă–ffne den Filter in der Filterleiste.
- Gib ein Stichwort in das Eingabefeld
Filterein. - Wähle bei
Apply OverridesYes, um Overrides zu aktivieren, oderNo, um sie zu deaktivieren (Abschnitt 5). - Aktiviere bei Bedarf
Only show hosts that have results. - Wähle bei
QoDdie gewĂĽnschte QoD aus (Abschnitt 2.6). - Aktiviere bei
Severity (Class)die Checkboxen der gewünschten Schweregradklassen. - Wähle bei
Solution Typedie Radio-Buttons der gewünschten Lösungstypen aus. - Gib einen Teil eines Schwachstellennamens, Hosts oder einer Location in das jeweilige Eingabefeld ein.
- Klicke auf
Update.
2.2 Einen Report exportieren​
Um einen Report zu exportieren (§11.2.2):
- Wähle
Scans > Reports. - Klicke auf das Datum eines Reports, um seine Detailseite zu öffnen.
- Öffne die Export-Aktion — der Scan Report Content Composer öffnet sich. Der angewendete Filter wird im Eingabefeld
Filterangezeigt und kann hier nicht geändert werden; ändere ihn über das Filtern (Abschnitt 2.1.3). - Aktiviere
Notes, um angehängte Notizen einzuschließen, undOverrides, um aktivierte Overrides zu kennzeichnen und ihren Text einzuschließen. Overrides werden nur berücksichtigt, wenn sie beim Filtern des Reports aktiviert waren. - Wähle das Format in der Dropdown-Liste
Report Formataus. - Aktiviere optional
Store as default, um die Einstellungen fĂĽr zukĂĽnftige Exporte zu behalten. - Klicke auf
OKund speichere dann mitSave File.
2.3 Einen Report importieren​
Um einen Report zu importieren (§11.2.3):
- Wähle
Scans > Reports. - Starte den Import.
- Klicke auf
Browse...und wähle die XML-Datei des Reports aus. - Wähle bei
Container Taskden Container-Task aus, dem der Report hinzugefügt werden soll (hier kann ein neuer Container-Task erstellt werden; siehe§10.5). - Wähle
Yes, um den Report zu den Assets hinzuzufĂĽgen. - Klicke auf
Import.
2.4 Einen Alert für einen Report auslösen​
Ein Alert umfasst oft den Versand eines Reports. Der von einem Alert gesendete Report unterliegt einem im Alert Content Composer definierten Filter (§10.12). Das Auslösen eines Alerts für einen Report fügt einen zweiten Filter hinzu, der aus dem Scan Report Content Composer stammt (Abschnitt 2.2). Um einen Alert manuell auszulösen (§11.2.4):
- Wähle
Scans > Reports. - Klicke auf das Datum eines Reports, um die Ergebnisse anzuzeigen.
- Filtere den Report (über den Powerfilter, Abschnitt 2.1.3, oder durch Auswahl eines Registers), sodass nur die zu sendenden Ergebnisse angezeigt werden. Der Filter des Alert Content Composers wird zusätzlich angewendet — um ihn zu neutralisieren, passe den Report-Filter so an, dass keine Ergebnisse herausgefiltert werden.
- Öffne die Alert-Aktion — der Scan Report Content Composer öffnet sich. Der angewendete Anzeigefilter wird in
Filterangezeigt und kann hier nicht geändert werden. - Aktiviere
Notesund/oderOverridesnach Bedarf (Overrides werden nur berücksichtigt, wenn sie beim Filtern aktiviert sind). - Wähle den Alert in der Dropdown-Liste
Alertaus (hier kann ein neuer Alert erstellt werden; siehe§10.12). - Aktiviere optional
Store as default. - Klicke auf
OK.
2.5 Einen Delta-Report erstellen​
Wenn ein einzelner Task mehr als einen Report hat, kann ein Delta-Report erstellt werden (§11.2.5):
- Wähle
Scans > Tasks. - Klicke auf die Gesamtanzahl der Reports in der Spalte
Reports— die Seite Reports öffnet sich, gefiltert auf diesen Task. - Wähle in der Spalte
Actionsden neueren Report aus; sein Auswahlsymbol wird daraufhin ausgegraut. - Wähle in der Spalte
Actionsden älteren Report aus — der Delta-Report wird angezeigt und kann exportiert werden.
Die Spalte Delta zeigt den Typ jedes Delta-Ergebnisses:
| Typ | Symbol | Bedeutung |
|---|---|---|
| Gone | [-] | Das Ergebnis existiert im zweiten (älteren) Report, aber nicht im ersten (neueren) Report. |
| New | [+] | Das Ergebnis existiert im ersten (neueren) Report, aber nicht im zweiten (älteren) Report. |
| Same | [=] | Das Ergebnis existiert in beiden Reports und ist gleich. |
| Changed | [~] | Das Ergebnis existiert in beiden Reports, ist aber unterschiedlich. |
Verwende delta_states= in der Filterleiste, um nur bestimmte Typen anzuzeigen (§8.3): delta_states=g (Gone), delta_states=n (New), delta_states=s (Same), delta_states=c (Changed). Kombiniere Buchstaben, um mehrere gleichzeitig anzuzeigen, z. B. zeigt delta_states=gs Gone und Same.
2.6 Das Konzept Quality of Detection (QoD)​
Die Quality of Detection (QoD) ist ein Wert zwischen 0 % und 100 %, der die Zuverlässigkeit der durchgeführten Schwachstellen- oder Produkterkennung beschreibt. Der Bereich erlaubt eine fein abgestufte Qualitätsangabe, aber die meisten Tests verwenden eine Standardmethodik, sodass QoD-Typen mit einem QoD-Wert verknüpft sind. Die Liste der Typen kann mit der Zeit erweitert werden. (§11.2.6)
:::note QoD-Interpretation
- Die QoD eines Detection-Ergebnisses ist höher als die eines tatsächlichen Vulnerability-Ergebnisses: Sie spiegelt die (zuverlässige) Qualität der Produkterkennung selbst wider, nicht die Qualität der zugehörigen Schwachstellentests, die aus verschiedenen Gründen unzuverlässig sein können.
- Es wird immer die niedrigste anwendbare QoD verwendet — zum Beispiel, wenn mehrere Erkennungsmethoden (remote oder lokal/authentifiziert) existieren.
- Standardmäßig werden nur Ergebnisse angezeigt, die von VTs mit einer QoD von 70 % oder höher erkannt wurden; Ergebnisse darunter sind anfällig für False Positives. Wenn du den Filter senkst, um Ergebnisse mit niedriger QoD anzuzeigen, liegt es in deiner eigenen Verantwortung zu bestimmen, ob ein Ergebnis ein False Positive ist (
§8.3.1). :::
| QoD | QoD-Typ | Beschreibung |
|---|---|---|
| 100 % | exploit | Die Erkennung erfolgte über einen Exploit und ist daher vollständig verifiziert. |
| 99 % | remote_vul | Remote Active Checks (Code-AusfĂĽhrung, Traversal-Angriff, SQL-Injection usw.), bei denen die Antwort eindeutig das Vorhandensein der Schwachstelle zeigt. |
| 98 % | remote_app | Remote Active Checks, bei denen die Antwort eindeutig das Vorhandensein der verwundbaren Anwendung zeigt. |
| 97 % | package | Authentifizierte paketbasierte PrĂĽfungen fĂĽr z. B. Linux(oide) Systeme. |
| 97 % | registry | Authentifizierte registrybasierte PrĂĽfungen fĂĽr Microsoft-Windows-Systeme. |
| 95 % | remote_active | Remote Active Checks, bei denen die Antwort das wahrscheinliche Vorhandensein der verwundbaren Anwendung oder der Schwachstelle zeigt ("wahrscheinlich" = nur seltene Umstände würden die Erkennung falsch machen). |
| 80 % | remote_banner | Remote-Banner-Prüfungen von Anwendungen, die den Patch-Stand in der Version angeben (viele proprietäre Produkte tun das). |
| 80 % | executable_version | Authentifizierte PrĂĽfungen der Executable-Version fĂĽr Linux(oide) oder Microsoft-Windows-Systeme, bei denen Anwendungen den Patch-Stand in der Version angeben. |
| 75 % | (keiner) | Zugewiesen an Ergebnisse, die ohne jede QoD-Information verarbeitet wurden (z. B. bei der Migration von Daten von einem Altsystem auf ein aktuell unterstĂĽtztes System). |
| 70 % | remote_analysis | Remote-Prüfungen, die eine gewisse Analyse durchführen, aber je nach Umgebungsbedingungen nicht immer vollständig zuverlässig sein können; vermutete False-Positive- oder False-Negative-Grenzfälle können eine Benutzeranalyse erfordern (Abschnitt 5). |
| 50 % | remote_probe | Remote-Prüfungen, bei denen zwischengeschaltete Systeme wie Firewalls eine korrekte Erkennung vortäuschen können, sodass unklar ist, ob die Anwendung selbst geantwortet hat (z. B. bei Nicht-TLS-Verbindungen). |
| 30 % | remote_banner_unreliable | Remote-Banner-PrĂĽfungen von Anwendungen, die den Patch-Stand nicht in der Versionskennung angeben (z. B. viele Open-Source-Produkte aufgrund von Backport-Patches). |
| 30 % | executable_version_unreliable | Authentifizierte PrĂĽfungen der Executable-Version fĂĽr Linux(oide) Systeme, bei denen Anwendungen den Patch-Stand nicht in der Versionskennung angeben. |
| 30 % | package_unreliable | Authentifizierte paketbasierte Prüfungen, die nicht immer vollständig zuverlässig sind, z. B. für Linux(oide) Systeme. |
| 1 % | general_note | Allgemeiner Hinweis auf eine potenzielle Schwachstelle, ohne dass eine vorhandene Anwendung gefunden wurde. |
3. Alle vorhandenen Ergebnisse anzeigen​
Während ein Report nur die Ergebnisse eines einzelnen Scans enthält, werden alle Ergebnisse in der internen Datenbank gespeichert und können über Scans > Results eingesehen werden. Powerfilter grenzen die Liste auf interessante Ergebnisse ein (§8.3). (§11.3)
Pro Ergebnis zeigt die Liste dieselben Kernfelder wie das Register Results eines Reports: Vulnerability (Notiz-/Ticket-Symbole gelten; eine leere Spalte bedeutet, dass die VT noch nicht aktualisiert ist; externe Verweise und Hintergrundinformationen erscheinen immer in den Details), Solution type, Severity (CVSS-Balken, §14.2.3), QoD (70-%-Standardschwelle, Abschnitt 2.6), Host, Location und Created. Ein Dropdown unter der Liste exportiert mehrere Ergebnisse gleichzeitig.
Die Detailseite eines Ergebnisses (Klick auf den Ergebnisnamen) hat die Register Information und User Tags. Aus der oberen linken Ecke kannst du das Handbuchkapitel öffnen, alle Ergebnisse anzeigen, das Ergebnis als XML exportieren, eine Notiz erstellen (Abschnitt 4), einen Override erstellen (Abschnitt 5), ein Ticket erstellen (Abschnitt 6) und den zugehörigen Task oder Report anzeigen.
4. Alle vorhandenen Schwachstellen anzeigen​
Alle Schwachstellen werden ebenfalls in der internen Datenbank gespeichert und über Scans > Vulnerabilities eingesehen; Powerfilter gelten (§8.3). (§11.4)
Pro Schwachstelle zeigt die Liste:
- Name — Titel der Schwachstelle.
- Oldest Result — Datum und Uhrzeit des ältesten dafür gefundenen Ergebnisses.
- Newest Result — Datum und Uhrzeit des neuesten dafür gefundenen Ergebnisses.
- Severity — CVSS-Schwere als Balken dargestellt (
§14.2.3). - QoD — Quality of Detection (70-%-Standardschwelle; Abschnitt 2.6).
- Results — Anzahl der Ergebnisse für diese Schwachstelle; klicke auf die Zahl, um
Resultsdarauf gefiltert zu öffnen.
Die Detailseite einer Schwachstelle (Klick auf den Namen) bietet aus der oberen linken Ecke: das Handbuchkapitel öffnen, alle Schwachstellen anzeigen, die Schwachstelle als XML exportieren, eine Notiz erstellen (Abschnitt 4), einen Override erstellen (Abschnitt 5) und die zugehörigen Ergebnisse anzeigen.
5. Trend der Schwachstellen​
Wenn ein Task mehrmals gelaufen ist, wird der Trend der entdeckten Schwachstellen in der Spalte Trend auf der Seite Tasks (Scans > Tasks) angezeigt. Der Trend beschreibt die Veränderung zwischen dem neuesten und dem zweitneuesten Report. (§11.5)
| Trend | Bedeutung |
|---|---|
| Up | Im neuesten Report ist die höchste Schwere höher als im zweitneuesten Report. |
| More | Die höchste Schwere ist in beiden gleich, aber der neueste Report hat mehr Issues dieser Schwere. |
| Same | Die höchste Schwere und die Anzahl der Issues sind in beiden gleich. |
| Less | Die höchste Schwere ist in beiden gleich, aber der neueste Report hat weniger Issues dieser Schwere. |
| Down | Im neuesten Report ist die höchste Schwere niedriger als im zweitneuesten Report. |
6. Notizen, Overrides und Tickets — was ist der Unterschied?​
Diese drei Werkzeuge heften sich alle an ein Finding, tun aber Unterschiedliches:
| Werkzeug | Was es tut | Wirkung auf Ergebnisse |
|---|---|---|
| Notiz | Fügt einer VT einen Kommentar hinzu, der in Reports angezeigt wird. Kann an ein bestimmtes Ergebnis, einen Task, eine Schwere, einen Port oder einen Host angehängt oder auf alle Reports verallgemeinert werden. | Keine — rein informativ. |
| Override | Ändert die Schwere eines Ergebnisses (zum Beispiel um ein False Positive oder ein akzeptiertes Risiko zu behandeln oder um ein Log-Finding lokal anzuheben). | Ändert, wie ein Ergebnis angezeigt wird, wenn Overrides aktiviert sind. |
| Ticket | Beauftragt einen Benutzer (oder dich selbst) mit dem Beheben eines Findings, mit einem Status-Workflow (Open / Fixed / Fixed verified / Closed). | Keine auf die Schwere — es ist Behebungs-Tracking. |
7. Tickets verwenden​
Tickets ermöglichen es Benutzern, andere oder sich selbst mit dem Beheben von Scan-Findings zu beauftragen. Wenn du ein Ticket für einen anderen Benutzer erstellst, erhält dieser Benutzer Lese- und Schreibzugriff auf das Ticket und automatischen Lesezugriff auf den zugehörigen Task, die Reports und die Ergebnisse. (§11.6)
Wenn einem Benutzer eine Ticket-Zuweisung entzogen wird, bleibt der Lesezugriff auf den Task und die Reports erhalten; Berechtigungen werden auf der Detailseite des Tasks geprüft und entzogen (§10.8). Wenn mehrere Tickets für Ergebnisse desselben Reports demselben Benutzer zugewiesen sind, erscheint dieselbe Berechtigung mehrfach. Wenn der Assignee eines Tickets geändert wird, erhält der neue Assignee nicht automatisch Lesezugriff — der Ticket-Owner muss ihn über die Detailseite des Tasks gewähren.
7.1 Ein Ticket erstellen​
- Klicke entweder ĂĽber
Scans > Reports(klicke auf ein Report-Datum, um die Ergebnisse anzuzeigen) oder überScans > Resultsauf einen Eintrag in der SpalteVulnerabilityund öffne die Detailseite des Ergebnisses. (§11.6.1) - Erstelle ein neues Ticket.
- Wähle bei
Assign to Userden Assignee aus. - Gib eine Notiz in das Eingabefeld
Noteein. - Klicke auf
Save. Die Anzahl der Tickets fĂĽr ein Ergebnis wird in der oberen linken Ecke der Detailseite des Ergebnisses angezeigt.
7.2 Den Status eines Tickets ändern​
Ein Ticket kann folgende Status haben (§11.6.2):
| Status | Bedeutung |
|---|---|
| Open | Die Schwachstelle wurde noch nicht behoben. |
| Fixed | Die Schwachstelle wurde behoben. |
| Fixed verified | Der Task ist erneut gelaufen und die Schwachstelle wurde nicht mehr gefunden. Wird automatisch gesetzt. |
| Closed | Der Fix wurde verifiziert oder das Ticket wird nicht mehr benötigt. |
Um den Status zu ändern:
- Wähle
Resilience > Remediation Tickets. - Bearbeite es in der Zeile des Tickets.
- Wähle den neuen Status in der Dropdown-Liste
Statusaus. - Wähle den Benutzer in der Dropdown-Liste
Assigned Useraus. - Gib eine Notiz fĂĽr den neuen Status ein.
- Klicke auf
Save.
7.3 Einen Alert für ein Ticket einrichten​
Ticket-Alerts können auslösen, wenn ein neues Ticket eingeht, wenn sich der Status eines zugewiesenen Tickets ändert oder wenn sich der Status eines eigenen Tickets ändert. Richte einen über Configuration > Alerts ein, indem du einen neuen Alert erstellst und ihn definierst. (§11.6.3)
Die Alert-Details umfassen:
- Name — frei wählbar.
- Comment — optionale zusätzliche Information.
- Event —
Ticket Received(ein neues Ticket wird einem selbst zugewiesen),Assigned Ticket Changed(der Status eines einem selbst zugewiesenen Tickets ändert sich) oderOwned Ticket Changed(der Status eines einem anderen Benutzer zugewiesenen Tickets ändert sich). - Method — eine Methode pro Alert. Um für dasselbe Event verschiedene Alerts auszulösen, erstelle mehrere Alerts, die mit demselben Task verknüpft sind. Methoden:
- Email — an die angegebene Adresse gesendet; die Übertragung kann mit einem konfigurierbaren S/MIME- oder GPG-Schlüssel verschlüsselt werden (
Email Encryption). - Start Task — startet einen zusätzlichen, in
Start Taskausgewählten Task. - System Logger — sendet den Alert an einen Syslog-Daemon (der Syslog-Server wird über die Konsole definiert,
§7.2.12).
- Email — an die angegebene Adresse gesendet; die Übertragung kann mit einem konfigurierbaren S/MIME- oder GPG-Schlüssel verschlüsselt werden (
7.4 Tickets verwalten​
Liste alle Tickets über Resilience > Remediation Tickets auf. Jede Zeile zeigt: Vulnerability, Severity, Host, Solution Type, Assigned User, Modification Time und Status. (§11.6.4)
Listenaktionen: das Ticket in den Papierkorb verschieben (nur der Owner darf das), bearbeiten und klonen. Ein Dropdown unter der Liste verschiebt mehrere Tickets in den Papierkorb oder exportiert sie gleichzeitig. Die Detailseite (Klick auf den Ticketnamen) hat die Register Information und User Tags und bietet klonen, bearbeiten, in den Papierkorb verschieben und Export als XML.
8. Notizen verwenden​
Notizen fügen einer VT Kommentare hinzu und erscheinen in Reports. Eine Notiz kann an ein bestimmtes Ergebnis, einen Task, eine Schwere, einen Port oder einen Host angehängt werden (sodass sie nur in bestimmten Reports erscheint) oder verallgemeinert werden, sodass sie in allen Reports erscheint. (§11.7)
8.1 Eine Notiz erstellen​
Über ein Scan-Ergebnis (der einfachste Weg) (§11.7.1.1):
- Wähle
Scans > Reportsund klicke auf das Report-Datum, um die Ergebnisse anzuzeigen. - Wähle das Register
Results. - Klicke auf ein Ergebnis in der Spalte
Vulnerability. - Ă–ffne die Detailseite des Ergebnisses.
- Erstelle aus der oberen linken Ecke eine neue Notiz.
- Definiere die Notiz und klicke dann auf
Save. Die Notiz erscheint danach auf der Detailseite des Ergebnisses.
Auf der Seite Notes (§11.7.1.2):
- Wähle
Scans > Notesund erstelle eine neue Notiz. - Gib die VT-ID in
NVT OIDein. - Definiere die Notiz. Du kannst in
HostsIP-Adressbereiche und CIDR-Blöcke eingeben, um ganze Subnetze abzudecken, ohne jeden Host aufzulisten. Die Auswahl des Radio-ButtonsAnyfür Hosts, Locations, Schweren, Tasks oder Ergebnisse verallgemeinert die Notiz. - Klicke auf
Save.
8.2 Notizen verwalten​
Liste alle Notizen über Scans > Notes auf. Listenaktionen: in den Papierkorb verschieben, bearbeiten, klonen und Export als XML; ein Dropdown unter der Liste verschiebt oder exportiert mehrere gleichzeitig. Die Detailseite (Klick auf den Notiznamen) hat die Register Information, User Tags und Permissions (§9.4) und bietet erstellen, klonen, bearbeiten, in den Papierkorb verschieben und exportieren. (§11.7.2)
9. Overrides und False Positives verwenden​
Ein Override ändert die Schwere eines Ergebnisses. Overrides sind besonders nützlich, um Ergebnisse zu verwalten, die als False Positive erkannt wurden und eine kritische Schwere erhielten, aber künftig eine andere Schwere tragen sollen, um Ergebnisse mit nur Schwere Log auf eine höhere lokale Schwere anzuheben und um akzeptable Risiken zu verwalten. (§11.8)
:::tip Override- und False-Positive-Handhabung
Die Appliance meldet bewusst jede potenziell existierende Schwachstelle, statt ein False Negative zu riskieren. Wenn du bestätigt hast, dass ein Finding ein False Positive (oder ein akzeptiertes Risiko) ist, erstelle einen Override, um seine Schwere anzupassen, statt es zu ignorieren — so bleibt das Finding dokumentiert und auditierbar. Denke daran, dass Overrides nicht auf Ergebnisse angewendet werden, sofern du Apply Overrides im Filter nicht auf Yes setzt.
:::
9.1 Einen Override erstellen​
Über ein Scan-Ergebnis (§11.8.1.1):
- Wähle
Scans > Reports, klicke auf das Report-Datum, um die Ergebnisse anzuzeigen. - Wähle das Register
Results, klicke auf ein Ergebnis in der SpalteVulnerability. - Ă–ffne die Detailseite des Ergebnisses und erstelle dann einen neuen Override.
- Definiere den Override und wähle die neue Schwere in
New Severityaus, klicke dann aufSave.
Beim Erstellen eines Overrides ĂĽber ein Scan-Ergebnis sind einige Einstellungen vorausgefĂĽllt. Die Felder sind:
- NVT — die VT, auf die der Override angewendet wird.
- Active — ob der Override aktiv ist; eine Aktivierung für eine beliebige Anzahl an Tagen ist möglich.
- Hosts — Host oder Host-Bereich, für den das Ergebnis gefunden werden muss, damit der Override gilt. IP-Bereiche und CIDR-Blöcke werden unterstützt; ein Bereich wird mit einem Minus geschrieben, z. B.
198.168.1.1-198.168.1.25. Ein Bereich größer als 4096 wird nicht unterstützt. Widersprüchliche Overrides (z. B. einer für einen Host-Bereich und ein anderer für einen Host innerhalb dieses Bereichs) sind nicht erlaubt. - Location — Port, für den das Ergebnis gefunden werden muss, oder
Any. Ein bestimmter Port ist eine Zahl gefolgt von/tcpoder/udp. - Severity — Schwerebereich der VT, auf den der Override angewendet werden soll.
- New Severity — Schwere, die die VT nach Anwendung des Overrides haben soll.
- Task — Tasks, auf die der Override angewendet werden soll.
- Result — Ergebnisse, auf die der Override angewendet werden soll. Wähle
Any, wenn der Override auf zukünftige Reports angewendet werden soll. - Text — beschreibt den Override im Detail.
Wenn mehrere Overrides auf dieselbe VT im selben Report zutreffen, wird der jĂĽngste Override verwendet.
Auf der Seite Overrides (§11.8.1.2): Wähle Scans > Overrides, erstelle einen neuen Override, gib die VT-ID in NVT OID ein, definiere ihn (gleiche Felder wie oben), wähle New Severity und klicke auf Save.
9.2 Overrides verwalten​
Liste alle Overrides über Scans > Overrides auf. Listenaktionen: in den Papierkorb verschieben, bearbeiten, klonen und Export als XML; ein Dropdown unter der Liste verschiebt oder exportiert mehrere gleichzeitig. Die Detailseite (Klick auf den Override-Namen) hat die Register Information, User Tags und Permissions (§9.4) und bietet erstellen, klonen, bearbeiten, in den Papierkorb verschieben und exportieren. (§11.8.2)
9.3 Overrides deaktivieren und aktivieren​
Da Overrides ändern, wie Ergebnisse angezeigt werden, können sie über den Filter aktiviert oder deaktiviert werden (§11.8.3):
- Ă–ffne den Filter in der Filterleiste.
- Wähle bei
Apply OverridesYes, um Overrides zu aktivieren, oderNo, um sie zu deaktivieren. - Klicke auf
Update.
Overrides können außerdem in exportierten Reports gekennzeichnet werden (Abschnitt 2.2).