跳至主内容

严重性评分

计算事件严重性时,我们会综合考虑以下因素:

  • 触发事件的检测项关键程度(每个可疑/恶意行为均有独立评级)。

  • GravityZone 防护引擎在触发节点标记的警报数量。

  • 识别触发警报的防护引擎类型。

  • 触发节点与事件根源的距离(触发事件路径上涉及的中间环节数量)。

  • EDR 关联技术识别的MITRE ATT&CK攻击技术。

  • 是否存在暴力破解攻击。

  • 企业风险评分 风险管理 模块计算得出。

EDR 在满足以下所有条件时,会将事件标记为最高严重性评分(100):

  • 该事件包含勒索软件警报。

  • 触发节点的 GravityZone 防护引擎已标记超过5个警报。

  • 识别触发警报的防护引擎为: 反恶意软件 , 高级威胁控制 , HyperDetect , 高级反漏洞利用 无文件攻击防护 .

  • 该事件的 关键路径 包含超过10个节点。

  • EDR 关联技术在某一节点上识别的MITRE ATT&CK技术包括: 数据渗出 , 横向移动 , 驻留 , 权限提升 , 影响 ,或 凭据访问 .

  • 触发事件的主机是一台服务器。

  • 某域节点的远程IP遭受了暴力破解攻击。

  • 恶意攻击的拦截已失败。

  • 在计算严重性分数时,该 企业风险评分 高于70分。

若所有检测到的恶意活动均被成功拦截,事件严重性分数将下降30%。

当触发事件的主机为服务器时:

  • 若当前严重性分数已达15分,则增加10分。

  • 若当前严重性分数低于15分,则提升至15分。

本节内容 :