# Bewertung und Priorisierung von Schwachstellen ## Inhaltsverzeichnis - [Überblick](#overview) - [Priorisierung aus der Ansicht „Schwachstellen“](#vv) - [Zusammenfassung des Schweregrads](#severity) - [Zusammenfassung der Risikoindikatoren](#risk) - [Parameter zur Schwachstellenpriorisierung](#parameters) - [Filtern aus der Ansicht „Schwachstellen“](#filter) - [Schwachstellen-Einblicke](#spvul) - [Schwachstellen-Dashboard](#dashboard) - [Risikopriorisierung nach Bedrohungsexposition](#pr) - [Empfehlungen](#rec) - [Schwachstellen im Zeitverlauf](#time) - [Katalog neu entstehender Risiken](#erc) - [Schwachstellen-Altersmatrix](#age) ## Überblick Der Endpoint Central-Agent scannt Ihr Netzwerk regelmäßig auf Schwachstellen. Da der Endpoint Central-Agent mithilfe von Domänenanmeldedaten installiert wird, sind alle vom Agenten durchgeführten Schwachstellenscans authentifizierte Scans. Sobald nach dem Scan Schwachstellen erkannt werden, werden diese in der Webkonsole angezeigt. Da ständig neue Schwachstellen auftreten, kann es schwierig sein zu bestimmen, was zuerst behoben werden soll. Um dies zu bewältigen, bietet Endpoint Central einen **umfassenden, kontextgesteuerten Priorisierungsansatz**, der KI-/ML-Erkenntnisse, reale Bedrohungsinformationen und umgebungsspezifischen Kontext kombiniert. Schwachstellen können priorisiert werden mithilfe von: - **Risiko-Score (KI-/ML-basiert)** für die allgemeine Risikoeinstufung - **Schweregrad (CVSS 3.0 / 4.0)** für standardisierte Kritikalität - **Risikoindikatoren** wie Exploits, aktiv ausgenutzt, Zero-Day, Bedrohungsakteure und Malware - **EPSS-Score** für die Wahrscheinlichkeit einer realen Ausnutzung - **Betroffene Systeme** zum Verständnis der Exposition - **Patch-Verfügbarkeit & Behebungsmethode** für eine schnellere Behebung - **CERT-Warnmeldungen & externe Informationen** für validierten Kontext - **Alter & Zeitverlauf der Schwachstelle**, um zu verfolgen, wie lange eine Schwachstelle existiert und wie sich ihr Risiko entwickelt, anhand wichtiger Daten wie Veröffentlicht, Entdeckt, Von ME gewarnt und Aktualisiert Das **Schwachstellen-Dashboard** verbessert die Priorisierung zusätzlich durch eine einheitliche, visuelle Risikodarstellung: - **Übersichtskarten** zeigen die Gesamtzahl der Schwachstellen mit Schweregradverteilung und **zunehmenden oder abnehmenden Trends im Zeitverlauf** - **CISA KEV nach Fälligkeitsdatum** hilft bei der Priorisierung auf Basis von Fristen - **Katalog neu entstehender Risiken (ERC)** hebt neu identifizierte und risikoreiche Bedrohungen hervor - **Zero-Day-Einblicke** zeigen Schwachstellen ohne verfügbare Korrekturen auf - **Funnel zur Risikopriorisierung** zeigt, wie Schwachstellen auf Basis von Ausnutzbarkeit und realem Risiko in kritische Gruppen eingegrenzt werden - **Schwachstellen im Zeitverlauf** verfolgt Trends, um Spitzen zu erkennen und die Wirksamkeit der Behebung zu messen - **Empfehlungen** liefern direkte Maßnahmen für kritische Schwachstellen - **Schwachstellen-Altersmatrix** hilft bei der Priorisierung älterer, ungelöster Schwachstellen Zusätzlich bietet die **Ansicht „Schwachstellen-Einblicke“** Kontext wie Exploit-Verfügbarkeit, Auswirkungen und Warnmeldungen. **Hinweis:** Früher wurde für die Priorisierung von Schwachstellen nur CVSS verwendet; dadurch wurden viele CVEs als kritisch markiert, ohne Exposition, Kritikalität der Assets oder die Wahrscheinlichkeit einer realen Ausnutzung zu berücksichtigen. Jetzt reduziert die KI-/ML-gesteuerte Priorisierung das durch reinen CVSS verursachte Rauschen, indem sie sich auf ausnutzbare Risiken mit hoher Auswirkung konzentriert, sodass weniger nach CVSS kritische Elemente als dringend erscheinen, sofern sie es nicht tatsächlich sind. Gilt für: - **Windows** - **Linux** - **macOS** ## Priorisierung aus der Ansicht „Schwachstellen“ Klicken Sie auf **Bedrohungen → Schwachstellen**. ![Schwachstellenansicht](https://cdn.manageengine.com/sites/meweb/images/desktop-central/help/vulnerability-remediation/riskscore1.png) Oben sehen Sie eine kategorisierte Zusammenfassung der Schwachstellen über Endpunkte hinweg, gruppiert nach Schweregrad und Risikoindikatoren: ### Zusammenfassung des Schweregrads Schwachstellen werden basierend auf ihren Auswirkungen und ihrer Ausnutzbarkeit in vier Schweregrade von niedrig bis kritisch eingeteilt. „Gesamt“ gibt die Anzahl der über alle Endpunkte hinweg erkannten Schwachstellen an. Die Anzahl für jede Schweregradstufe wird ebenfalls angezeigt. Die Schweregrade werden wie folgt klassifiziert: **Kritisch:** Schwachstellen mit den höchsten Auswirkungen und der höchsten Wahrscheinlichkeit einer Ausnutzung, die eine sofortige Behebung erfordern. **Wichtig:** Schwachstellen mit hohem Risiko, die unter bestimmten Bedingungen ausgenutzt werden können und als Nächstes priorisiert werden sollten. **Mittel:** Schwachstellen mit mittleren Auswirkungen und geringerer Ausnutzbarkeit, die schrittweise behoben werden können. **Niedrig:** Schwachstellen mit minimalen Auswirkungen und geringem Risiko, die mit niedrigerer Priorität behandelt werden können. ### Zusammenfassung der Risikoindikatoren Risikoindikatoren liefern zusätzlichen Kontext zu Schwachstellen über ihren Schweregrad hinaus, indem sie reale Ausnutzbarkeit, Bedrohungsrelevanz und Angriffsaktivitäten hervorheben. Die Anzahl für jeden Risikoindikator wird ebenfalls angegeben, damit Sie Schwachstellen schnell bewerten und priorisieren können. Diese Indikatoren werden wie folgt klassifiziert: **Exploits:** Schwachstellen, für die Exploit-Code öffentlich verfügbar ist, was die Wahrscheinlichkeit eines Angriffs erhöht. Sie können alle detaillierten Informationen zu allen bekannten Exploits anzeigen, indem Sie auf eine bestimmte Schwachstelle klicken. **Aktiv ausgenutzt:** Die Schwachstelle wird derzeit bei realen Angriffen ausgenutzt, validiert anhand externer Bedrohungsinformationsquellen. Diese Schwachstellen erfordern sofortige Aufmerksamkeit. **Zero-Day:** Schwachstellen, die ausgenutzt oder entdeckt wurden, bevor ein offizieller Patch verfügbar war, häufig gestützt durch frühe externe Berichte und Bedrohungsinformationen, was sie hochriskant macht. **Bedrohungsakteure:** Gibt an, dass Schwachstellen mit bekannten Bedrohungsakteuren oder Angriffsgruppen verknüpft sind, was auf gezielte oder organisierte Ausnutzungsaktivitäten hindeutet. **Malware:** Schwachstellen, die mit bekannten Malware- und Ransomware-Kampagnen in Verbindung stehen, gestützt durch externe Forschung und Sicherheitsberichte, die eine aktive Nutzung durch Schadsoftware anzeigen. ### Parameter zur Schwachstellenpriorisierung In derselben Ansicht werden auch alle über Endpunkte hinweg erkannten Schwachstellen angezeigt. Endpoint Central hilft Ihnen, das von Schwachstellen ausgehende Risiko anhand der folgenden in der Schwachstellenansicht verfügbaren Parameter zu bewerten. Wählen Sie die erforderlichen Spalten mit dem Spaltenauswahl-Werkzeug aus, um die Ansicht basierend auf den Informationen anzupassen, die Sie anzeigen möchten: **Risiko-Score:** Dies ist der wichtigste Parameter für die Priorisierung. Es handelt sich um die KI-/ML-basierte Metrik von ManageEngine, die auf Basis mehrerer Risikofaktoren einen Wert von 0 bis 10 zuweist. Höhere Werte bedeuten höhere Priorität. Weitere Informationen zum Risiko-Score finden Sie auf [dieser Seite](https://www.manageengine.com/de/desktop-central/help/vulnerability-remediation/risk-score.html). **Betroffene Systeme:** „Betroffene Systeme“ gibt die Anzahl der von einer Schwachstelle betroffenen Endpunkte an und hilft Ihnen, ihre Verbreitung zu verstehen und die Behebung auf Basis der Exposition zu priorisieren. Durch Klicken auf die Anzahl können Sie detaillierte Informationen zu jedem betroffenen System anzeigen. **Exploit-Status:** Dieser Parameter zeigt an, ob für die Schwachstelle Exploit-Code verfügbar ist oder nicht. Schwachstellen, für die Exploit-Code offengelegt wurde, bergen ein hohes Risiko, ausgenutzt zu werden. Schwachstellen mit verfügbarem Exploit-Code und kritischem Schweregrad müssen zuerst priorisiert und beseitigt werden. **CVSS 3.0:** Der CVSS-3.0-Score stellt den Schweregrad einer Schwachstelle anhand standardisierter Metriken wie Ausnutzbarkeit und Auswirkungen dar und hilft Ihnen einzuschätzen, wie kritisch die Schwachstelle ist. **Zuerst entdeckt:** Dies ist das Datum, an dem die Schwachstelle erstmals in Ihrer Umgebung erkannt wurde, sodass Sie ihre Präsenz im Zeitverlauf nachverfolgen können. **Risikoindikatoren:** Wie bereits erwähnt, liefern diese zusätzlichen Kontext zu Schwachstellen über ihren Schweregrad hinaus, indem sie reale Ausnutzbarkeit, Bedrohungsrelevanz und Angriffsaktivitäten hervorheben. In dieser Spalte sehen Sie für jede Schwachstelle die zugehörigen Risikoindikatoren, die Ihnen helfen, ihre potenziellen Auswirkungen zu verstehen und die Behebung effektiv zu priorisieren. **CVE-ID:** Die CVE-ID (Common Vulnerabilities and Exposures) ist eine eindeutige Kennung, die öffentlich bekannten Schwachstellen zugewiesen wird, um sie über verschiedene Plattformen und Sicherheitstools hinweg zu standardisieren und nachzuverfolgen. In dieser Ansicht sehen Sie die Quell-CVE-ID, die einer Schwachstelle zugeordnet ist. Sie können auch alle zugehörigen CVE-IDs für diese Schwachstelle anzeigen, indem Sie auf die neben der Quell-CVE angezeigte Anzahl klicken. Eine einzelne Schwachstelle kann mehrere CVE-IDs haben, da sie verschiedene Komponenten, Produkte oder Versionen betreffen oder von verschiedenen Forschern teilweise entdeckt und dokumentiert worden sein kann. Diese CVEs werden zusammengefasst, um eine vollständige Ansicht des Problems und seiner Gesamtauswirkungen zu bieten. **CERT-Warnmeldungen:** Warnmeldungen bieten vertrauenswürdige Hinweise aus globalen und regionalen Quellen wie CISA-Warnungen, CERT-Warnmeldungen und anderen anerkannten Organisationen, um Schweregrad, betroffene Versionen und empfohlene Behebungen zu validieren. Wenn in einer dieser Warnmeldungen auf eine Schwachstelle verwiesen wird, werden die entsprechenden Warnmeldungsdetails in dieser Spalte angezeigt. **EPSS-Score:** Der EPSS-Score (Exploit Prediction Scoring System) gibt die Wahrscheinlichkeit an, dass eine Schwachstelle in freier Wildbahn ausgenutzt wird, ausgedrückt als Wahrscheinlichkeit zwischen 0 und 1. Dies hilft dabei, Schwachstellen auf Basis des realen Ausnutzungsrisikos und nicht nur des Schweregrads zu priorisieren. **Behebungsmethode:** Erklärt, wie die jeweilige Schwachstelle behoben werden kann, kategorisiert als bereitstellbarer Patch, vom Hersteller empfohlene manuelle Patch-Installation, manueller Workaround oder keine verfügbare Behebung. Wenn ein Patch zur Minderung der Schwachstelle verfügbar ist, wird empfohlen, diese Schwachstelle zuerst zu priorisieren und zu beheben. **ME-Warndatum:** Gibt das Datum an, an dem ManageEngine eine Warnung für die Schwachstelle in seinem Katalog neu entstehender Risiken (ERC) ausgegeben hat. Der Katalog neu entstehender Risiken ist ein fortlaufend aktualisiertes Repository neuer Expositionen, das frühe Warnsignale wie Exploit-Diskussionen, Verfügbarkeit von Proof-of-Concepts (PoC) und Angriffstrends erfasst und Ihnen hilft, sich vorzubereiten, bevor die Ausnutzung weit verbreitet ist. **Patch-ID:** Zeigt die eindeutige Kennung des mit der Schwachstelle verknüpften Patches an. Dies wird nur angezeigt, wenn die Behebungsmethode „Bereitstellbarer Patch“ ist, und hilft Ihnen dabei, den erforderlichen Patch direkt zu identifizieren und bereitzustellen, um die Schwachstelle zu beheben. **OS-Plattform:** Gibt die von der Schwachstelle betroffene Betriebssystemplattform an, z. B. Windows, macOS oder Linux, und hilft Ihnen zu verstehen, wo die Schwachstelle vorhanden ist. **Aktualisierungsdatum:** Gibt das Datum an, an dem die Details zur Schwachstelle zuletzt aktualisiert wurden, sodass Sie die neuesten damit verbundenen Änderungen oder Aktualisierungen nachverfolgen können. **CVSS-3.0-Vektor:** Der CVSS-3.0-Vektor ist eine standardisierte Zeichenkettendarstellung, die die Eigenschaften einer Schwachstelle mithilfe spezifischer Metriken wie Angriffsvektor, Angriffskomplexität, erforderliche Berechtigungen, Benutzerinteraktion, Geltungsbereich und Auswirkungen beschreibt. **Unterstützt ab:** Gibt das Datum an, ab dem ManageEngine die Erkennung oder Behebung der Schwachstelle unterstützt. **Patch-Name:** Zeigt den Namen des mit der Schwachstelle verknüpften Patches an (nur bei „Bereitstellbarer Patch“). **Veröffentlichungsdatum:** Gibt das Datum an, an dem die Schwachstelle öffentlich offengelegt wurde. **Schweregrad:** Einstufung in Niedrig, Mittel, Wichtig oder Kritisch. **Entdeckungsdatum:** Gibt das Datum an, an dem die Schwachstelle ursprünglich entdeckt wurde. **CVSS-4.0-Vektor:** Standardisierte Zeichenkette mit aktualisierten Metriken zur Beschreibung der Schwachstelle gemäß CVSS 4.0. **CVSS-4.0-Score:** Bewertet den Schweregrad gemäß CVSS 4.0 mit erweitertem Kontext. **Lösung:** Empfohlene Schritte zur Behebung der Schwachstelle. ## Filtern aus der Ansicht „Schwachstellen“ Nachdem Sie diese Parameter zur Priorisierung verstanden haben, können Sie in dieser Ansicht Filter verwenden, um die relevantesten Schwachstellen einzugrenzen. **Schwachstellenfilter:** Filtern nach Risiko-Score, Patch-Verfügbarkeit, EPSS-Score, Risikoindikatoren, CVSS-3.0-Score, Warnmeldungen, CISA-Fälligkeitsdatum, Entdeckungsdatum, CVSS-4.0-Score, Schweregrad, CVE-ID, Veröffentlichungsdatum, Betriebssystem, Anwendung, ME-Warndatum, Schwachstellenname und Exploit-Status. **Computerfilter:** Filtern nach Computername, Plattform, Domänenname, Außenstelle, benutzerdefinierte Gruppe, Betriebssystem, Sprache und Live-Status des Agenten. ## Schwachstellen-Einblicke ![Spezifische Schwachstelle](https://cdn.manageengine.com/sites/meweb/images/desktop-central/help/vulnerability-remediation/riskscore2.png) Beim Klicken auf eine bestimmte Schwachstelle öffnet sich ein neues Fenster mit detaillierten Informationen wie Risiko-Score, CVSS-Score und EPSS-Score. Weitere Informationen umfassen: - **Risikoindikatoren** mit externen Referenzen - **Anzahl und Listen von Exploits** mit entsprechenden Links - Details zu: - **Aktiv ausgenutzt** - **Zero-Day** - **Malware** - **Bedrohungsakteure** - **Auswirkungen** (z. B. Datenverlust, Systemkompromittierung) - **Details zur Warnmeldung** - **CVE-Informationen** - **CWE-Informationen** - **Externe Links** (Advisory, PoC, Blog, KEV usw.) - **Behebung** inklusive Option zur Patch-Bereitstellung - **Schwachstellen-Zeitleiste** mit vollständigem Lebenszyklus ## Schwachstellen-Dashboard Klicken Sie auf **Dashboard → Schwachstellen**. ![Priorisierung im Schwachstellen-Dashboard](https://cdn.manageengine.com/sites/meweb/images/desktop-central/help/vulnerability-remediation/riskscore3.png) Der obere Abschnitt bietet eine Zusammenfassung auf hoher Ebene der Schwachstellen in Ihrer Umgebung sowie Trends im Zeitverlauf. Karten im Überblick: - **Gesamte Schwachstellen** mit Schweregradverteilung - **CISA KEV nach Fälligkeitsdatum** - **Katalog neu entstehender Risiken nach Warndatum** - **Zero-Day nach Veröffentlichungsdatum** ### Risikopriorisierung nach Bedrohungsexposition Diese Trichterkurve zeigt, wie Schwachstellen auf Basis der [oben genannten](#risk) Kriterien priorisiert werden. Beim Abstieg im Trichter werden Schwachstellen auf kritischere Kategorien eingegrenzt. ### Empfehlungen Für kritische Schwachstellen bietet das Dashboard direkte Empfehlungen und ermöglicht die Patch-Bereitstellung. ![Priorisierung im Schwachstellen-Dashboard](https://cdn.manageengine.com/sites/meweb/images/desktop-central/help/vulnerability-remediation/riskscore4.png) ### Schwachstellen im Zeitverlauf Das Diagramm **Schwachstellen im Zeitverlauf** zeigt Trends und Veränderungen. Sie können zwischen folgenden Kategorien wechseln: - **Alle Schwachstellen** - **CISA KEV nach Fälligkeitsdatum** - **Zero-Day** - **Ausgenutzt** - **Aktiv ausgenutzt** - **Katalog neu entstehender Risiken nach Warndatum** - **Bedrohungsakteur** - **Malware** Anzeigeoptionen: - **Eindeutige Anzahl von Schwachstellen** - **Gesamtzahl der Schwachstelleninstanzen** ### Katalog neu entstehender Risiken Liste erkannter Schwachstellen mit: - **Schwachstellenname** - **Betroffene Systeme** - **Auswirkungen** - **ME-Warndatum** ### Schwachstellen-Altersmatrix Endpoint Central ermöglicht die Altersberechnung ab: - Veröffentlichungsdatum - Entdeckungsdatum Die Matrix gruppiert Schwachstellen nach Schweregrad und Alter. Wählen Sie die gewünschte Kategorie aus, um entsprechende Schwachstellen anzuzeigen. Wählen Sie nun die Schwachstellen aus, die Sie beheben möchten, und [beheben Sie sie](https://www.manageengine.com/de/desktop-central/help/vulnerability-remediation/vulnerability-remediation.html). Wenn Sie weitere Fragen haben, lesen Sie bitte unseren Abschnitt [Häufig gestellte Fragen](https://www.manageengine.com/de/desktop-central/help/vulnerability-remediation/vulnerability-faq.html#vul) für weitere Informationen.