新しいリスクスコア算出ルールの定義

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • 新しいリスクスコア算出を使用して、ユーザー定義の基準に基づいてセキュリティインシデントのリスクスコアを定義および計算します。これにより、セキュリティインシデントの透過的なインテリジェンススコアリングが提供されます。セキュリティインシデントレコードのリスクスコアが自動的に計算されます。

    始める前に

    必要なロール:sn_si.admin

    sn_si_aw.activate_new_risk_score_calculator システムプロパティを True に設定して、新しいリスクスコア算出をアクティブ化します。

    このタスクについて

    ユーザー定義のパラメーターに基づいて生成されるセキュリティインシデントレコードのリスクスコアを定義します。ベースシステムには 1 つのリスクスコアルールがプロビジョニングされており、それに応じてカスタマイズして有効にすることができます。
    注:
    • デフォルトでは、新しいリスクスコア算出ルールは非アクティブです。セキュリティインシデントのリスクスコアを表示するには、ルールを有効にする必要があります。
    • ベースシステムで利用可能なもの以外の追加の関連テーブルのリスクスコアを計算するには、「追加の関連テーブルのリスクスコア算出」を参照してください。

    手順

    1. 移動先 ワークスペース > セキュリティインシデントレスポンスワークスペース > アドミニストレーション.
    2. 移動先 ルールエンジン > リスクスコア算出ルール.
      [リスクスコア算出ルール (Risk Score Calculator Rule)] ページが表示されます。
      注:
      • ベースシステムの一部として、リスクスコアを表示、編集、または変更するための事前定義されたリスクスコアルールのテンプレートが 1 つあります。ただし、事前定義されたリスクスコアルールのテンプレートを作成または削除することはできません。
      • 変更内容は、新しいセキュリティインシデントや既存のセキュリティインシデントの更新に適用されます。履歴スコアを再表示するには、[スコアを再計算 (Recalculate Score)] アクションを使用します。
    3. [リスクスコア算出] ルールを選択します。
    4. フォームの各フィールドに入力します。
      フィールド 説明
      名前 リスクスコア値の名前。例:リスクスコア算出。
      全体的な重み付け(基準ビルダーに適用) リスクルール内でのこのフィールドの重み付け。このフィールドは編集できません。有効な基準に対応する重み付けに基づいて計算された全体的な重み付けが表示されます。全体の重み付けは常に 100% にする必要があります。
      説明 リスクスコアレコードの説明。たとえば、事前定義された基準スコアの重み付け合計に基づいてリスクスコアを計算します。
      採点基準 セキュリティインシデントの採点基準を示します。

      次のオプションを使用して、リスク採点基準を定義できます。

      • 基準ビルダー

        このオプションを使用して、リスクスコアの計算に寄与する基準を追加、編集、削除、有効化および無効化して、重み付けの合計集計が 100% であることを確認します。

      • スクリプトを使用 (詳細):スクリプティング機能は、リスクスコア (0 〜 100 の範囲の整数値) を返すカスタムスクリプトをビルドするための高度な機能です。
    5. 基準ビルダーを使用して採点基準を定義するには、次の手順を実行します。
      注:
      既存の基準を編集または変更したり、新規の基準を追加したりすることができます。
      1. 新しい条件を追加するには、[+ 新しい条件] アクションを選択します。
      2. 基準を設定するテーブルを選択します。
        注:
        • 選択したテーブルがセキュリティインシデントの場合、リスクスコアが計算されるセキュリティインシデントレコードに条件が適用されます。選択したテーブルがセキュリティインシデントでない場合、リスクスコアが計算されるセキュリティインシデントにレコードが関連している場合にのみ条件が適用されます。
        • セキュリティインシデントに関連付けられた関係の数に基づいてスコアを定義するために、追加の集計タイプが追加されます。
      3. 選択したテーブルの [タイプ] 基準を選択します。
        [タイプ] の値は、選択したテーブルに基づいて [フィールド] または [アグリゲート] のいずれかになります。
      4. 選択したテーブルの [フィールド] 基準を選択します。
        [タイプ] の値を [フィールド] として選択した場合、[フィールド] 基準にはテーブルに関連するフィールド値が表示されます。[タイプ] の値を [アグリゲート] として選択した場合、[フィールド] 基準にはテーブルに関連する集計値が表示されます。
        注:
        アグリゲートタイプはカウント値のみをサポートします。

        たとえば、[テーブル] 基準で [セキュリティインシデント] を選択すると、[タイプ] 基準には [フィールド] オプションのみが表示されます。[フィールド] 基準には、テーブルに関連するすべてのフィールド値 (重大度、アクティブなど) が表示されます。同様に、[テーブル] 基準で [影響を受けるユーザー (Affected Users)] を選択した場合、[タイプ] 基準には [フィールド][アグリゲート] の両方のオプションが表示されます。[タイプ] で [アグリゲート] を選択した場合、[フィールド] 基準には、テーブルに関連する集計値 (カウント) が表示されます。

      5. 基準の重み付けを 0〜100 の範囲で入力します。
        すべての基準の全体的な重み付けが 100% になるようにする必要があります。
      6. 基準の名前と簡単な説明を入力します。
      7. [採点基準を有効にする (Enable scoring criteria)] チェックボックスをオンにして、採点基準を有効にします。
      8. 条件を定義し、条件のスコアを設定します。
      9. [新規条件] オプションを使用して新しい条件を追加したり、[基準を削除] アイコンを使用して既存の条件を削除したりすることもできます。
      10. [追加] を選択して、構成した基準を追加します。
        図 : 1. 基準ビルダーを使用した採点基準
        基準ビルダーを使用した採点基準
    6. [スコアを再計算 (Recalculate Score)] オプションを選択して、リスクスコアを再計算します。

      たとえば、リスクスコアルールが変更された場合などです。その場合は、過去に計算済みのリスクスコアを持つセキュリティインシデントに採点ルールを再適用する必要があります。[スコアを再計算 (Recalculate Score)] アクションを使用して、再計算ジョブをトリガーします。

    7. [確認] を選択します。
      注:
      このアクションをトリガーすると、プロセスがバックグラウンドで実行され、完了するまでに数分かかります。完了するまで、変更を加えることはできません。
    8. [スクリプトを使用 (詳細) (Use Script (Advanced))] オプションを使用して採点基準を定義するには、次の手順を実行します。
      1. この事前定義されたスクリプトを使用して、リスクスコア (0 〜 100 の範囲の整数値) を返すカスタムスクリプトを作成します。
        詳細スクリプトフィールドには、 現在の パラメーターを取る関数が自動的に入力され、この関数はリスクスコア (0 〜 100 の範囲の整数値) を返す必要があります。
        図 : 2. [スクリプトを使用した採点基準 (詳細) (Scoring Criteria using Script (Advanced))] オプション
        スクリプト詳細オプションのサンプルコード

        ここで、現在のパラメーターは、リスクスコアが計算されるエンティティ (セキュリティインシデント) の GlideRecord オブジェクトです。セキュリティインシデントの場合は、sn_si_incident テーブルの GlideRecord に相当します。

    9. リスクスコア算出を無効にするには、[無効化] を選択します。
    10. [保存] を選択します。