使用儀表板評估業務風險

使用儀表板可跟蹤組成產品服務組合的應用程序的各種度量值和趨勢。

開始之前

1. 要查看趨勢圖表，請確保產品管理員向您提供“查看趨勢”用戶許可權。
2. 當您使用 Microsoft? Internet 8.0 時，必須首先安裝 Microsoft Silverlight，然后才能使用圖表。請考慮升級到較新的瀏覽器版本或更換為 Mozilla Firefox，以便能夠利用該功能的交互性。

過程

1. 轉至“儀表板”選項卡以開始分類過程。
   

2. 在黑色條幅區域中，從下拉菜單選擇特定業務單元來優化顯示或將產品服務組合作為一個整體來分析。單擊這是什么？鏈接可了解安全風險評級如何工作。

   提示： 根據您從業務單位菜單作出的選擇，儀表板的條幅區域（黑色區域）將顯示屬于每個安全性風險評級類別的應用程序的數量。儀表板該區域中的度量值不受在下半部分（白色區域）中選擇的圖表的影響。

3. 選擇要分析的圖表。

   注： 趨勢數據將保留 24 個月，以當前月結束。歷史數據累積以想要首次使用 AppScan Enterprise v9.0.2 或更高版本的月開始。趨勢數據聚集使用托管 Liberty Server 的計算機上的時區信息的日期。要維護數據的完整性，此處顯示的日期仍將保留在捕獲這些日期的時區中，而且不會反映您的語言環境的時區。

4. 要使用鍵盤瀏覽到圖表中，按 Tab 鍵直到焦點出現在圖表上。

   1. 按向右方向鍵以進入圖表，并按向下箭頭鍵以將焦點放到圖表的軸上。

   2. 使用向下方向鍵和向上方向鍵可在圖表的軸之間移動。可使用向右方向鍵輸入軸的元素，并使用向左方向鍵返回到軸。

      注： 關鍵摘要：

      • 進入圖表：向右方向鍵、向下方向鍵
      • 瀏覽圖表的區域：向上方向鍵和向下方向鍵
      • 進入圖表的區域：向右方向鍵
      • 離開圖表的區域以向上移動一個級別：向左方向鍵向左方向鍵

5. 應用高級過濾。

6. 將所選業務單元或整個產品服務組合的數據導出到 Excel () 以進行脫機分析。

儀表板圖表

跟蹤組成產品服務組合的應用程序的各種度量值和趨勢。

表 1. 儀表板圖表

注： 趨勢數據將保留 24 個月，以當前月結束。歷史數據累積以想要首次使用 AppScan Enterprise v9.0.2 或更高版本的月開始。趨勢數據聚集使用托管 Liberty Server 的計算機上的時區信息的日期。要維護數據的完整性，此處顯示的日期仍將保留在捕獲這些日期的時區中，而且不會反映您的語言環境的時區。

過濾應用程序產品服務組合

當有很多應用程序要進行測試以查找安全問題時，如何能在列表很長的情況下找到您感興趣的應用程序？對所預設的屬性（例如“業務影響”、“測試狀態”或“類型”）使用過濾器可縮小測試范圍。

關于此任務

搜索屬性或部分屬性可將屬性列表精簡為對您最重要的應用程序子集。

過程

1. 在“產品服務組合”側邊欄中，選擇要查看的業務單位或查看整個產品服務組合。
   

2. 按最高嚴重性對列表中的應用程序進行分組。然后，要進一步對要分類的應用程序劃分優先級，請按風險分級或進行中的工作對數據列進行排序。該分組將對每個類別內的應用程序均進行重新排序。

   提示：

   1. 如果按最高嚴重性屬性進行分組，那么無需首先對列表進行過濾。嚴重性分組將通過按“嚴重”、“高”、“中”、“低”和“參考”對應用程序進行分類來為您執行此過濾。
   2. 缺省情況下有 7 個顯示了應用程序屬性的列（風險分級、名稱、關鍵問題、高嚴重性問題、中等嚴重性問題、進行中的工作和業務單元）。無論您如何對應用程序分組，都可定制列視圖以僅顯示所需的信息。轉至列表菜單 > 列選擇并選擇要顯示的相關數據列。例如，可能包含新問題以便您可以始終查看整個任務夾中有多少問題尚未分類。

3. 在該側邊欄中，使用添加過濾器字段以快速搜索所選業務單位中的應用程序屬性。選擇過濾器并通過單擊“加號”符號來添加此過濾器。添加過濾器時，添加過濾器字段將清空以用于下一次搜索。

4. 可通過依次對 New Issue 屬性和 Testing Status 屬性進行過濾來縮小搜索范圍。列表將向您顯示需要立即處理的應用程序。

5. 添加更多過濾器（例如 Business Owner）以查看誰擁有未測試的應用程序。最大過濾器數量為 10 個。您可以創建所收藏過濾器的列表以跨進行分類的所有應用程序使用。

6. 應用高級過濾。

7. 要查找特定應用程序，請按該名稱進行排序，或者在添加過濾器字段中輸入屬性或部分屬性。在該字段中搜索并非完整文本搜索，而是對可應用的可能過濾器的搜索。關閉過濾器時將自動保存最近的搜索。如果您經常使用特定搜索，那么可為其添加書簽以供將來參考。

   注： 例如，當您按具有多個值的屬性（例如 Hosts 或 Tags）進行過濾時，搜索過濾器將返回與其中任意值匹配的結果。

應用高級過濾器

高級過濾有助于您可視化需要注意的應用程序以滿足安全和法規一致性標準。可按行業標準（OWASP 前 10 位或 CWE/SANS 前 25 位）或按問題類型來應用高級過濾。將其應用于一個業務單元上或產品服務組合中的所有業務單元上。在應用過濾以調優列表后，將 URL 復制到電子郵件中并將其發送給負責修正問題的團隊成員。

從儀表板應用高級過濾

當您單擊這些圖表中的某個圖表中的某個部分時，“產品服務組合”列表將根據該選擇進行過濾：

• 首要問題類型

  注： 從 v9.0.3，可向下鉆取“首要問題類型”圖表以查看哪些應用程序包含產品服務組合中的首要問題。

• OWASP Top 10

• CWE/SANS 前 25 位

從“首要問題類型”圖表向下鉆取

讓我們假定“路徑遍歷”是組織的某個問題類型，而且 7 個應用程序受到影響。當您在“產品服務組合”視圖中依次單擊時，將看到 7 個應用程序的優化列表。在側邊欄中，將看到指示高級過濾已啟用而且某些應用程序可能已隱藏的消息。單擊該消息，這將打開“高級過濾”對話框。現在，可對問題類型應用“標準”和“部分”過濾器以確定這些問題是否違反了標準。

注：

1. 如果問題不適用于所選擇的“標準和部分”，那么產品服務組合視圖不會在列表中顯示任何內容。
2. 要除去高級過濾，單擊“高級過濾已啟用”消息鏈接。現在將看到 3 個選項：
   1. 單擊清除 > 保存以除去所有高級過濾器。
   2. 在“標準”列表中選擇“無”，然后單擊保存。
   3. 選擇列表菜單 > 重置過濾器。

“一致性標準”過濾器確定的問題類型可突出顯示開發人員可能需要的培訓。

從“標準”圖表向下鉆取

讓我們假定“OWASP 前 10 位”圖表具有 15 個“注入”類別中的應用程序。向下鉆取到“產品服務組合”選項卡，并單擊“高級過濾已啟用”消息鏈接，切換到“問題屬性”選項卡并按問題類型添加更多過濾。還可以按問題狀態進行過濾。

注：

1. 結果可能是較小的應用程序列表，或者如果問題都不適用于所選擇的“標準和部分”，那么產品服務組合視圖不會在列表中顯示任何應用程序。
2. 要除去高級過濾，單擊“高級過濾已啟用”消息鏈接。現在將看到 2 個選項：
   1. 單擊清除 > 保存以除去所有高級過濾器。
   2. 在“標準”列表中選擇“無”，然后單擊保存。

從產品服務組合應用高級過濾

過程

1. 通過單擊列表菜單 > 高級過濾來打開“高級過濾”對話框。
2. 單擊想要應用的過濾器類型的選項卡，進行選擇，然后單擊保存。

結果

注：

1. 結果可能是較小的應用程序列表，或者如果問題都不適用于所選擇的“標準和部分”，那么產品服務組合視圖不會在列表中顯示任何應用程序。
2. 要除去高級過濾，單擊“高級過濾已啟用”消息鏈接。現在將看到 2 個選項：
   1. 單擊清除 > 保存以除去所有高級過濾器。
   2. 在“標準”列表中選擇“無”，然后單擊保存。

在應用程序上應用過濾

可通過 REST API 進一步過濾應用程序。對于第三方應用程序和儀表板，可抽取與一致性標準相關的信息。可根據問題屬性以及根據問題和部分來過濾應用程序。向 REST API 添加了兩個參數來啟用高級過濾：

• IssuesQuery
• properties：要在 properties 參數中使用的標識和別名可通過調用 REST API 來提供：
  • GET /standards
  • GET /standards/{standardId}/sections

還可以從 UI 中的“監視器”視圖來生成 HTML 和 PDF 格式的詳細安全報告。