Definieren Sie die neuen Regeln des Risikobewertungsrechners

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Verwenden Sie den neuen Risikobewertungsrechner, um die Risikopunktzahl von Security Incidents basierend auf den anwenderdefinierten Kriterien zu definieren und zu berechnen, die eine transparente Intelligenzbewertung von Security Incidents ermöglichen. Die Risikopunktzahl wird für die Security Incident-Datensätze automatisch berechnet.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin.

    Aktivieren Sie den neuen Risikobewertungsrechner, indem Sie die Systemeigenschaft sn_si_aw.activate_new_risk_score_calculator auf wahr setzen.

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie eine Risikopunktzahl für die Security Incident-Datensätze, die basierend auf den anwenderdefinierten Parametern generiert werden. Das Basissystem wird mit einer Risikobewertungsregel bereitgestellt, die entsprechend angepasst und aktiviert werden kann.
    Hinweis:
    • Standardmäßig ist die neue Regel des Risikobewertungsrechners inaktiv. Sie müssen die Regel aktivieren, um die Risikopunktzahl der Security Incidents anzuzeigen.
    • Informationen zur Berechnung der Risikopunktzahl für zusätzliche zugehörige Tabellen, die nicht im Basissystem verfügbar sind, finden Sie unter Risikobewertungsrechner für zusätzliche zugehörige Tabellen.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response > Administrationan.
    2. Navigieren zu Regel-Engine > Regel des Risikobewertungsrechnersan.
      Die Seite Regel des Risikobewertungsrechners wird angezeigt.
      Hinweis:
      • Als Teil des Basissystems erhalten Sie eine vordefinierte Vorlage für Risikobewertungsregeln zum Anzeigen, Bearbeiten oder Ändern der Risikopunktzahl. Sie können die vordefinierte Regelvorlage für die Risikopunktzahl jedoch nicht erstellen oder löschen.
      • Die von Ihnen vorgenommenen Änderungen gelten für alle neuen Security Incidents oder Updates für die vorhandenen Security Incidents. Um historische Punktzahlen neu zu formulieren, verwenden Sie die Aktion Punktzahl neu berechnen.
    3. Wählen Sie die Regel Risikobewertungsrechner aus.
    4. Füllen Sie die Felder im Formular aus.
      Feld Beschreibung
      Name Name des Risikopunktzahlwerts. Beispiel: Risikobewertungsrechner.
      Gesamtgewichtung (gilt für den Kriteriengenerator) Gewichtung dieses Feldes innerhalb der Risikoregel. Dieses Feld kann nicht bearbeitet werden und zeigt die vom System berechnete Gesamtgewichtung basierend auf der Gewichtung an, die den aktivierten Kriterien entspricht. Die Gesamtgewichtung muss immer 100 % betragen.
      Beschreibung Beschreibung des Risikopunktzahl-Datensatzes. Beispielsweise berechnet die Risikopunktzahl basierend auf der gewichteten Summe vordefinierter Kriterien.
      Bewertungskriterien Gibt die Bewertungskriterien für einen Security Incident an.

      Sie können die Risikobewertungskriterien mithilfe der folgenden Optionen definieren:

      • Kriteriengenerator:

        Verwenden Sie diese Option, um Kriterien hinzuzufügen, zu bearbeiten oder zu entfernen sowie Kriterien zu aktivieren und zu deaktivieren, die zur Berechnung der Risikopunktzahl beitragen, und um sicherzustellen, dass die aggregierte Gesamtgewichtung 100 % beträgt.

      • Skript verwenden (erweitert): Die Skripterstellungsfunktion ist eine erweiterte Funktion zum Erstellen eines anwenderdefinierten Skripts, das die Risikopunktzahl im Bereich von 0 bis 100 zurückgeben soll.
    5. Um die Bewertungskriterien mit dem Kriteriengeneratorzu definieren, gehen Sie wie folgt vor:
      Hinweis:
      Sie können die vorhandenen Kriterien bearbeiten oder ändern oder neue Kriterien hinzufügen.
      1. Um ein neues Kriterium hinzuzufügen, wählen Sie die Aktion +Neue Kriterien.
      2. Wählen Sie die Tabelle aus, für die Sie die Kriterien festlegen möchten.
        Hinweis:
        • Wenn es sich bei der ausgewählten Tabelle um einen Security Incident handelt, wird die Bedingung auf den Security Incident-Datensatz angewendet, für den die Risikopunktzahl berechnet wird. Wenn die ausgewählte Tabelle kein Security Incident ist, wird die Bedingung nur angewendet, wenn sich die Datensätze auf den Security Incident beziehen, für den die Risikopunktzahl berechnet wird.
        • Ein zusätzlicher Zusammenfassungstyp wird hinzugefügt, um die Punktzahlen basierend auf der Anzahl der Beziehungen zu definieren, die den Security Incidents zugeordnet sind.
      3. Wählen Sie die Typkriterien für die ausgewählte Tabelle aus.
        Der Typwert kann je nach gewählter Tabelle entweder Feld oder Aggregat sein.
      4. Wählen Sie die Feldkriterien für die ausgewählte Tabelle aus.
        Wenn Sie den Wert Typ als Feldausgewählt haben, zeigen die Feldkriterien die Feldwerte an, die sich auf die Tabelle beziehen. Wenn Sie den Wert Typ als Aggregatausgewählt haben, zeigen die Feldkriterien die Aggregatwerte an, die sich auf die Tabelle beziehen.
        Hinweis:
        Der Aggregattyp unterstützt nur Anzahlwerte.

        Wenn Sie beispielsweise als Tabellenkriterium Security Incidentauswählen, zeigt das Kriterium Typ nur die Option Feld an. Die Feldkriterien zeigen alle Feldwerte an, die sich auf die Tabelle beziehen. Dies können „Schweregrad“, „Aktiv“ usw. sein. Wenn Sie für das Tabellenkriterium „ Betroffene Anwender“ auswählen, zeigen die Typkriterien sowohl die Option „ Feld “ als auch „ Aggregat “ an. Wenn Sie als Typ Aggregat auswählen, zeigen die Feldkriteriendie Aggregatwerte an, die sich auf die Tabelle beziehen (Anzahl ).

      5. Geben Sie die Gewichtung der Kriterien zwischen 0 und 100 ein.
        Die Gesamtgewichtung aller Kriterien muss 100 % betragen.
      6. Geben Sie den Namen und eine Kurzbeschreibung der Kriterien ein.
      7. Aktivieren Sie das Kontrollkästchen Bewertungskriterien aktivieren, um die Bewertungskriterien zu aktivieren.
      8. Definieren Sie die Bedingungen, und legen Sie die Punktzahl für die Bedingungen fest.
      9. Sie können auch neue Bedingungen mit der Option Neue Bedingung hinzufügen und vorhandene Bedingungen mit dem Symbol Kriterien löschen löschen.
      10. Wählen Sie Hinzufügen, um die konfigurierten Kriterien hinzuzufügen.
        Abbildung : 1. Bewertungskriterien mit Kriteriengenerator
        Bewertungskriterien mit Kriteriengenerator
    6. Wählen Sie die Option Punktzahl neu berechnen aus, um die Risikopunktzahl neu zu berechnen.

      Zum Beispiel, wenn Änderungen an der Regel für Risikopunktzahlen vorgenommen wurden. In diesem Fall müssen Sie die Bewertungsregel erneut auf die Security Incidents anwenden, bei denen die Risikopunktzahl bereits in der Vergangenheit berechnet wurde. Verwenden Sie die Aktion Punktzahl neu berechnen, um den Neuberechnungsauftrag auszulösen.

    7. Wählen Sie Bestätigen aus.
      Hinweis:
      Sobald Sie diese Aktion ausgelöst haben, wird der Prozess im Hintergrund ausgeführt und dauert einige Minuten. Sie können bis zum Abschluss keine Änderungen vornehmen.
    8. Um die Bewertungskriterien mit der Option Skript verwenden (erweitert) zu definieren, gehen Sie wie folgt vor:
      1. Verwenden Sie dieses vordefinierte Skript, um ein anwenderdefiniertes Skript zu erstellen, das die Risikopunktzahl im Bereich von 0 bis 100 zurückgeben soll.
        Das Feld „Erweitertes Skript“ wird automatisch mit einer Funktion ausgefüllt, die die Parameter current annimmt. Diese Funktion sollte die Risikopunktzahl im Bereich von 0 bis 100 zurückgeben.
        Abbildung : 2. Bewertungskriterien mit Skript (erweitert) Option
        Beispielcode für die Option „Script Advanced“.

        Hier ist der aktuelle Parameter das GlideRecord-Objekt der Entität (Security Incident), für die die Risikopunktzahl berechnet wird. Bei Security Incidents entspricht sie dem GlideRecord für die Tabelle sn_si_incident.

    9. Um den Risikobewertungsrechner zu deaktivieren, wählen Sie Deaktivierenaus.
    10. Wählen Sie Speichern.