ユーザー定義のパラメーターに基づいて生成された観測事象レコードの脅威スコアを定義します。ベースシステムには脅威スコアルール が 1 つプロビジョニングされており、それに応じてカスタマイズして有効化することができます。
始める前に
必要なロール:sn_sec_tisc.admin
注: デフォルトでは、脅威スコアルールが非アクティブになっています。観測事象のスコアを表示するには、ルールを有効化する必要があります。
手順
-
次のように移動する。 .
-
検索項目 .
[脅威スコア算出] ページが表示されます。
重要:
- アプリケーションのベースシステム内には、プロビジョニングされているスコアルールが 1 つあり、ユーザーは脅威スコアを表示、編集、変更することができます。ただし、新しいルールを作成したり、事前定義された脅威スコアルールを削除したりすることはできません。
- 変更は新たな観測事象に対して適用 (更新内容は変更後の観測事象に対して適用) されます。履歴のスコアを再計算するには、再計算オプションを使用する必要があります。
-
フォームの下記フィールドには事前定義された値が含まれています。
表 : 1. 脅威スコア算出
| フィールド |
説明 |
| 名前 |
脅威スコア値の名前。例:「脅威スコア算出ツール」など。 |
| 説明 |
脅威スコアレコードの説明。例:「事前定義された基準スコアの重み付けに基づいて脅威スコアを算出」など。 |
| 全体的な重み付け(基準ビルダーに適用) |
このフィールドは編集できません。有効な基準に対応する重み付けに基づいて計算された全体的な重み付けが表示されます。 |
| 採点基準 |
観測事象の採点基準を示します。 脅威スコアの基準を定義するには、次の 2 つのオプションが利用できます。 |
採点基準の定義で利用できるオプションは次のとおりです。
基準ビルダーの手順は次のとおりです。
注: 既存の基準を編集または変更したり、新規の基準を追加したりすることができます。
-
基準のタイプを選択します。
例:[新しい基準を追加] など。
-
基準を構成するテーブルを選択します。
ドロップダウンリストの値のリストには、[観測事象]、[攻撃者]、[キャンペーン]、[場所]、[ID]、[脆弱性]、[脅威イベント]、[セキュリティインシデント]、[集計] があります。ドロップダウンリストでいずれかのオプションを選択すると、条件が適用されます。その条件に基づき、選択した値に関連するレコードのみが表示または計算されます。
注:
- 観測事象が選択されている場合、脅威スコアが算出される観測事象レコードに条件が適用されます。選択したテーブルが観測事象でない場合、脅威スコアが算出される観測事象とレコードが関連している場合にのみ条件が適用されます。
- 観測事象と関連付けられている数に基づいてスコアを定義するには、集計テーブルを新たに追加します。たとえば、テーブルを [集計]、フィールド値を [攻撃者] で選択したときに、観測事象において複数の攻撃者がいる場合、スコアを設定して、必要に応じて条件を適用します。
- また、観測事象に関連する複数の攻撃者に対してスコアを設定する場合は、フィールドに [攻撃者の数] を選択して適切なスコアを設定し、必要に応じて条件を適用します。
-
選択したテーブルからフィールドを選択します。
-
基準の重み付けを 0〜100 の範囲で入力します。
すべての基準の全体的な重み付けが 100% になるようにする必要があります。
-
基準の名前と簡単な説明を入力します。
-
[採点基準を有効にする (Enable scoring criteria)] チェックボックスをオンにして、採点基準を有効にします。
-
条件を定義し、条件のスコアを設定します。
-
[新しい条件 (New Condition)] ボタンで新しい条件を追加したり、[基準を削除]アイコンで条件を削除したりすることもできます。
-
[ 追加 ] をクリックして、構成した基準を追加します。
脅威スコアに対する条件の定義については、次の例のとおりです。
Table: Vulnerability
Field: CVSS2.0
Weightage: 30%
Condition-1: CVSS2.0 > 7, Score = 80
Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50
Condition-3: CVSS2.0 < 4, Score = 10
-
[履歴を再計算] ボタンをクリックして、脅威スコアを再計算します。
脅威採点ルールが変更されている場合、過去に脅威スコアを計算した観測事象に対して採点ルールを再適用する必要があります。
[履歴を再計算] ボタンで再計算のジョブをトリガーします。
注:
- アクションを実行する確認メッセージが表示されます。このアクションは、バックグラウンドで実行される長時間実行プロセスとなります。プロセスが完了するまで、変更を加えることはできません。このアクションを実行してもよろしいですか?
- [履歴を再計算] の一環で観測事象に対して生成を行っている更新イベントの場合、Webhook の処理が無効になります。有効化する場合は、このシステムプロパティ
「webhook_ignore_threat_score_reapply」を変更します。
-
[OK] をクリックします。
以下は、[スクリプトを使用 (高度)]のスクリプトとなります。このスクリプトで、0〜100 の範囲の脅威スコアを返すカスタムスクリプトを構築することができます。
高度なスクリプトのフィールドには、current パラメーターと aggregate パラメーターを受け取る関数が自動的に入力されます。この関数が、0〜100 の範囲の脅威スコアを返すことになります。
current パラメーターは、脅威スコアが計算されるエンティティ (観測事象) の GlideRecord オブジェクトとなります。観測事象の場合は、sn_sec_tisc_observable テーブルの GlideRecord に該当します。aggregate パラメーターは、sn_sec_tisc_aggregates テーブルレコードの GlideRecord オブジェクトとなります。これにより、メインエンティティ (観測事象) に関連するさまざまなレコードタイプ (キャンペーンや ID など) のレコード数にアクセスすることができます。
高度なオプションのスクリプト例:
answer = (function threatScoreCalculator(current, aggregates) {
// return the threat score in the range of 0-100
var threatSeverity = current.getValue("threat_severity");
if(threatSeverity == "high")
return 80;
else {
let associatedCampaigns = aggregates.getValue("num_of_campaigns");
if(associatedCampaigns > 0)
return 50;
}
return 0;
})(current, aggregates);
参考までに、脅威スコアのバックグラウンドジョブ構成プロセスのスクリーンショットを以下に紹介します。
