Nessus出力データのCVSSとリスクレベルの関係
Nessus出力ファイルでは、リスクレベル(例:クリティカル、高、中、低、なし)はCVSSスコアに依存しますか?リスクレベルとCVSSにはどのような関係がありますか?
ありがとう
一般に、Nessusの重大度の評価は、CVSSスコアの概要 ここ に記載されている括弧に一致します->重大度のマッピング
NVDの脆弱性の深刻度の評価NVDは、数値のCVSSスコアに加えて、「低」、「中」、「高」の深刻度ランキングを提供しますが、これらの定性的ランキングは、数値のCVSS基本スコアから単純にマッピングされます。
- 脆弱性は、CVSSベーススコアが0.0〜3.9の場合、重大度「低」と表示されます。
- 脆弱性のベースCVSSスコアが4.0〜6.9の場合、脆弱性は「中」の重大度と表示されます。
- 脆弱性は、CVSSベーススコアが7.0〜10.0の場合、重大度「高」と表示されます。
しかし、その上にNessusは「クリティカル」評価を持っています このブログ投稿 によると、CVSS 10の脆弱性に使用されています