위협 점수 계산기 정의

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 5분

    • 사용자 정의 매개변수를 기반으로 생성된 옵저버블 기록에 대한 위협 점수를 정의합니다. 기본 시스템에는 하나의 위협 점수 산정 규칙이 프로비저닝되며, 이에 따라 사용자 지정하고 활성화할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    주:
    기본적으로 위협 점수 규칙은 비활성 상태입니다. 옵저버블 점수를 보려면 규칙을 활성화해야 합니다.

    프로시저

    1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 관리.
    2. 이동 위협 점수 산정 규칙.
      위협 점수 계산기 페이지가 표시됩니다.
      중요사항:
      • 애플리케이션의 기본 시스템 내에는 사용자가 위협 점수를 보거나, 편집하거나, 수정할 수 있도록 프로비저닝된 하나의 점수 규칙이 있지만, 사용자는 새 규칙을 생성하거나 미리 정의된 위협 점수 규칙을 삭제할 수 없습니다.
      • 변경 사항은 해당 시점부터 새 옵저버블 또는 옵저버블에 대한 업데이트에 적용됩니다. 과거 점수를 다시 표시하려면 다시 계산 옵션을 사용해야 합니다.
    3. 양식에서 다음 필드에는 미리 정의된 값이 포함되어 있습니다.
      표 1. 위협 점수 계산기
      필드 설명
      이름 위협 점수 산정 값의 이름입니다. 예를 들어 위협 점수 계산기입니다.
      설명 위협 점수 기록에 대한 설명입니다. 예를 들어 미리 정의된 기준 점수의 가중치 합계를 기준으로 위협 점수를 계산합니다.
      전체 가중치(기준 작성기에서 적용 가능) 이 필드는 편집할 수 없으며 활성화된 기준에 해당하는 가중치를 기준으로 시스템에서 계산한 전체 가중치를 표시합니다.
      채점 기준 옵저버블에 대한 점수 산정 기준을 나타냅니다.

      다음은 위협 점수 산정 기준을 정의하는 데 사용할 수 있는 두 가지 옵션입니다.

      • 기준 작성기:

        위협 점수 계산에 기여하는 기준을 추가, 편집 또는 제거하고 활성화 및 비활성화하고 총 집계 가중치가 100%가 되도록 하려면 이 옵션을 사용합니다.

      • 스크립트 사용(고급): 스크립팅 기능은 0-100 범위 내에서 위협 점수를 반환해야 하는 사용자 지정 스크립트를 작성하는 고급 기능입니다.
      다음은 점수 산정 기준을 정의하는 데 사용할 수 있는 옵션입니다.
      • 기준 작성기
      • 스크립트 사용(고급)
      다음은 기준 작성기의 절차입니다.
      주:
      기존 기준을 편집 또는 수정하거나 새 기준을 추가할 수 있습니다.
      1. 기준 유형을 선택합니다.
        예를 들어, 새 기준을 추가합니다.
      2. 기준이 구성되는 테이블을 선택합니다.
        드롭다운 목록의 값 목록에는 옵저버블, 위협 액터, 캠페인, 위치, ID, 취약성, 위협 이벤트, 보안 인시던트 및 집계가 있습니다. 드롭다운 목록에서 이러한 옵션 중 하나를 선택하면 조건이 적용됩니다. 이 조건을 사용하면 선택한 값과 관련된 기록만 표시되거나 계산됩니다.
        주:
        • 옵저버블을 선택한 경우 위협 점수가 계산되는 옵저버블 기록에 조건이 적용됩니다. 선택한 테이블이 옵저버블이 아닌 경우 기록이 위협 점수가 계산되는 옵저버블과 관련된 경우에만 조건이 적용됩니다.
        • 옵저버블과 연결된 관계 수를 기반으로 점수를 정의하기 위해 추가 집계 테이블이 추가됩니다. 예를 들어 테이블: 집계 및 필드 값: 위협 액터를 선택한 다음, 옵저버블의 경우 위협 액터가 3개 이상인 경우 점수를 설정하고 적절한 조건을 적용합니다.
        • 예를 들어 옵저버블과 연결된 하나 이상의 위협 액터에 대한 점수를 설정하려면 필드를 위협 액터 없음으로 선택하고 원하는 점수를 설정한 다음 적절한 조건을 적용합니다.
      3. 위에서 선택한 테이블에서 필드를 선택합니다.
      4. 0-100 사이의 기준 가중치 를 입력합니다.
        모든 기준의 전체 가중치는 100%여야 합니다.
      5. 기준의 이름과 간단한 설명을 입력합니다.
      6. 점수 산정 기준을 사용하려면 점수 산정 기준 사용 확인란을 선택합니다.
      7. 조건을 정의하고 조건에 대한 점수를 설정합니다.
      8. 새 조건 버튼을 사용하여 새 조건을 추가하고 기준 삭제 아이콘을 사용하여 조건을 삭제할 수도 있습니다.
      9. 추가를 클릭하여 구성된 기준을 추가합니다.
      위협 점수에 대한 조건을 정의하는 예는 다음과 같습니다. 
      Table: Vulnerability

Field: CVSS2.0

Weightage: 30%

Condition-1: CVSS2.0 > 7, Score = 80

Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50

Condition-3: CVSS2.0 < 4, Score = 10
    4. Re-Calculate History(기록 재계산) 버튼을 클릭하여 위협 점수를 다시 계산합니다.
      위협 점수 산정 규칙이 변경된 경우 과거에 이미 계산된 위협 점수가 있는 옵저버블에 점수 산정 규칙을 다시 적용해야 하며, 이력 재계산 버튼을 사용하여 재계산 작업을 트리거해야 합니다.
      주:
      • 작업을 수행할지 묻는 확인 메시지가 표시됩니다. 이는 백그라운드에서 실행되는 장기 실행 프로세스입니다. 프로세스가 완료될 때까지 변경할 수 없습니다. 이 작업을 실행하시겠습니까?
      • 이력 재계산의 일부로 옵저버블에 대해 생성되는 업데이트 이벤트의 경우 웹후크 처리가 비활성화되며, 활성화하려면 이 시스템 속성 webhook_ignore_threat_score_reapply 수정합니다.
    5. 확인을 클릭합니다.
      중요사항:
      이 작업은 장기 실행 작업을 트리거하고 시스템이 작업이 완료될 때까지 위협 점수 규칙을 더 이상 변경하는 것을 허용하지 않습니다. 백그라운드 작업 구성이 구성되는 방식에 대한 자세한 정보는 취약성 대응 백그라운드 작업 프레임워크 구성의 내용을 참조하십시오.

      다음은 스크립트 사용(고급) 스크립트입니다. 이 스크립트를 사용하여 0-100 범위 내의 위협 점수를 반환해야 하는 사용자 지정 스크립트를 빌드합니다.

      고급 스크립트 필드는 현재집계 매개변수를 사용하는 함수로 자동으로 채워지며 이 함수는 0-100 범위의 위협 점수를 반환해야 합니다.

      여기서 현재 매개변수는 위협 점수가 계산되는 엔터티(옵저버블)의 GlideRecord 객체입니다. 옵저버블의 경우 sn_sec_tisc_observable 테이블의 GlideRecord에 해당합니다. aggregates 매개변수는 메인 엔터티(옵저버블)에 연결된 다양한 기록 유형(예: 캠페인 또는 ID)의 기록 수에 접근하는 데 사용되는 sn_sec_tisc_aggregates 테이블 기록의 GlideRecord 객체입니다.

      고급 옵션에 있는 스크립트의 샘플 예시:

      answer = (function threatScoreCalculator(current, aggregates) {
 
    // return the threat score in the range of 0-100
    var threatSeverity = current.getValue("threat_severity");
    if(threatSeverity == "high")
	    return 80;
    else {
        let associatedCampaigns = aggregates.getValue("num_of_campaigns");
        if(associatedCampaigns > 0)
            return 50;
    }
    return 0;
 
})(current, aggregates);

      참고로 아래는 위협 점수 백그라운드 작업 구성 프로세스를 보여주는 스크린샷입니다.

      위협 점수 규칙에 대한 백그라운드 작업 구성