Omówienie funkcji narzędzia do modelowania zagrożeń
Narzędzie do modelowania zagrożeń może pomóc w potrzebach modelowania zagrożeń. Aby zapoznać się z podstawowym wprowadzeniem do narzędzia, zobacz Wprowadzenie do narzędzia do modelowania zagrożeń.
Uwaga
Narzędzie Do modelowania zagrożeń jest często aktualizowane, dlatego często zapoznaj się z tym przewodnikiem, aby zobaczyć najnowsze funkcje i ulepszenia.
Aby otworzyć pustą stronę, wybierz pozycję Utwórz model.
Aby wyświetlić funkcje dostępne obecnie w narzędziu, użyj modelu zagrożeń utworzonego przez nasz zespół w przykładzie Wprowadzenie .
Nawigacja
Zanim omówimy wbudowane funkcje, przejrzyjmy główne składniki znalezione w narzędziu.
Elementy menu
Środowisko jest podobne do innych produktów firmy Microsoft. Przejrzyjmy elementy menu najwyższego poziomu.
| Etykieta | Szczegóły |
|---|---|
| Plik |
|
| Edytuj | Cofnij i wykonaj ponownie akcje, a także skopiuj, wklej i usuń. |
| Widok |
|
| Diagram | Dodawanie i usuwanie diagramów oraz przechodzenie przez karty diagramów. |
| Raporty | Tworzenie raportów HTML w celu udostępnienia innym osobom. |
| Pomoc | Znajdź przewodniki ułatwiające korzystanie z narzędzia. |
Symbole są skrótami dla menu najwyższego poziomu:
| Symbol | Szczegóły |
|---|---|
| Otwórz | Otwiera nowy plik. |
| Zapisz | Zapisuje bieżący plik. |
| Projekt | Otwiera widok Projekt, w którym można tworzyć modele. |
| Analiza | Pokazuje wygenerowane zagrożenia i ich właściwości. |
| Dodawanie diagramu | Dodaje nowy diagram (podobny do nowych kart w programie Excel). |
| Usuwanie diagramu | Usuwa bieżący diagram. |
| Kopiowanie/wycinanie/wklejanie | Kopiuje, wycina i wkleja elementy. |
| Cofnij/Wykonaj ponownie | Cofa i ponownie wykonuje akcje. |
| Powiększanie/pomniejszanie | Powiększa i z diagramu, aby uzyskać lepszy widok. |
| Opinia | Otwiera forum MSDN. |
Kanwa
Kanwa to miejsce, w którym przeciągasz i upuszczasz elementy. Przeciąganie i upuszczanie to najszybszy i najbardziej wydajny sposób tworzenia modeli. Możesz również kliknąć prawym przyciskiem myszy i wybrać elementy z menu, aby dodać ogólne wersje elementów, jak pokazano poniżej:
Usuwanie wzornika na kanwie
Wybierz wzornik
Wzorniki
Na podstawie wybranego szablonu można znaleźć wszystkie wzorniki dostępne do użycia. Jeśli nie możesz znaleźć odpowiednich elementów, użyj innego szablonu. Możesz też zmodyfikować szablon zgodnie z potrzebami. Ogólnie rzecz biorąc, można znaleźć kombinację kategorii, takich jak:
| Nazwa wzornika | Szczegóły |
|---|---|
| Proces | Aplikacje, wtyczki przeglądarki, wątki, maszyny wirtualne |
| Interakcja zewnętrzna | Dostawcy uwierzytelniania, przeglądarki, użytkownicy, aplikacje internetowe |
| Magazyn danych | Pamięć podręczna, magazyn, pliki konfiguracji, bazy danych, rejestr |
| Przepływ danych | Binary, ALPC, HTTP, HTTPS/TLS/SSL, IOCTL, IPsec, named pipe, RPC/DCOM, SMB, UDP |
| Linia zaufania/granica obramowania | Sieci firmowe, Internet, maszyna, piaskownica, tryb użytkownika/jądra |
Notatki/komunikaty
| Składnik | Szczegóły |
|---|---|
| Komunikaty | Wewnętrzna logika narzędzi, która ostrzega użytkowników za każdym razem, gdy wystąpi błąd, na przykład brak przepływów danych między elementami. |
| Uwagi | Notatki ręczne są dodawane do pliku przez zespoły inżynieryjne w całym procesie projektowania i przeglądu. |
Właściwości elementu
Właściwości elementu różnią się w zależności od wybranych elementów. Oprócz granic zaufania wszystkie inne elementy zawierają trzy wybory ogólne:
| Właściwość elementu | Szczegóły |
|---|---|
| Nazwa/nazwisko | Przydatne do nazewnictwa procesów, magazynów, interakcji i przepływów, dzięki czemu można je łatwo rozpoznać. |
| Poza zakresem | W przypadku wybrania elementu zostanie wyjęty z macierzy generowania zagrożeń (niezalecane). |
| Przyczyna braku zakresu | Pole uzasadnienia, aby poinformować użytkowników, dlaczego wybrano opcję poza zakresem. |
Właściwości są zmieniane w każdej kategorii elementów. Wybierz każdy element, aby sprawdzić dostępne opcje. Możesz też otworzyć szablon, aby dowiedzieć się więcej. Przyjrzyjmy się funkcjom.
Ekran powitalny
Po otwarciu aplikacji zostanie wyświetlony ekran powitalny .
Otwieranie modelu
Umieść kursor na pozycji Otwórz model , aby wyświetlić dwie opcje: Otwórz z tego komputera i Otwórz z usługi OneDrive. Pierwsza opcja otwiera ekran Otwieranie pliku. Druga opcja umożliwia przejście przez proces logowania w usłudze OneDrive. Po pomyślnym uwierzytelnieniu można wybrać foldery i pliki.
Opinie, sugestie i problemy
Po wybraniu pozycji Opinie, sugestie i problemy przejdź do forum MSDN dla narzędzi SDL. Możesz przeczytać, co mówią inne osoby o narzędziu, w tym obejścia i nowe pomysły.
Widok projektu
Po otwarciu lub utworzeniu nowego modelu zostanie otwarty widok Projekt .
Dodawanie elementów
Elementy siatki można dodawać na dwa sposoby:
- Przeciągnij i upuść: przeciągnij żądany element do siatki. Następnie użyj właściwości elementu, aby podać dodatkowe informacje.
- Kliknij prawym przyciskiem myszy: kliknij prawym przyciskiem myszy dowolne miejsce w siatce i wybierz elementy z menu rozwijanego. Na ekranie zostanie wyświetlona ogólna reprezentacja wybranego elementu.
Łączenie elementów
Elementy można połączyć na dwa sposoby:
- Przeciągnij i upuść: Przeciągnij żądany przepływ danych do siatki i połącz oba końce z odpowiednimi elementami.
- Kliknij pozycję + Shift: kliknij pierwszy element (wysyłanie danych), naciśnij i przytrzymaj Shift, a następnie wybierz drugi element (odbierające dane). Kliknij prawym przyciskiem myszy i wybierz pozycję Połącz. Jeśli używasz przepływu danych dwukierunkowych, kolejność nie jest tak ważna.
Właściwości
Aby wyświetlić właściwości, które można zmodyfikować na wzornikach, wybierz wzornik, a informacje są wypełniane odpowiednio. W poniższym przykładzie pokazano przed i po przeciągnięciu wzornika bazy danych na diagram:
Przed
Po
Wiadomości
Jeśli tworzysz model zagrożeń i zapomnisz połączyć przepływy danych z elementami, otrzymasz powiadomienie. Możesz zignorować komunikat lub postępować zgodnie z instrukcjami, aby rozwiązać ten problem.
Uwagi
Aby dodać notatki do diagramu, przejdź z karty Komunikaty do karty Notatki .
Widok analizy
Po utworzeniu diagramu wybierz symbol Analiza (lupa) na pasku narzędzi skrótów, aby przełączyć się do widoku Analiza .
Wybór wygenerowanego zagrożenia
Po wybraniu zagrożenia można użyć trzech odrębnych funkcji:
| Funkcja | Informacja |
|---|---|
| Wskaźnik odczytu | Zagrożenie jest oznaczone jako przeczytane, co pomaga śledzić przeglądane elementy.
|
| Fokus interakcji | Interakcja na diagramie należącym do zagrożenia jest wyróżniona.
|
| Właściwości zagrożenia | Dodatkowe informacje o zagrożeniu są wyświetlane w oknie Właściwości zagrożenia.
|
Zmiana priorytetu
Możesz zmienić poziom priorytetu każdego wygenerowanego zagrożenia. Różne kolory ułatwiają identyfikowanie zagrożeń o wysokim, średnim i niskim priorytcie.
Pola edytowalne właściwości zagrożeń
Jak pokazano na powyższym obrazie, możesz zmienić informacje wygenerowane przez narzędzie. Możesz również dodać informacje do niektórych pól, takich jak uzasadnienie. Te pola są generowane przez szablon. Jeśli potrzebujesz więcej informacji o każdym zagrożeniu, możesz wprowadzić modyfikacje.
Raporty
Po zakończeniu zmiany priorytetów i zaktualizowaniu stanu każdego wygenerowanego zagrożenia możesz zapisać plik i/lub wydrukować raport. Przejdź do pozycji Raport>Utwórz pełny raport. Nadaj raportowi nazwę i powinna zostać wyświetlona zawartość podobna do poniższej:
