去: CVSS分数 CPE信息 CVE列表▾ CVE搜索列表 搜索技巧 CVE请求Web表单 Web表单的帮助 PGP的关键 CVE列表文件与指导 使用条款 CNAs▾ CVE编号当局(CNAs) 参与CNAs CNA文件、政策和指导 CNA规则,3.0版本 新CNA新员工培训 幻灯片和视频 如何成为CNA吗 WGs▾ CVE工作组 自动化(AWG) CNA协调(CNACWG) 外展和通信(OCWG) CVE质量(QWG) 战略规划(SPWG) 战术(TWG) 董事会▾ CVE董事会 成员 电子邮件档案 会议档案 董事会章程 关于▾ 关于CVE 专业行为准则 CVE & NVD关系 历史 赞助商 文档和指导 常见问题 术语 万博下载包新闻和博客▾ 最新的CVE新闻万博下载包 博客 播客 日历 存档 遵循CVE 免费的CVE通讯万博下载包 CVEnew Twitter CVEannounce Twitter CVE中 CVE在LinkedIn CVEProject GitHub上 CVE在YouTube上
搜索CVE列表 下载 数据传输 更新一个CVE记录 请求CVE id
总CVE记录:210121年 注意:转换到全新的CVE网站WWW.CVE.ORG和CVE记录格式JSON正在进行中。 注意:将遗留CVE下载列表格式2024年1月1日开始逐步淘汰。 新CVE列表下载格式现在有时间。



组织名称:

nCircle网络安全公司。

网站:

http://www.ncircle.com

兼容的能力:

IP360漏洞管理系统

能力主页:

http://www.ncircle.com/products/index.html

1)产品可访问性< CR_2.4 >

提供的一个简短的描述和你的能力在哪里得到你的客户和公众(必需):

nCircle向客户提供IP360漏洞管理系统通过直接销售和经销商。

一旦操作,IP360显示CVE和可以编号为适用的漏洞作为描述的一部分。这些信息出现在报道,以及在一个单独的搜索功能。用户可以搜索CVE漏洞数据库,可以数。

另外,如果配置,IP360包括CVE id在XML输出VnE经理。

4)地图货币显示< CR_5.1 >

描述和你的能力表明最近的CVE版本用于创建或更新其映射(必需):

发行说明运到客户的每次更新漏洞的规则。发行说明包括最近的CVE版本是用于数据导入和映射。

5)地图货币更新方法< CR_5.2 >

表示你打算多久更新映射,以反映新的CVE版本并描述你的方法来保持合理的电流与CVE版本当他们映射到存储库(推荐):

nCircle包括适用的CVE和可以与每个漏洞条件添加到数字产品。现有的罐是每周推广审计。此外,审计执行的个人条件作为质量保证过程的每一次更新发布。

6)地图货币更新时间< CR_5.3 >

描述如何和你解释你的客户他们应该期待一个更新的时间表功能的映射,以反映新发布的CVE版本(推荐):

所有相关数据包含在初始系统的脆弱性状况,CVE映射更新。更新过程的解释是包括在在线帮助系统,以及系统文档可供下载从IP360的接口。

7)CVE和兼容性文档< CR_4.1 >

提供一个副本,或者它的位置的方向,您的文档描述了CVE和CVE的兼容性为你的客户(必需):

IP360词汇表的基本指南,IP360管理员指南,和在线帮助系统包含这段文字:

CVE
常见的漏洞和风险敞口。“漏洞的标准化的名单和其他信息安全风险敞口。”(从CVE网站:www.cve.mitre.org. The website has a description for each CVE number listed in this help documentation.)

CVE兼容性
nCircle正在申请CVE兼容性。CVE兼容性过程包括两个阶段。第一,叫做申报阶段,由注册一个组织的意图声明使他们的产品和/或服务(s) CVE-compatible。一个组织必须完成第一阶段开始前阶段2。称为评估阶段,第二阶段需要完成一份调查问卷,专门寻找的细节如何组织满足了“需求和建议CVE兼容性”。

(从CVE网站:https://cve.mitre.org/compatible/process.html)

8)文档使用CVE找到元素名称< CR_4.2 >

提供一个副本,或者它的位置的方向,你的文档描述了你的客户如何使用的具体细节CVE名字找到个人安全元素在你能力的存储库(必需):

IP360管理员指南》第八章“先进的安全分析语言”和同名的在线帮助部分包含该文本(CVE ID作为搜索表)中列出的标准是:

回到顶部

寻找先进的安全分析语言条件

用户可以搜索标准内的所有规则和自定义ASPL规则集。

注意:如果一个漏洞或攻击(释放或绑定)条件不是由IP360或者也不再使用,仍将显示状态的描述,但不是它的前部分规则。未使用的条件保存备查。

寻找漏洞和攻击条件:

1. 在分析:ASPL >漏洞,选择一个或多个以下的标准。检查高级搜索访问这些标准。从每个标准列表选择零个或多个项目。

搜索标准	描述
搜索短语	关键字搜索的名称和描述漏洞和攻击条件
风险水平	风险水平分类的漏洞及其相关的攻击类型和易于访问,攻击者获得
策略水平	只适用于nCircle规则。nCircle分配一个策略每个nCircle脆弱状态。
应用程序	应用程序的漏洞和攻击规则定义的绑定
简历E ID	文本字段为一个特定漏洞的CVE ID。使用的格式YYYY-NNNN将产生两个cf和罐子。
BugTraq ID	文本字段为一个特定漏洞的BugTraq ID(偏值不允许)
无排名前20的类别	为一个特定的文本字段SANS前20名类别(结果将包括nCircle脆弱性条件覆盖漏洞类别)
脆弱性/攻击类型	决定是否显示ASPL条件是标准的一部分“nCircle”ASPL设置或管理员创建的“定制”的条件
分数	脆弱性条件必须有一个得分大于或小于这个值。
规则类型	决定是否显示包含ASPL条件侵入性的规则或非侵入性的规则。因为一个条件可以包含多个规则,只有一条规则必须是“侵入”或“非侵入性”条件的结果。
身份验证的尝试	决定是否显示ASPL条件至少有一个规则为特征的身份验证的尝试与否。如果选择了“无身份验证尝试”,只有那些脆弱的条件不包含“身份验证尝试”规则将被归还。

2. 点击提交。
   所有漏洞条件(和相关攻击条件)匹配的标准显示如下。
3. 点击一个漏洞或攻击条件以查看其详细信息。
   细节漏洞或攻击条件,包括组件ASPL规则和相关攻击和脆弱性条件,显示。漏洞可以或CVE ID将显示在“咨询出版商条目。”

示例搜索和结果漏洞和攻击条件搜索

<屏幕中间删除>

描述的脆弱性在搜索结果中选择条件

9)发现CVE名称的文档,使用元素< CR_4.3 >

提供一个副本,或者它的位置的方向,您的文档描述了过程的用户会发现CVE名称与个人安全元素在你能力的存储库(必需):

看到在# 8显示文档(用户可以找到/ CVE ID特定漏洞中描述的步骤# 3)。

10)文档索引CVE-Related材料< CR_4.4 >

如果您的文档包含一个索引,提供一份项目和资源,你列在“CVE”指数。交替提供方向,这些“CVE”项目是张贴在你的网站(推荐):

IP360索引的基本指南,IP360管理员指南,和onli5帮助系统包含这段文字:

CVE		153年
	罐与cf	154年
	将罐转换为cf	154年
	找到一个漏洞通过CVE ID	112年
	找到一个漏洞的ID	112年
	IP360-CVE兼容性	153年
	更新ASPL规则	154年

11)候选人与条目显示< CR_6.1 >

如果CVE候选人或使用支持,解释你如何表明候选人不接受CVE条目(必需):

CVE候选人与前言可以显示,而不是CVE前言。

12)候选人与条目解释< CR_6.2 >

如果CVE候选人或使用支持,解释在哪里以及如何区别候选人和条目是向你的客户解释(推荐):

内罐和cf的区别是解释文档。IP360词汇表的基本指南,IP360管理员指南,和在线帮助系统包含这段文字:

回到顶部

CVE

常见的漏洞和风险敞口。“漏洞的标准化的名单和其他信息安全风险敞口。”(从CVE网站:www.cve.mitre.org. The website has a description for each CVE number listed in this help documentation.)

候选人与官方的条目

CVE候选人这些漏洞或承兑风险考虑到CVE。候选人被分配特殊的数字,区分CVE条目。然而,这些数字成为候选人是否录取CVE CVE条目。例如,一个候选人可能可以- 1999 - 0067,而它最终CVE编号将CVE - 1999 - 0067。同时,候选人的分配数量不是一个保证它将成为官方CVE条目。(从CVE网站:https://cve.mitre.org/cve/search_tips.html候选人)

13)候选人进入推广< CR_6.3 >

如果CVE候选人或使用支持,解释你的政策改变的候选人进入条目在你能力和描述,以及这是如何传达给你的客户(推荐):

nCircle审计系统中现有的罐每周促销活动。如果找到任何罐被提升,他们的名称改为CVE。

IP360词汇表的基本指南,IP360管理员指南,和在线帮助系统包含这段文字:

回到顶部

CVE

常见的漏洞和风险敞口。“漏洞的标准化的名单和其他信息安全风险敞口。”(从CVE网站:https://cve.mitre.org。网站有一个描述每个CVE编号列出本帮助文档。)

将罐转换为cf

综述了现有的罐每周促销cf。如果可以一直在提升,IP360数据库更新,以反映其地位的变化。

更新nCircle标准规则集

nCircle获得数据从各种业内人士对新兴的漏洞。这个数据规范化和优先之前被ASPL团队研究。每个脆弱性的研究条件包括确认相关资源(CVE, bugtraq、女士报告),除了创建规则来检查条件。nCircle ASPL团队主要集中于转向远程检查条件。

14)候选人和条目的搜索支持< CR_6.4 >

如果CVE候选人或使用支持,解释以及客户在哪里可以找到的解释你的搜索功能寻找候选人的能力和条目通过仅使用YYYY-NNNN CVE名称的一部分(推荐):

IP360管理员指南》第八章“先进的安全分析语言”和同名的在线帮助部分包含相关的文本。本文引用全部在回答< CR_4.2 >。

15)搜索支持晋升候选人< CR_6.5 >

如果CVE候选人支持或使用,在哪里以及如何解释客户可以找到的解释你的搜索功能支持检索CVE条目不再是一个候选人的候选人(推荐):

所有搜索cf和罐可以执行基于YYYY-NNNN格式。搜索功能将返回罐或cf有效结果。IP360管理员指南》第八章“先进的安全分析语言”和同名的在线帮助部分包含相关的文本。本文引用全部在回答< CR_4.2 >。

16)候选映射货币显示< CR_6.6 >

如果CVE候选人或使用支持,解释你在哪里以及如何告诉用户如何你的候选人信息是最新的(推荐):

nCircle审计系统中现有的罐每周促销活动。如果发现任何罐被提升,他们的名称改为CVE。

IP360词汇表的基本指南,IP360管理员指南,和在线帮助系统包含这段文字:

将罐转换为cf

综述了现有的罐每周促销cf。如果可以一直在提升,IP360数据库更新,以反映其地位的变化。

特定类型的能力问题

17)发现任务使用CVE名称< CR_A.2.1 >

详细的例子和解释用户如何定位任务的工具通过寻找相关的CVE的名字(必需):

找到一个漏洞通过CVE ID、用户导航界面的“分析”部分,然后从菜单中选择ASPL - >漏洞。通过检查“高级选项”框,用户可以输入的YYYY-NNNN部分CVE也可以。搜索将返回全部细节与CVE或相关的任何漏洞。

另外,如果用户选择搜索漏洞的名字,与结果相关的CVE或者显示在每个条件的细节。这也提供了一个链接显示cve.mitre.org和与此CVE或者相关的内容。

18)发现CVE名称使用元素报告< CR_A.2.2 >

给详细的例子和解释的报告,确定个人安全元素,该工具允许用户确定相关的CVE名字对个人安全元素在报告中(必需):

与上面的搜索通过CVE功能中,用户可以根据名称或其他文本搜索条件,以及其他属性。结果将包含相关的CVE或可以适用。

此外,在扫描的报告结果,显示相关的CVE每个条件。显示在报告提供相同的数据从一个搜索结果。

19)获得的CVE名单与任务相关的< CR_A.2.4 >

给详细的例子和解释用户如何获得一个清单的所有CVE名称与工具的相关任务(推荐):

IP360执行定期备份数据库,可以配置为交付到远程主机。客户需要恢复这个数据库,从这些数据中提取cf的列表。

请求nCircle将是一个更有效的方法获得这些信息。

22)后援的通知请求的CVE名称< CR_A.2.7 >

提供一个描述的工具通知用户所选任务相关联的CVE名称不能被执行(推荐):

如果CVE或可以在IP360系统,不包括搜索功能将返回一个“没有发现漏洞”信息给用户。

31)电子文档格式信息< CR_B.3.1 >

提供详细信息您提供的不同的电子文档格式,并描述如何寻找特定CVE-related文本(必需):

IP360三格式提供数据导出,以及产品本身的可浏览的HTML界面:PDF、CSV, XML。CSV, XML本质上是可搜索的纯文本格式。这些格式是可用的一部分IP360自动导出功能。每个人可以导出为PDF报告,与大多数搜索PDF阅读器。

32)电子文件清单的CVE名称< CR_B.3.2 >

如果一个人的能力的标准电子文档列表安全元素的短名称或标题提供示例文件,演示相关的CVE名称为每个单独列出安全元素(必需):

IP360的报道,CVE id为个人条件可以找到“深入”的条件。用户只需点击条件的名字,看到一个细节屏幕包含个人CVE ID (s)与条件。

此外,虽然可以生成电子文档(PDF),其中只包含短名称条件,必须明确要求。完整的pdf / xml / csv导出包含每个条件的全部细节。

33)电子文档元素CVE名称映射< CR_B.3.3 >

提供示例文档演示功能的单个元素映射到相应的CVE名称(s)(推荐):

作为一个例子,在XML导出,CVE ID列出:

…
<风险> < /风险>远程访问
<技能> Windows二进制< /技能>
<策略>网络侦察> < /策略
< / vuln >
< vuln id = " 286 " >
< vname > Identd可用< / vname >
< vscore > < / vscore > 13
< appmap type = " ip360_app " > 144 < / appmap >
<报告>
< cve > - 1999 - 0629 < / cve >
< /报告>
…

34)发现通过GUI元素使用CVE名称< CR_B.4.1 >

给详细的例子和解释的GUI提供了一个“发现”或“搜索”功能为用户识别功能的元素通过寻找相关CVE名称(s)(必需):

回到顶部

寻找先进的安全分析语言条件

用户可以搜索标准内的所有规则和自定义ASPL规则集。

注意:如果一个漏洞或攻击(释放或绑定)条件不是由IP360或者也不再使用,仍将显示状态的描述,但不是它的前部分规则。未使用的条件保存备查。

寻找漏洞和攻击条件:

1. 在分析:ASPL >漏洞,选择一个或多个以下的标准。检查高级搜索访问这些标准。从每个标准列表选择零个或多个项目。

搜索标准	描述
搜索短语	关键字搜索的名称和描述漏洞和攻击条件
风险水平	风险水平分类的漏洞及其相关的攻击类型和易于访问,攻击者获得
策略水平	只适用于nCircle规则。nCircle分配一个策略每个nCircle脆弱状态。
应用程序	应用程序的漏洞和攻击规则定义的绑定
简历E ID	文本字段为一个特定漏洞的CVE ID。使用的格式YYYY-NNNN将产生两个cf和罐子。
BugTraq ID	文本字段为一个特定漏洞的BugTraq ID(偏值不允许)
无排名前20的类别	为一个特定的文本字段SANS前20名类别(结果将包括nCircle脆弱性条件覆盖漏洞类别)
脆弱性/攻击类型	决定是否显示ASPL条件是标准的一部分“nCircle”ASPL设置或管理员创建的“定制”的条件
分数	脆弱性条件必须有一个得分大于或小于这个值。
规则类型	决定是否显示包含ASPL条件侵入性的规则或非侵入性的规则。因为一个条件可以包含多个规则,只有一条规则必须是“侵入”或“非侵入性”条件的结果。
身份验证的尝试	决定是否显示ASPL条件至少有一个规则为特征的身份验证的尝试与否。如果选择了“无身份验证尝试”,只有那些脆弱的条件不包含“身份验证尝试”规则将被归还。

2. 点击提交。
   所有漏洞条件(和相关攻击条件)匹配的标准显示如下。
3. 点击一个漏洞或攻击条件以查看其详细信息。
   细节漏洞或攻击条件,包括组件ASPL规则和相关攻击和脆弱性条件,显示。漏洞可以或CVE ID将显示在“咨询出版商条目。”

示例搜索和结果漏洞和攻击条件搜索

<屏幕中间删除>

描述的脆弱性在搜索结果中选择条件

35)GUI元素CVE名称映射< CR_B.4.2 >

简要描述如何列出相关的CVE名称为个人安全元素或讨论用户如何使用CVE条目之间的映射和能力的元素,也描述的格式映射(必需):

相关的cf列出在每个元素的详细信息显示在IP360接口。CVE id链接到相关的内容https://cve.mitre.org。用户可以选择这些链接来验证或获得进一步的信息。

36)GUI出口电子文档格式信息< CR_B.4.3 >

提供不同的电子文档格式的详细信息,你提供出口或访问CVE-related数据和描述如何寻找特定CVE-related文本(推荐):

IP360提供XML或CSV格式的导出功能。两种格式为每个元素包含相关的CVE id。因为他们是基于文本的格式,他们本质上是可搜索的。

37)兼容性声明< CR_2.7 >

有一个授权个人以下兼容性声明写姓名和日期吗(必需):

”作为我的组织的授权代表我同意我们将遵守所有的强制CVE兼容性要求以及所有额外的强制性CVE兼容性要求适合我们的特定类型的能力。”

名称:蒂莫西·d·Keanini

标题:首席技术官

38)语句的准确性< CR_3.4 >

有一个授权个人以下精度语句写姓名和日期吗(推荐):

”作为我的组织的授权代表和我所知,没有错误在我们能力的存储库之间的映射和CVE条目识别能力。”

名称:蒂莫西·d·Keanini

标题:首席技术官

假阳性和假阴性则39)声明< CR_A.2.8和/或CR_A.3.5 >

仅供工具——有一个授权的个人签名和日期如下声明你的工具安全元素的识别效率(必需):

”作为我的组织的授权代表和我所知,通常情况下,当我们的能力报告一个特定的安全元素,通常是正确的,通常情况下,当一个事件发生时,有关一个特定的安全元素能力通常报告。”

名称:蒂莫西·d·Keanini

标题:首席技术官