跳至主内容

风险评分

本文内容仅适用于 安全数据湖 安全 功能特性。 安全数据湖 安全组件隶属于 安全数据湖 集中式日志管理平台且需单独授权。请联系 安全数据湖 销售 团队获取产品详情。 Graylog安全平台

安全数据湖 安全系统会根据事件对系统安全构成的潜在威胁为其分配风险评分。通过量化和整合事件定义及相关资产中的各类数据点,风险评分可帮助您优先处理安全事件。

本文介绍 安全数据湖 :

此外,当 安全数据湖 判定某事件属于已知威胁活动时,可提升该事件的风险评分。启用此功能后,系统会为威胁活动(称为检测链)中的每个事件提升评分,只要该活动被 安全数据湖 识别。详见 利用检测链放大风险评分 获取更多信息。

事件风险评分

事件风险评分是量化评估事件对所处环境风险等级的数值指标。通过该评分,您可优先处理高风险事件,例如开展深度调查或启动 安全调查 .

理解风险评分的计算逻辑及影响评分的关键用户设置至关重要。 安全数据湖 的事件风险评分基于日志消息严重性、事件优先级和资产优先级等多重因素。并非所有事件都包含全部要素。

事件风险评分计算

当创建安全事件时, 安全数据湖 采用三个核心要素计算事件风险评分

  • 日志消息严重性 该数值源自 GIM架构中的 alert_severity_level 字段。日志消息中的数值越高,计算时采用的数值就越大。若日志消息未包含 alert_severity_level 值,则默认采用低严重性值。当事件由多条日志消息聚合触发时,计算将采用所有消息的平均严重性值。

  • 事件优先级 :事件可由事件定义、Sigma规则或异常检测器创建。 Security Data Lake 会针对不同类型的事件采用差异化风险分数计算方式:

    • 事件定义 :当您 创建事件定义 时需设置优先级值。风险评分算法会为更高优先级分配更大数值。

    • Sigma规则 :与事件定义类似,您可在Sigma规则定义中设置优先级。若未指定,Sigma规则默认优先级为中等。

    • 异常检测器 :风险分数计算采用触发异常事件时生成的 anomaly_score 值。该数值基于 anomaly_gradeanomaly_confidence 因子,并归一化为0-100范围内的值。详见 异常检测 章节获取更多信息。

  • 资产优先级 :若事件关联资产,风险评分算法将纳入 资产优先级 值。

确保有效的风险事件评分

请确保为资产分配的优先级值能准确反映其风险等级。用户设置的数值是风险分数计算的基础要素,事件优先级和资产优先级等因素会直接影响风险分数计算。低优先级事件定义将产生较低风险分数。例如若为"非工作时间多次登录失败"创建事件定义时分配低优先级可能是错误的——此类事件实际需要高度警惕,因此优先级应设为 为事件定义分配错误的优先级可能导致事件被忽视,风险无法得到妥善处理。

此外,请确保日志与相关资产关联。除非触发事件的日志关联了资产,否则不会计算事件风险评分。您可以通过启用 资产 功能包或使用 set_associated_assets [问题链接]管道函数在自定义处理管道中实现日志与资产关联。

  1. 安全事件定义优先级 :通过事件定义向导设置或编辑( 安全事件 > 定义 ).

  2. Sigma规则事件优先级 :作为Sigma规则定义代码的一部分设置或编辑( Sigma规则 > 规则 ).

  3. 资产优先级 :在各类资产的 资产 页面设置或编辑。

  4. 日志-资产关联 :通过启用Illuminate资产功能包或使用set_associated_assets管道函数实现

    注意

    请持续关注风险评分变化,包括由这些事件引发的调查研究成果。若结果与预期不符,应考虑调整相关优先级设置。

查看事件风险评分

风险评分显示在 安全事件 页面的 安全界面 。在事件列表视图中,每个事件都附有风险评分。您还可以通过风险评分列对该列表进行排序,使高风险事件显示在顶部。

SDL_security_events_1319464_en_1.png

注意

当您选择某个事件以查看更多信息时,该事件的风险评分也会显示在详细信息窗格中。

资产风险评分

触发的事件被归类为“开放”状态。当检测到具有关联资产的开放事件时,系统会计算并分配资产风险评分给这些资产。资产风险评分与事件风险评分分开计算,因此两者可能不同。

资产风险评分的计算基于:

  • 最高的开放事件风险评分。

  • 漏洞扫描器 导入并附加到机器资产的任何漏洞。

资产风险评分侧重于资产本身,而非专门针对单个安全事件。其目的是为您提供有关特定资产的安全信息,使您无需花费时间搜索大量安全事件来查找存在风险的资产。如果可以通过高风险评分精确定位需要关注的资产,您就能更高效地展开调查。 资产风险评分计算 以了解安全事件和漏洞如何影响资产风险评分的计算。

资产可以是用户或机器。机器资产可以附加漏洞扫描数据,但用户资产不行。在计算资产风险评分时,机器资产的漏洞会被纳入考量。

查看资产风险评分

资产风险评分可在以下位置查看:

  • 安全数据湖 安全界面的 资产 选项卡下。

  • 点击 资产 页面上的任意资产时出现的资产抽屉。

资产风险评分根据严重程度以颜色编码显示。

资产风险评分计算

资产风险评分基于最高的开放事件风险评分和已报告的漏洞进行计算。由于事件风险评分部分基于事件优先级,用户输入具有重要影响。资产风险评分反映了用户在设置事件优先级时确定的风险程度。 确保有效的事件风险评分 以获取更多信息。

若资产关联了多个事件定义生成的事件,其风险评分将被放大以反映该情况。 计算资产风险评分时,系统会选取风险评分最高的事件作为基础计算依据。

资产风险评分基于多项因素计算得出,包括 alert_severity (来自源日志数据的数值)、资产优先级及资产漏洞。评分被标准化为0-100范围,便于风险评分的解读与比较。

资产风险评分可直观反映资产当前风险水平。该评分在检测到事件时计算,并在事件关闭时重新计算。若资产无关联的未关闭事件,其风险评分将为零。

注意

若资产关联安全事件,则资产风险评分将在事件触发时重新计算,并在事件关闭时再次计算。若资产出现在漏洞扫描中但无关联安全事件,则不会重新计算其风险评分。

确保有效的资产风险评分

资产风险评分基于漏洞和事件风险评分(受用户设置的事件优先级影响)计算得出。

若资产存在多个未关闭安全事件,计算资产风险评分时将采用最高事件风险评分。因此需谨慎评估事件风险评分。

资产风险评分应用场景

以下用例展示下列因素如何影响资产风险评分的计算。我们将逐类分析场景:

  • 资产优先级

  • 事件风险评分

  • 漏洞

场景1

Trudy是某IT公司二级安全运营中心分析师。一级分析师刚完成对两台不同资产登录失败事件的分类。Trudy调查相关资产:一台公司笔电和公司数据库。由于数据库存有全体员工个人身份信息(PII),其资产风险评分较高;而笔电风险评分较低。Trudy决定优先调查公司数据库。

场景2

Trudy注意到两个事件风险评分不同:第一个是"一分钟内两次系统登录失败",第二个是"一分钟内二十次系统登录失败"。她推断前者可能是用户输错凭证所致,检查事件定义发现二者优先级分别为低和高(但优先级并非事后指定)。两种情况下,事件风险评分均会体现在资产风险评分中。

场景3

Trudy收到多台公司笔电可能遭攻击的警报。其中一台笔电因存在漏洞且长期未更新,资产风险评分更高。她将重点关注这台存在漏洞的笔电。

理解不同评分

某些情况下,事件风险评分与资产风险评分可能相同。当二者不一致时,往往是这些因素作用:

  • 多重关联事件(如资产遭遇多种攻击策略)

  • 漏洞(如未打补丁/更新的设备或其他问题)

例如:一台多次遭攻击且存在漏洞的笔电,其资产风险评分会高于单个事件风险评分。

通过检测链放大风险评分

下文专述 安全数据湖 安全 功能或特性。 安全数据湖 安全是 安全数据湖 集中式日志管理平台的一部分,需要单独许可。请联系 安全数据湖 销售 团队获取该产品的更多信息。 Graylog安全

安全数据湖 在检测到已知攻击或威胁活动相关事件时,可放大风险评分。这些活动通过称为检测链的关联事件进行追踪。

需注意,单个事件本身可能看似无关紧要,尤其是当事件初始风险评分较低时。但当 安全数据湖 检测到属于检测链的事件时,会提升风险评分。随着链中每个新增事件被检测到,评分将持续放大,提升其关联威胁可能性,并表明该事件需优先处置。

本文阐述检测链在 安全数据湖 中的运作机制、如何在环境中启用此功能,以及如何通过Web界面追踪这些威胁。

追踪检测链

安全数据湖 通过前提条件Illuminate内容包提供的Sigma规则追踪检测链。启用该内容包后,您可访问其中所有Sigma规则。每条Sigma规则针对特定事件进行检测,每个事件都是检测链中的一个环节。

但需注意,检测链代表由多个事件构成的攻击行为。要完整追踪环境中发生的检测链,必须为该链启用所有相关Sigma规则。当链中其他安全事件被触发时,它们会获得更高风险评分。您可为每个安全事件设置通知,以便在潜在威胁活跃时及时获知。

启用检测链

要启用检测链的风险评分放大功能,需首先确保Illuminate内容包已启用,然后审查并启用您希望 安全数据湖 检测的检测链对应Sigma规则。

启用Illuminate内容包步骤:

  1. 在通用布局中 转至企业版 > Illuminate

  2. 找到Illuminate Windows检测链-Sigma规则内容包。您可搜索 Windows检测链 来筛选列表以定位该内容包。

  3. 勾选内容包复选框,然后点击 安装包 .

  4. 在弹出对话框中点击 确认

安全数据湖 将安装并启用该内容包。安装完成后,系统会返回Illuminate内容中心视图。

启用Sigma规则步骤:

  1. 导航至 安全 > Sigma规则 (常规布局),或在安全布局的顶部菜单中选择 Sigma规则

  2. 搜索 检测链 以筛选出Illuminate Windows检测链-Sigma规则内容包提供的规则。这些Sigma规则标题均包含 检测链 字样。

  3. 查阅列表并启用您需要在环境中检测的规则。查看内容包中的单个Sigma规则时,您可以 应用搜索筛选器 以及编辑通知,其余字段不可编辑。

启用Sigma规则时,系统默认会自动创建并启用对应的安全事件。详见 Sigma规则 获取更多信息。

查看活跃检测链

当检测链中任意Sigma规则被触发时,该检测链即视为活跃状态。若一周内该检测链的其他规则被相继触发,风险评分将相应提升。

当检测链处于活跃状态时,您会在 安全数据湖 界面中看到以下迹象:

  • 相关事件的风险评分会上升。如果检测链中的多个事件被触发,风险评分应升至75以上,并在 警报 列表中以红色显示。请注意,您可以按风险评分对该表进行排序,优先显示高风险警报。

  • 警报 列表中, 检测链 标签会出现在与检测链相关事件的风险评分旁。

  • 在警报详情页面,活跃的检测链会显示在顶部。点击检测链名称可查看该链的事件列表。已触发的规则会高亮显示,而未检测到的规则则显示为灰色。

    DetectionChainFound.png

    注意

    请利用此视图确保所有相关Sigma规则已启用。若检测链中存在已触发事件,请确保启用该链中列出的所有其他规则,以获得最佳覆盖范围和准确的风险评分。

本节内容 :