严重性评分
计算事件严重性时我们会综合考量以下因素:
-
触发事件的检测项关键程度(每个可疑/恶意行为均有独立评级)
-
由 GravityZone 防护引擎在触发节点标记的警报数量
-
识别触发警报的防护引擎
-
触发节点与事件根源的距离(触发事件路径中涉及的中间环节数量)
-
通过 EDR 关联技术识别的MITRE ATT&CK攻击技术
-
是否存在暴力破解攻击
-
由 风险管理 模块计算的企业风险评分
EDR 当满足以下全部条件时,将给予事件最高严重性评分(100分):
-
事件包含勒索软件警报
-
触发节点包含超过5个被 GravityZone 防护引擎标记的警报。
-
识别触发警报的防护引擎为: 反恶意软件 , 高级威胁控制 , HyperDetect , 高级反漏洞利用 或 无文件攻击防护 .
-
该事件的 关键路径 包含超过10个节点。
-
由 EDR 关联技术在其中一个节点上识别的MITRE ATT&CK技术包括: 数据渗出 , 横向移动 , 持久化 , 权限提升 , 影响 或 凭证访问 .
-
触发事件的主机是一台服务器。
-
某域节点的远程IP遭到暴力破解攻击。
-
恶意攻击的拦截已失败。
-
计算严重性分数时,公司风险评分超过70。
若所有检测到的恶意活动均被成功拦截,事件严重性分数将下降30%。
当触发事件的主机为服务器时:
-
若当前严重性分数已达15分,则增加10分。
-
若当前严重性分数低于15分,则提升至15分。