Ringkasan skor risiko

Skor risiko digunakan di seluruh Chronicle. Definisi dan fungsi skor ini bervariasi, bergantung pada fitur yang Anda gunakan.

Risk Analytics tersedia dengan lisensi Enterprise dan Enterprise Plus, atau sebagai add-on untuk lisensi mandiri Chronicle SIEM.

Entitas dalam Analisis Risiko

Bagian ini menentukan konsep entity, risiko, dan temuan seperti yang disajikan di dasbor Analisis Risiko.

  • Entitas: Representasi kontekstual dari aset atau pengguna di lingkungan Anda. Semua peristiwa yang terkait dengan entity memberikan konteks tentang seberapa berisiko entity tersebut. Untuk mengetahui informasi selengkapnya, lihat Objek logis: Peristiwa dan Entity.

  • Periode penghitungan risiko: Memungkinkan Anda mengubah jangka waktu untuk dasbor, sehingga Anda dapat melihat data melalui periode waktu yang berbeda. Misalnya, Anda dapat menemukan upaya login brute force dengan menggunakan periode waktu yang lebih singkat atau memeriksa aktivitas berbahaya jangka panjang dengan menyetel periode waktu yang lebih lama.

  • Dinormalkan: Skor yang dinormalkan dihitung di seluruh entity, diskalakan antara 0-1.000 menggunakan normalisasi min-maks.

  • Tren yang dinormalisasi: Perubahan skor risiko entity yang dinormalisasi sejak periode sebelumnya.

  • Dasar: Skor dasar dihitung dengan menambahkan skor risiko pada seluruh temuan (pemberitahuan dan deteksi) untuk entitas selama periode risiko dengan pembobotan yang diterapkan. Jika nilai pembobotan adalah 1, pembobotan tidak akan memiliki dampak. Untuk mengetahui informasi selengkapnya, lihat skor risiko entity.

  • Perubahan dasar: Perubahan skor risiko entity dasar sejak periode sebelumnya.

  • Pertama/terakhir terlihat di periode: Stempel waktu yang sesuai dengan saat entitas pertama kali atau terakhir terlihat dalam temuan (pemberitahuan atau deteksi) untuk jangka waktu yang ditentukan dalam periode risiko.

Temuan dalam Analisis Risiko

Istilah berikut digunakan di halaman profil entity (klik entity di tabel entity untuk membukanya di halaman profil entity).

  • Penemuan: Jumlah temuan (pemberitahuan dan deteksi) yang menyertakan entity ini selama jangka waktu dalam periode risiko.

  • Keparahan: Tingkat keparahan ditetapkan oleh sumber saat temuan dibuat.

  • Prioritas: Prioritas ditetapkan oleh sumber saat temuan dibuat.

  • Skor Risiko: Skor risiko ditetapkan oleh sumber saat temuan dibuat. Jika skor risiko tidak ditetapkan, skor risiko default untuk deteksi dan pemberitahuan akan digunakan.

Perhitungan skor risiko

Penghitungan skor risiko untuk setiap entity didasarkan pada skor risiko temuan dan dimodifikasi berdasarkan serangkaian parameter yang dapat Anda tentukan dan kumpulan parameter yang dikontrol oleh Chronicle. Parameter yang dapat Anda kontrol dapat diakses dengan membuka menu navigasi dan mengklik Setelan > Skor risiko entity:

  • Koefisien pemberitahuan tertutup: Jika analis keamanan menandai pemberitahuan sebagai ditutup, nilainya akan dikalikan dengan pengubah floating point ini. Rentangnya adalah 0-1. Nilai default adalah 1.

  • Skor risiko deteksi default: Menentukan skor risiko untuk deteksi di mesin aturan. Rentangnya adalah 0-1000. Nilai defaultnya adalah 15.

Parameter berikut ditentukan oleh Chronicle:

  • Modifikasi skor risiko dengan TTL: Skor risiko entity dasar dimodifikasi dengan faktor pengali untuk rentang waktu yang ditentukan.

  • Modifikasi skor risiko tanpa TTL: Skor risiko deteksi dimodifikasi dengan faktor pengali.

Berikut adalah formula yang digunakan untuk menghitung skor risiko dan skor risiko yang dinormalisasi:

  • Penghitungan skor risiko: (Skor risiko entity dasar) = (Skor risiko maksimum untuk temuan) + (Pembobotan * (Jumlah skor risiko yang tersisa untuk temuan))

  • Skor risiko yang dinormalisasi: Skor risiko entity dasar dinormalisasi di semua entity. Skor risiko entity dasar menggunakan normalisasi min-maks dan rentang dari 0-1.000.

Contoh: penghitungan skor risiko

Berikut ini penjelasan lengkap tentang cara menghitung skor deteksi risiko untuk suatu entitas:

  1. Input: Deteksi dikelompokkan berdasarkan indikator.
  2. (Opsional) Koefisien pemberitahuan tertutup: Jika skor risiko deteksi adalah untuk pemberitahuan tertutup, skornya dikalikan dengan koefisien pemberitahuan tertutup.
  3. (Opsional) Modifikasi Skor Risiko Default Jika tidak ditetapkan secara eksplisit dalam aturan, skor risiko deteksi default akan diterapkan. Skor risiko deteksi non-pemberitahuan atau pemberitahuan default dapat diubah di setelan skor risiko entitas.
  4. Penghitungan skor risiko: Faktor pembobotan dikalikan dengan jumlah semua deteksi (kecuali untuk skor risiko deteksi maksimum), lalu ditambahkan ke skor risiko deteksi maksimum. Nilai ini mewakili skor risiko entity mentah.
  5. Bobot perubahan: Skor risiko entitas mentah dikalikan dengan bobot modifikasi. Modifikasi ini adalah operasi satu kali, kecuali jika TTL ditetapkan. Nilai ini adalah skor risiko entitas dasar.
  6. Bobot daftar tontonan: Jika entitas adalah bagian dari daftar pantauan, bobot daftar pantauan akan ditambahkan ke skor risiko deteksi.
  7. Skor risiko yang dinormalisasi: Skor risiko entitas dasar dinormalisasi di seluruh entity menggunakan normalisasi min-maks.

Setelan skor risiko

Halaman Skor risiko entitas memungkinkan Anda menentukan cara skor risiko dihitung untuk entitas, pemberitahuan, dan deteksi. Anda dapat menerapkan pembobotan pada penghitungan skor risiko entity dan menetapkan skor risiko deteksi dan pemberitahuan default. Perubahan hanya berlaku untuk pemberitahuan dan deteksi baru, dan dapat memerlukan waktu hingga 30 menit untuk diterapkan.

  • Pembobotan skor risiko entitas: Pembobotan menentukan bagaimana skor risiko peringatan dan deteksi diperhitungkan dalam penghitungan skor risiko entitas. Pembobotan adalah nilai dari 0 hingga 1. Formula untuk skor risiko entitas dasar ditentukan sebagai berikut:

    Skor risiko entity dasar = (skor risiko temuan maksimum + pembobotan) * (jumlah dari skor risiko temuan lainnya)

  • Skor risiko default untuk Alerts: Menentukan skor risiko pemberitahuan default di halaman Settings. Defaultnya adalah 40. Anda dapat mengubah skor risiko peringatan individual dalam aturan itu sendiri. Ini menggantikan semua default yang dikonfigurasi di halaman Setelan.

  • Skor risiko default untuk Deteksi: Tentukan skor risiko deteksi default di halaman Setelan. Defaultnya adalah 15. Anda dapat mengubah skor risiko deteksi individu dalam aturan itu sendiri. Atribut ini menggantikan setelan default apa pun yang dikonfigurasi di halaman Setelan.