위협 점수 계산기 정의

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • 사용자 정의 매개변수를 기반으로 생성되는 옵저버블 기록에 대한 위협 점수를 정의합니다. 기본 시스템은 그에 따라 사용자 지정하고 사용하도록 설정할 수 있는 하나의 위협 점수 규칙으로 프로비저닝됩니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    주:
    기본적으로 위협 점수 규칙은 비활성 상태입니다. 옵저버블 점수 매기기를 보려면 규칙을 활성화해야 합니다.

    프로시저

    1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 관리.
    2. 이동 위협 점수 산정 규칙.
      위협 점수 계산기 페이지가 표시됩니다.
      중요사항:
      • 애플리케이션의 기본 시스템 내에 사용자가 위협 점수를 보거나 편집하거나 수정할 수 있도록 프로비저닝된 하나의 점수 규칙이 있지만 사용자는 새 규칙을 만들거나 미리 정의된 위협 점수 규칙을 삭제할 수 없습니다.
      • 변경 내용은 해당 시점부터 새 옵저버블 또는 옵저버블에 대한 업데이트에 적용됩니다. 과거 점수를 다시 입력하려면 다시 계산 옵션을 사용해야 합니다.
    3. 양식에서 다음 필드에는 미리 정의된 값이 포함되어 있습니다.
      표 1. 위협 점수 계산기
      필드 설명
      이름 위협 점수 산정 값의 이름입니다. 위협 점수 계산기를 예로 들 수 있습니다.
      설명 위협 점수 기록에 대한 설명입니다. 예를 들어 미리 정의된 기준 점수의 가중 합계를 기반으로 위협 점수를 계산합니다.
      전체 가중치(기준 작성기에서 적용 가능) 이 필드는 편집할 수 없으며 활성화된 기준에 해당하는 가중치를 기준으로 시스템에서 계산한 전체 가중치를 표시합니다.
      점수 매기기 기준 옵저버블에 대한 점수 산정 기준을 나타냅니다.

      위협 점수 산정 기준을 정의하는 데 사용할 수 있는 두 가지 옵션은 다음과 같습니다.

      • 기준 작성기:

        위협 점수 계산에 기여하는 기준을 추가, 편집 또는 제거 및 활성화 및 비활성화하고 집계된 총 가중치가 100%인지 확인하려면 이 옵션을 사용합니다.

      • 스크립트 사용(고급): 스크립팅 기능은 0-100 범위 내에서 위협 점수를 반환해야 하는 사용자 지정 스크립트를 빌드하는 고급 기능입니다.
      다음은 점수 산정 기준을 정의하는 데 사용할 수 있는 옵션입니다.
      • 기준 작성기
      • 스크립트 사용(고급)
      기준 작성기의 절차는 다음과 같습니다.
      주:
      기존 기준을 편집 또는 수정하거나 새 기준을 추가할 수 있습니다.
      1. 기준 유형을 선택합니다.
        예를 들어 새 기준을 추가합니다.
      2. 기준이 구성된 테이블 을 선택합니다.
        드롭다운 목록의 값 목록은 옵저버블, 위협 액터, 캠페인, 위치, ID, 취약성, 위협 이벤트, 보안 인시던트 및 집계입니다. 드롭다운 목록에서 이러한 옵션 중 하나를 선택하면 조건이 적용됩니다. 이 조건은 선택한 값과 관련된 기록만 표시되거나 계산되도록 합니다.
        주:
        • 선택한 옵저버블인 경우 위협 점수가 계산될 옵저버블 기록에 조건이 적용됩니다. 선택한 테이블이 옵저버블이 아닌 경우 기록이 위협 점수가 계산될 옵저버블과 관련된 경우에만 조건이 적용됩니다.
        • 옵저버블과 연결된 관계 수를 기준으로 점수를 정의하기 위해 추가 집계 테이블이 추가됩니다. 예를 들어 테이블: 집계 및 필드 값: 위협 액터를 선택합니다. 그런 다음, 옵저버블의 경우 위협 액터가 두 명 이상인 경우 점수를 설정하고 해당하는 조건을 적용합니다.
        • 예를 들어 옵저버블과 연결된 하나 이상의 위협 액터에 대한 점수를 설정하려면 필드를 No of Threat Actors(위협 액터 수)로 선택하고 원하는 점수를 설정하고 해당하는 경우 조건을 적용합니다.
      3. 위에서 선택한 테이블에서 필드 를 선택합니다.
      4. 기준의 가중치 를 0-100 사이로 입력합니다.
        모든 기준의 전체 가중치는 100%여야 합니다.
      5. 기준의 이름과 간단한 설명을 입력합니다.
      6. 점수 산정 기준을 사용하려면 점수 산정 기준 사용 확인란을 선택합니다.
      7. 조건을 정의하고 조건에 대한 점수를 설정합니다.
      8. 새 조건 버튼을 사용하여 새 조건을 추가하고 기준 삭제 아이콘을 사용하여 조건을 삭제할 수도 있습니다.
      9. 추가를 클릭하여 구성된 기준을 추가합니다.
      다음은 위협 점수에 대한 조건을 정의하는 예입니다. 
      Table: Vulnerability

Field: CVSS2.0

Weightage: 30%

Condition-1: CVSS2.0 > 7, Score = 80

Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50

Condition-3: CVSS2.0 < 4, Score = 10
    4. 력 재계산 버튼을 클릭하여 위협 점수를 다시 계산합니다.
      위협 점수 규칙이 변경된 경우 과거에 위협 점수가 이미 계산된 옵저버블에 점수 규칙을 다시 적용해야 합니다. 이력 다시 계산 버튼을 사용하여 다시 계산 작업을 트리거합니다.
      주:
      • 작업을 수행할 수 있다는 확인 메시지가 표시됩니다. 이는 백그라운드에서 실행되는 장기 실행 프로세스입니다. 프로세스가 완료될 때까지 변경할 수 없습니다. 이 작업을 실행하시겠습니까?
      • 이력 재계산의 일부로 옵저버블에 대해 생성되는 업데이트 이벤트의 경우 웹후크 처리가 비활성화되며, 활성화하려는 경우 이 시스템 속성 webhook_ignore_threat_score_reapply 수정합니다.
    5. 확인을 클릭합니다.
      중요사항:
      이 작업은 장기 실행 작업을 트리거하며 시스템은 작업이 완료될 때까지 위협 점수 규칙을 더 이상 변경할 수 없습니다. 백그라운드 작업 구성 구성 방법에 대한 자세한 내용은 취약성 대응 백그라운드 작업 프레임워크 구성을 참조하십시오.

      다음은 스크립트 사용(고급) 스크립트입니다. 이 스크립트를 사용하여 0-100 범위 내에서 위협 점수를 반환해야 하는 사용자 지정 스크립트를 작성합니다.

      고급 스크립트 필드는 currentaggregates 매개변수를 가져오는 함수로 자동으로 채워지며 이 함수는 0-100 범위의 위협 점수를 반환해야 합니다.

      여기서 현재 매개변수는 위협 점수가 계산되는 엔터티(옵저버블)의 GlideRecord 객체입니다. 옵저버블의 경우 sn_sec_tisc_observable 테이블의 GlideRecord에 해당합니다. 집계 매개변수는 sn_sec_tisc_aggregates 테이블 기록의 GlideRecord 객체로, 메인 엔터티(옵저버블)에 연결된 다양한 기록 유형(예: 캠페인 또는 ID)의 기록 카운트에 액세스하는 데 사용됩니다.

      고급 옵션의 스크립트 샘플 예:

      answer = (function threatScoreCalculator(current, aggregates) {
 
    // return the threat score in the range of 0-100
    var threatSeverity = current.getValue("threat_severity");
    if(threatSeverity == "high")
	    return 80;
    else {
        let associatedCampaigns = aggregates.getValue("num_of_campaigns");
        if(associatedCampaigns > 0)
            return 50;
    }
    return 0;
 
})(current, aggregates);

      참조를 위해 아래는 위협 점수 백그라운드 작업 구성 프로세스를 보여주는 스크린샷입니다.

      위협 점수 규칙에 대한 백그라운드 작업 구성