Definieren Sie Den Rechner Für Die Bedrohungsbewertung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Definieren Sie die Bedrohungspunktzahl für die Datensätze erkennbarer Elemente, die basierend auf den anwenderdefinierten Parametern generiert werden. Das Basissystem wird mit einer Bedrohungsbewertungsregel bereitgestellt, die angepasst und entsprechend aktiviert werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Hinweis:
    Standardmäßig ist die Bedrohungsbewertungsregel inaktiv. Sie müssen die Regel aktivieren, um die Bewertung erkennbarer Elemente anzuzeigen.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Gehe zu Regel der Bedrohungsbewertungan.
      Die Seite „Rechner der Bedrohungsbewertung“ wird angezeigt.
      Wichtig:
      • In der Anwendung gibt es innerhalb des Basissystems eine Bewertungsregel, die den Anwendern zum Anzeigen, Bearbeiten oder Ändern der Bedrohungsbewertung zur Verfügung steht. Der Anwender kann jedoch weder eine neue Regel erstellen noch die vordefinierte Bedrohungsbewertungsregel löschen.
      • Die Änderungen gelten ab diesem Zeitpunkt für alle neuen erkennbaren Elemente oder Aktualisierungen der erkennbaren Elemente. Um historische Punktzahlen neu anzugeben, sollten sie die Option „Neu berechnen“ verwenden.
    3. Im Formular enthalten die folgenden Felder die vordefinierten Werte.
      Tabelle : 1. Bedrohungsbewertungsrechner
      Feld Beschreibung
      Name Name des Bedrohungsbewertungswerts. Beispiel: Bedrohungsbewertungsrechner.
      Beschreibung Beschreibung des Bedrohungsbewertungsdatensatzes. Beispielsweise berechnet die Bedrohungspunktzahl basierend auf der gewichteten Summe vordefinierter Kriterienpunktzahlen.
      Gesamtgewichtung (gilt für den Kriteriengenerator) Dieses Feld kann nicht bearbeitet werden und zeigt die Gesamtgewichtung an, die vom System basierend auf der Gewichtung berechnet wird, die den aktivierten Kriterien entspricht.
      Bewertungskriterien Gibt die Bewertungskriterien für ein erkennbares Element an.

      Im Folgenden finden Sie die zwei verfügbaren Optionen zum Definieren der Bedrohungsbewertungskriterien:

      • Kriteriengenerator :

        Verwenden Sie diese Option, um Kriterien hinzuzufügen, zu bearbeiten oder zu entfernen, zu aktivieren und zu deaktivieren, die zur Berechnung der Bedrohungsbewertung beitragen, und sicherzustellen, dass die aggregierte Gesamtgewichtung 100 % beträgt.

      • Skript Verwenden (Erweitert) : Die Skriptfunktion ist eine erweiterte Funktion zum Erstellen eines anwenderdefinierten Skripts, das die Bedrohungspunktzahl im Bereich von 0 bis 100 zurückgeben soll.
      Nachfolgend finden Sie die verfügbaren Optionen zum Definieren von Bewertungskriterien :
      • Kriteriengenerator
      • Skript verwenden (erweitert)
      Im Folgenden finden Sie das Verfahren für den Kriteriengenerator:
      Hinweis:
      Sie können die vorhandenen Kriterien bearbeiten oder ändern oder neue Kriterien hinzufügen.
      1. Wählen Sie den Typ der Kriterien aus.
        Beispiel: Fügen Sie ein neues Kriterium hinzu.
      2. Wählen Sie aus Tabelle Für die die Kriterien konfiguriert sind.
        Die Liste der Werte in der Dropdown-Liste ist erkennbare Elemente, Bedrohungsakteur, Kampagne, Standort, Identität, Schwachstelle, Bedrohungsereignis, Security Incident und Aggregate. Wenn Sie eine dieser Optionen aus der Dropdown-Liste auswählen, wird eine Bedingung angewendet. Diese Bedingung stellt sicher, dass nur Datensätze angezeigt oder berechnet werden, die sich auf den ausgewählten Wert beziehen.
        Hinweis:
        • Wenn das ausgewählte erkennbare Element ausgewählt ist, wird die Bedingung auf den Datensatz des erkennbaren Elements angewendet, für den die Bedrohungsbewertung berechnet wird. Wenn die ausgewählte Tabelle nicht erkennbar ist, wird die Bedingung nur angewendet, wenn sich die Datensätze auf das erkennbare Element beziehen, für das die Bedrohungspunktzahl berechnet wird.
        • Eine zusätzliche Aggregattabelle wird hinzugefügt, um die Punktzahlen basierend auf der Anzahl der Beziehungen zu definieren, die den erkennbaren Elementen zugeordnet sind. Wählen Sie beispielsweise die Tabelle: Aggregate und den Feldwert: Bedrohungsakteure aus. Wenn es mehr als zwei Bedrohungsakteure gibt, legen Sie dann für ein erkennbares Element die Punktzahl fest, und wenden Sie die Bedingungen an.
        • Wenn Sie beispielsweise eine Punktzahl für einen oder mehrere Bedrohungsakteure festlegen möchten, die einem erkennbaren Element zugeordnet sind, wählen Sie das Feld Anzahl der Bedrohungsakteure aus, legen Sie die gewünschte Punktzahl fest, und wenden Sie die entsprechenden Bedingungen an.
      3. Wählen Sie aus Feld Aus der oben ausgewählten Tabelle.
      4. Geben Sie ein Gewichtung Der Kriterien zwischen 0 und 100.
        Die Gesamtgewichtung aller Kriterien muss 100 % betragen.
      5. Geben Sie den Namen und die Kurzbeschreibung der Kriterien ein.
      6. Wählen Sie aus Aktivieren Sie Bewertungskriterien Kontrollkästchen zum Aktivieren der Bewertungskriterien.
      7. Definieren Sie Bedingungen Und legen Sie die Punktzahl für die Bedingungen fest.
      8. Sie können auch mit neue Bedingungen hinzufügen Neue Bedingung Und löschen Sie die Bedingung mit Löschen Sie Kriterien Symbol.
      9. Klicken Sie Auf Hinzufügen Um die konfigurierten Kriterien hinzuzufügen.
      Hier ist ein Beispiel für die Definition einer Bedingung für eine Bedrohungsbewertung: 
      Table: Vulnerability

Field: CVSS2.0

Weightage: 30%

Condition-1: CVSS2.0 > 7, Score = 80

Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50

Condition-3: CVSS2.0 < 4, Score = 10
    4. Klicken Sie Auf Verlauf Neu Berechnen Schaltfläche zum erneuten Koppeln der Bedrohungspunktzahl.
      Wenn die Bedrohungsbewertungsregel geändert wird, müssen Sie die Bewertungsregel erneut auf die erkennbaren Elemente anwenden, deren Bedrohungspunktzahl bereits in der Vergangenheit berechnet wurde. Verwenden Sie Verlauf neu berechnen Schaltfläche zum Auslösen des Neuberechnungsauftrags.
      Hinweis:
      • Eine Bestätigungsnachricht wird angezeigt, damit Sie die Aktion ausführen können. Dies ist ein Prozess mit langer Ausführung, der im Hintergrund ausgeführt wird. Sie können erst Änderungen vornehmen, wenn der Prozess abgeschlossen ist. Möchten Sie diese Aktion wirklich ausführen?
      • Für alle Aktualisierungsereignisse, die für erkennbare Elemente als Teil von generiert werden Verlauf neu berechnen , Die Verarbeitung von Webhooks ist deaktiviert, und wenn Sie aktivieren möchten, ändern Sie diese Systemeigenschaft Webhook_ignore_Threat_Score_reapply .
    5. Klicken Sie auf OK.
      Wichtig:
      Diese Aktion löst einen Auftrag mit langer Ausführungszeit aus, und das System erlaubt Ihnen erst, weitere Änderungen an der Bedrohungsbewertungsregel vorzunehmen, wenn der Auftrag abgeschlossen ist. Weitere Informationen zur Konfiguration der Hintergrundauftragskonfiguration finden Sie unter Framework-Konfiguration des Vulnerability Response-Hintergrundauftrags .

      Im Folgenden finden Sie die Skript Verwenden (Erweitert) Skript: Verwenden Sie dieses Skript, um ein anwenderdefiniertes Skript zu erstellen, das die Bedrohungspunktzahl im Bereich von 0 bis 100 zurückgeben soll.

      Das Feld „Erweitertes Skript“ wird automatisch mit einer Funktion ausgefüllt, die die Parameter übernimmt Aktuell Und Aggregate Und diese Funktion sollte die Bedrohungspunktzahl im Bereich von 0 bis 100 zurückgeben.

      Hier ist der aktuelle Parameter das GlideRecord-Objekt der Entität (erkennbares Element), für die die Bedrohungspunktzahl berechnet wird. Für die erkennbaren Elemente entspricht er dem GlideRecord für die Tabelle „sn_sec_tisc_observable“. Der Parameter „Aggregate“ ist ein GlideRecord-Objekt von sn_sec_tisc_Aggregates Tabellendatensatz, der verwendet wird, um auf die Datensatzanzahlen der verschiedenen zugehörigen Datensatztypen (z. B. Kampagnen oder Identitäten) der Hauptentität (erkennbares Element) zuzugreifen.

      Beispielbeispiel für das Skript in der erweiterten Option:

      answer = (function threatScoreCalculator(current, aggregates) {
 
    // return the threat score in the range of 0-100
    var threatSeverity = current.getValue("threat_severity");
    if(threatSeverity == "high")
	    return 80;
    else {
        let associatedCampaigns = aggregates.getValue("num_of_campaigns");
        if(associatedCampaigns > 0)
            return 50;
    }
    return 0;
 
})(current, aggregates);

      Zu Ihrer Referenz finden Sie unten der Screenshot, der den Konfigurationsprozess des Hintergrundauftrags für die Bedrohungsbewertung zeigt.

      Hintergrundauftragskonfiguration für eine Bedrohungsbewertungsregel