リスクスコアの概要

リスクスコアは Chronicle 全体で使用されます。これらのスコアの定義と機能は、使用している機能によって異なります。

Risk Analytics は、Enterprise と Enterprise Plus のライセンスで、または Chronicle SIEM スタンドアロン ライセンスのアドオンとして利用できます。

リスク分析のエンティティ

このセクションでは、リスク分析ダッシュボードに表示されるエンティティ、リスク、検出結果のコンセプトを定義します。

  • エンティティ: 環境内のアセットまたはユーザーのコンテキスト表現。エンティティに関連するすべてのイベントは、そのエンティティのリスクに関するコンテキストを提供します。詳細については、論理オブジェクト: イベントとエンティティをご覧ください。

  • リスク計算ウィンドウ: ダッシュボードの期間を変更して、さまざまな期間のデータを確認できます。たとえば、より短い時間枠を使用してブルート フォース ログイン試行を発見したり、より長い時間枠を設定して長期的な悪意のあるアクティビティを調査したりできます。

  • 正規化: 正規化されたスコアはエンティティ間で計算され、最小 / 最大正規化を使用して 0~1,000 の間でスケーリングされます。

  • 正規化されたトレンド: 前のウィンドウからの正規化されたエンティティ リスクスコアの変化。

  • 基本: 基本スコアは、重み付けが適用されたリスク時間枠内でエンティティの検出結果(アラートと検出)全体のリスクスコアを加算して計算されます。重み付け値が 1 の場合、重み付けには影響しません。詳細については、エンティティ リスクスコアをご覧ください。

  • 基本の変更: 前のウィンドウからの基本エンティティ リスクスコアの変化。

  • ウィンドウ内での最初と最後の検出: リスク ウィンドウで指定された期間に、エンティティが検出結果(アラートまたは検出)で最初または最後に確認された時刻に対応するタイムスタンプ。

リスク分析の検出結果

次の用語はエンティティのプロファイル ページで使用されます(エンティティ テーブルでエンティティをクリックすると、エンティティのプロファイル ページに表示されます)。

  • 検出結果: リスク ウィンドウ内の期間にこのエンティティを含む検出結果(アラートと検出)の数。

  • 重大度: 重大度は、検出結果の作成時にソースによって設定されます。

  • 優先度: 検出結果が作成される際に、ソースによって優先度が設定されます。

  • リスクスコア: リスクスコアは、検出結果の作成時にソースによって設定されます。リスクスコアが設定されていない場合は、検出とアラートのデフォルトのリスクスコアが使用されます。

リスクスコアの計算

各エンティティのリスクスコアの計算は、検出結果のリスクスコアに基づいており、指定できるパラメータのセットと Chronicle で制御されるパラメータのセットに基づいて変更されます。制御可能なパラメータにアクセスするには、ナビゲーション バーに移動して、[設定] > [エンティティ リスクスコア] をクリックします。

  • [終了] アラート係数: セキュリティ アナリストがアラートをクローズとしてマークすると、この浮動小数点修飾子で乗算されます。範囲は 0~1 です。デフォルト値は 1 です。

  • デフォルトの検出リスクスコア: ルールエンジンでの検出のリスクスコアを指定します。範囲は 0~1,000 です。デフォルト値は 15 です。

Chronicle では、次のパラメータを指定します。

  • TTL によるリスクスコアの変更: 基本エンティティ リスクスコアは、期間の乗算係数によって変更されます。

  • TTL なしのリスクスコアの変更: 検出リスクスコアは乗算係数で変更されます。

リスクスコアと正規化されたリスクスコアの計算に使用される式は次のとおりです。

  • リスクスコアの計算: (基本エンティティ リスクスコア)=(検出結果の最大リスクスコア)+(重み *(検出結果の残りのリスクスコアの合計))

  • 正規化されたリスクスコア: 基本エンティティ リスクスコアは、すべてのエンティティ間で正規化されます。基本エンティティ リスクスコアは、最小~最大の正規化と 0~1,000 の範囲を使用します。

例: リスクスコアの計算

エンティティのリスク検出スコアの計算方法は次のとおりです。

  1. 入力: 検出はインジケーター別にグループ化されます。
  2. (省略可)クローズ アラート係数: 検出リスクスコアがクローズ アラートに対する場合、スコアにクローズ アラート係数を乗算します。
  3. (省略可)デフォルトのリスクスコアの変更 ルールで明示的に設定されていない場合は、デフォルトの検出リスクスコアが適用されます。デフォルトのアラート検出リスクスコアまたはアラート非アラート検出リスクスコアは、エンティティ リスクスコアの設定で変更できます。
  4. リスクスコアの計算: 重み付け係数を、すべての検出(最大検出リスクスコアを除く)の合計に掛け、最大検出リスクスコアに加算します。 この値は、未加工のエンティティ リスクスコアを表します。
  5. 変更の重み付け: 未加工のエンティティ リスクスコアに変更の重み付けを掛けます。TTL が設定されていなければ、この変更は 1 回限りのオペレーションです。この値は、基本エンティティ リスクスコアです。
  6. ウォッチリストの重み: エンティティがウォッチリストの一部である場合、ウォッチリストの重みが検出リスクスコアに追加されます。
  7. 正規化されたリスクスコア: 基本エンティティ リスクスコアは、最小 / 最大正規化を使用してすべてのエンティティ間で正規化されます。

リスクスコアの設定

[エンティティのリスクスコア] ページでは、エンティティ、アラート、検出のリスクスコアの計算方法を定義できます。エンティティ リスクスコアの計算に重み付けを適用し、デフォルトのアラートと検出リスクスコアを設定できます。変更は新しいアラートと検出にのみ適用され、反映されるまでに最大 30 分かかることがあります。

  • エンティティ リスクスコアの重み付け: 重み付けでは、エンティティ リスクスコアの計算でアラートと検出のリスクスコアがどのように考慮されるかを定義します。重み付けは 0~1 の値です。基本エンティティ リスクスコアの式は次のように定義されます。

    基本エンティティ リスクスコア =(最大検出リスクスコア + 重み付け)×(残りの検出リスクスコアの合計)

  • アラートのデフォルトのリスクスコア: [設定] ページでデフォルトのアラートのリスクスコアを指定します。デフォルト値は 40 です。個々のアラートリスクスコアはルール自体で変更できます。これは、[設定] ページで構成したデフォルト値をオーバーライドします。

  • 検出のデフォルトのリスクスコア: [設定] ページでデフォルトの検出リスクスコアを指定します。デフォルト値は 15 です。個々の検出リスクスコアはルール自体で変更できます。これは、[設定] ページで構成したデフォルト値をオーバーライドします。