风险评分
本文内容仅适用于 安全数据湖 安全 功能特性。 安全数据湖 安全属于 安全数据湖 集中式日志管理平台,需单独授权许可。请联系 安全数据湖 销售 团队获取产品详情。
安全数据湖 根据事件对系统安全的潜在威胁程度为其分配风险值。通过量化并综合事件定义及相关资产的多维数据点,风险值可帮助您优先处理安全事件。
本文阐述 安全数据湖 :
此外, 安全数据湖 在判定某事件属于已知威胁活动时可提升其风险值。启用该功能后,系统会为威胁活动(即检测链)中的每个识别事件提高评分。详见 安全数据湖 。参见 通过检测链放大风险值 获取更多信息。
事件风险值
事件风险值是对事件环境风险等级的数字化评估,助您优先处理高风险事件(如开展深度调查或启动 安全调查 .
理解风险值计算逻辑及相关用户设置至关重要。 安全数据湖 的事件风险评分基于日志消息严重性、事件优先级及资产优先级等多重因素,但并非所有事件都包含全部要素。
事件风险值计算
当创建安全事件时, 安全数据湖 使用三个主要要素来计算该事件的风险评分:
确保有效的事件风险评分
请确保为资产分配的优先级值能准确反映其风险等级。用户设置的数值是风险评分计算的基础。事件优先级和资产优先级等因素会直接影响风险评分计算。低优先级的事件定义会产生较低的风险评分。例如,若为"非工作时间多次登录失败"创建事件定义时分配低优先级可能是错误的。实际上,此类事件需要引起警惕,因此优先级应设置为 高 。为事件定义分配错误的优先级可能导致事件被忽视,风险无法得到妥善处理。
此外,请确保日志与相关资产关联。除非触发事件的日志关联了资产,否则不会计算事件风险评分。您可以通过启用Illuminate中的
资产
包,或在自定义处理管道中使用
set_associated_assets
[问题链接]管道功能来关联日志与资产。
-
安全事件定义优先级 :通过事件定义向导设置或编辑( 安全事件 > 定义 ).
-
Sigma规则事件优先级 :作为Sigma规则定义代码的一部分设置或编辑( Sigma规则 > 规则 ).
-
资产优先级 :在 资产 页面为每种资产类型设置或编辑。
-
日志-资产关联 :通过Illuminate资产包启用或使用set_associated_assets管道功能实现
注意
持续观察风险评分的变化,包括由这些事件引发的任何研究或调查结果。若结果与预期不符,应考虑调整相关优先级设置。
查看事件风险评分
风险评分显示在 安全事件 页面的 安全界面 中。在事件列表视图里,每个事件都附有风险评分。您还可按风险评分列排序列表,使高风险事件置顶显示。
注意
当选择事件查看详情时,该事件的风险评分也会显示在详情面板中。
资产风险评分
触发事件被归类为"开放"状态。当检测到关联资产的开放事件时,系统会计算并分配资产风险评分。该评分独立于事件风险评分计算,因此两者可能不同。
资产风险评分计算基于:
-
最高开放事件风险评分。
-
从 漏洞扫描器 导入并关联至机器资产的漏洞。
资产风险评分聚焦资产本身而非单个安全事件,旨在提供特定资产的安全信息,避免您耗费时间排查大量事件来定位风险资产。通过高风险评分精确定位需关注的资产,可更高效启动调查。详见 资产风险评分计算 了解安全事件和漏洞如何影响资产风险评分计算。
资产可以是用户或机器。机器资产可附加漏洞扫描数据,用户资产则不可。计算资产风险评分时,机器资产的漏洞会被纳入考量。
查看资产风险评分
可通过以下位置查看资产风险评分:
-
安全数据湖 安全界面中的 资产 标签页。
-
在 资产 页面点击任意资产时弹出的资产抽屉。
资产风险评分根据严重程度以颜色编码区分。
资产风险评分计算
资产风险评分基于最高未解决事件风险评分及已报告的漏洞计算得出。由于事件风险评分部分取决于事件优先级,用户输入具有重要影响。资产风险评分反映了用户在设置事件优先级时确定的风险程度。详情请参阅 确保有效的事件风险评分 。
若资产关联多个事件定义生成的事件,其风险评分将放大以反映该情况。 计算资产风险评分时,将采用事件风险评分最高的事件作为基础计算依据。
资产风险评分基于多种因素计算,包括
alert_severity
(取自源日志数据的值)、资产优先级及资产漏洞。评分被标准化为0-100范围,便于风险评分的解读与比较。
资产风险评分可直观反映资产当前风险水平。该评分在检测到事件时计算,并在事件关闭时重新计算。若资产无关联的未解决事件,其风险评分将为零。
注意
若资产关联安全事件,则资产风险评分将在事件触发时重新计算,并在事件关闭时再次计算。若资产出现在漏洞扫描中但无关联安全事件,则不会重新计算其风险评分。
确保有效的资产风险评分
资产风险评分基于漏洞和事件风险评分(受用户设置的事件优先级影响)计算。
若资产存在多个未解决安全事件,计算资产风险评分时将采用最高事件风险评分。因此需谨慎评估事件风险评分。
资产风险评分应用场景
以下场景展示不同因素如何影响资产风险评分计算。我们将逐类分析示例:
-
资产优先级
-
事件风险评分
-
漏洞
场景1
Trudy是某IT公司的二级安全运营中心分析师。一级分析师刚完成对两个不同资产登录失败尝试的初步分类。Trudy调查相关资产:一台公司笔记本电脑和公司数据库。由于数据库存储着全体员工个人身份信息(PII),其资产风险评分较高;笔记本则具有较低评分。Trudy决定优先调查公司数据库。
场景2
Trudy注意到两个事件风险评分不同:第一个是"一分钟内两次系统登录失败",第二个是"一分钟内二十次系统登录失败"。她推断前者可能是用户输错凭证所致,检查事件定义发现二者优先级分别为低和高(但优先级并非事后指定)。每种情况下,事件风险评分都会反映在资产风险评分中。
场景3
Trudy收到多台公司笔记本可能遭攻击的警报。其中一台笔记本资产风险评分较高,她发现该设备存在漏洞且近期未更新,遂重点关注此存在漏洞的笔记本。
理解不同评分
某些情况下,事件风险评分与资产风险评分可能相同。当二者不一致时,可能涉及以下因素:
-
多个关联事件(例如资产遭受多种攻击策略)
-
漏洞(例如未打补丁或更新的机器,或其他问题)
例如,一台多次成为攻击目标且存在漏洞的笔记本电脑,其资产风险评分将高于事件风险评分。
利用检测链放大风险评分
本文仅适用于 安全数据湖 安全 功能特性。 安全数据湖 隶属于 安全数据湖 集中式日志管理平台,需单独授权。请联系 安全数据湖 销售 团队获取产品详情。
安全数据湖 在检测到已知攻击或威胁活动相关事件时,可放大风险评分。这些活动通过称为检测链的关联事件进行追踪。
需注意,单个事件本身可能并不显著——尤其是初始风险评分较低时。但当 安全数据湖 检测到属于检测链的事件时,将提升风险评分。随着链中每个新增事件被检测到,评分持续放大,表明其威胁潜力升级并需优先处置。
本文阐述检测链在 安全数据湖 中的运作机制、环境启用方法及Web界面中的威胁追踪方式。
追踪检测链
安全数据湖 通过前提条件Illuminate内容包提供的Sigma规则追踪检测链。启用内容包后,可访问其包含的所有Sigma规则。每条Sigma规则对应检测链中的特定事件节点。
但需注意,检测链代表由多个事件构成的攻击。要完整追踪环境中的检测链,需启用链中所有相关Sigma规则。随着链中安全事件被触发,其风险评分将递增。您可为每个安全事件设置通知,以便及时感知活跃威胁。
启用检测链
要实现检测链的风险评分放大功能,需先确保启用Illuminate内容包,然后审核并启用目标检测链的Sigma规则 安全数据湖 进行检测。
启用Illuminate内容包步骤:
-
导航至 企业版 > Illuminate (通用布局中)。
-
找到Illuminate Windows检测链-Sigma规则内容包。可通过搜索 Windows检测链 筛选列表定位该内容包。
-
勾选内容包复选框,点击 安装包 .
-
在弹出的对话框中点击 确认 。
安全数据湖 将自动安装并启用内容包。安装完成后,系统将返回Illuminate内容中心视图。
启用Sigma规则步骤:
-
导航至 安全 > Sigma规则 (通用布局中),或从安全布局顶部菜单选择 Sigma规则 。
-
搜索 检测链 以筛选出Illuminate Windows检测链-Sigma规则内容包提供的条目。这些Sigma规则标题均包含 检测链 字样。
-
审阅列表并启用需在环境中检测的规则。查看内容包中的单个Sigma规则时,可 应用搜索过滤器 及编辑通知,其余字段不可编辑。
启用Sigma规则时,系统默认会自动创建并启用相应的安全事件。详见 Sigma规则 获取更多信息。
查看活跃检测链
当检测链中任一Sigma规则被触发时,该检测链即被视为活跃状态。若一周内检测链中的其他规则相继被触发,风险评分将随之提升。
检测链处于活跃状态时,您会在 安全数据湖 界面看到以下提示:
-
相关事件的风险评分上升。若检测链中多个事件被触发,风险评分将超过75并在 警报 列表中显示为红色。您可按风险评分排序该表格,优先查看高风险警报。
-
在 警报 列表中,
检测链标签会出现在与检测链相关事件的风险评分旁。 -
在警报详情页顶部会显示活跃检测链。点击检测链名称可查看链中事件列表,已触发规则会高亮显示,未检测到的规则则呈灰色。
注意
请通过此视图确认所有相关Sigma规则均已启用。若检测链中有事件被触发,请确保启用该链中列出的所有其他规则,以获得最佳覆盖范围和准确风险评分。