Defina a calculadora de pontuação de ameaça

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 5 min. de leitura

    • Defina a pontuação de ameaça para os registros de observáveis gerados com base nos parâmetros definidos pelo usuário. O sistema de base é provisionado com uma regra de pontuação de ameaças, que pode ser personalizada e habilitada de acordo.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Nota:
    Por padrão, a regra de pontuação de ameaça ficará inativa. Você precisa habilitar a regra para ver a pontuação dos observáveis.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Administração.
    2. Ir para Regra de pontuação de ameaça.
      A página Calculadora de pontuação de ameaças é exibida.
      Importante:
      • Na aplicação, no sistema base, há uma regra de pontuação que é provisionada para que os usuários exibam, editem ou modifiquem a pontuação de ameaça, mas o usuário não pode criar uma nova regra ou excluir a regra de pontuação de ameaça predefinida.
      • As mudanças serão aplicadas a todos os novos observáveis ou atualizações nos observáveis a partir desse ponto em diante. Para redefinir pontuações históricas, eles devem usar a opção recalcular.
    3. No formulário, os campos a seguir contêm os valores predefinidos.
      Tabela 1. Padrão de Calculadora de pontuação de ameaça
      Campo Descrição
      Nome Nome do valor de pontuação da ameaça. Por exemplo, Calculadora de pontuação de ameaças.
      Descrição Descrição do registro de pontuação de ameaça. Por exemplo, calcula a pontuação de ameaça com base na soma ponderada das pontuações de critérios predefinidos.
      Ponderação geral (aplicável ao construtor de critérios) Este campo não é editável e exibe a ponderação geral calculada pelo sistema com base na ponderação correspondente aos critérios habilitados.
      Critérios de pontuação Indica os critérios de pontuação de um observável.

      A seguir estão as duas opções disponíveis para definir os critérios de pontuação de ameaça:

      • Construtor de critérios :

        Use esta opção para adicionar, editar ou remover e habilitar e desabilitar critérios que contribuem para o cálculo da pontuação de ameaça e garantir que a ponderação agregada total seja de 100%.

      • Usar script (Avançado) : O recurso de script é um recurso avançado para criar um script personalizado que deve retornar a pontuação de ameaça dentro do intervalo de 0 a 100.
      Abaixo estão as opções disponíveis para definir o. Critérios de pontuação :
      • Criador de critérios
      • Usar script (Avançado)
      A seguir está o procedimento para o Construtor de critérios:
      Nota:
      Você pode editar ou modificar os critérios existentes ou adicionar novos critérios.
      1. Selecione o tipo de critério.
        Por exemplo, Adicionar um novo critério.
      2. Selecione Tabela para o qual os critérios estão configurados.
        A lista de valores na lista suspensa são Observáveis, Agente de ameaça, Campanha, Local, Identidade, vulnerabilidade, Evento de ameaça, Incidente de segurança e agregados. Quando você seleciona uma dessas opções na lista suspensa, uma condição é aplicada. Esta condição garante que somente os registros relacionados ao valor selecionado sejam exibidos ou calculados.
        Nota:
        • Se o observável selecionado, a condição será aplicada no registro do observável para o qual a pontuação de ameaça será calculada. Se a tabela selecionada não for observável, a condição será aplicada somente se os registros estiverem relacionados ao observável para o qual a pontuação de ameaça será calculada.
        • Uma tabela de agregados adicional é adicionada para definir as pontuações com base no número de relações associadas aos observáveis. Por exemplo, selecione a Tabela: Agregados e o valor do campo: Atores de ameaça e, em seguida, para um observável, se houver mais de dois agentes de ameaça, defina a pontuação e aplique as condições conforme aplicável.
        • Por exemplo, se você quiser definir uma pontuação para um ou mais agentes de ameaça associados a um observável, selecione o campo como Não de agentes de ameaça, defina a pontuação desejada e aplique as condições conforme aplicável.
      3. Selecione Campo da tabela selecionada acima.
      4. Insira o. Ponderação dos critérios entre 0-100.
        A ponderação geral de todos os critérios deve ser de 100%.
      5. Insira o nome e a descrição resumida dos critérios.
      6. Selecione Habilitar critérios de pontuação para habilitar os critérios de pontuação.
      7. Defina o. Condições e defina a pontuação para as condições.
      8. Você também pode adicionar novas condições usando Nova condição e exclua a condição usando Excluir critérios ícone.
      9. Clique em Adicionar para adicionar os critérios configurados.
      Este é um exemplo de definição de uma condição para uma pontuação de ameaça: 
      Table: Vulnerability

Field: CVSS2.0

Weightage: 30%

Condition-1: CVSS2.0 > 7, Score = 80

Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50

Condition-3: CVSS2.0 < 4, Score = 10
    4. Clique em Recalcular histórico botão para recalcular a pontuação de ameaça.
      Se houver mudanças na regra de pontuação de ameaça, você deverá aplicar novamente a regra de pontuação aos observáveis que têm a pontuação de ameaça já calculada no passado, use Recalcular histórico botão para acionar o trabalho de recálculo.
      Nota:
      • Uma mensagem de confirmação é exibida para você executar a ação, Este é um processo de execução longa que é executado em segundo plano. Você não poderá fazer mudanças até que o processo seja concluído. Tem certeza de que deseja executar esta ação?
      • Para eventos de atualização gerados para observáveis como parte de Recalcular histórico , o processamento de webhooks está desabilitado e, caso você queira habilitar, modifique esta propriedade do sistema webhook_ignore_threat_score_reapply .
    5. Clique em OK.
      Importante:
      Esta ação acionará um trabalho de execução longa e o sistema não permitirá que você faça mais mudanças na regra de pontuação de ameaça até que o trabalho seja concluído. Para obter mais informações sobre como a configuração do trabalho em segundo plano é configurada, consulte Configuração da estrutura de trabalho em segundo plano da Resposta a vulnerabilidades .

      O seguinte é Usar script (Avançado) Script: Use este script para criar um script personalizado que deve retornar a pontuação de ameaça dentro do intervalo de 0 a 100.

      O campo de script avançado é preenchido automaticamente com uma função que usa os parâmetros atual e. agregados e esta função deve retornar a pontuação de ameaça no intervalo de 0 a 100.

      Aqui, o parâmetro atual é o objeto GlideRecord da entidade (observável) para a qual a pontuação de ameaça está sendo calculada. Para observáveis, corresponde ao GlideRecord da tabela sn_sec_tisc_observable. O parâmetro Agregados é um objeto GlideRecord do sn_sec_tisc_agregados registro de tabela que é usado para acessar as contagens de registros dos vários tipos de registro associados (como campanhas ou identidades) à entidade principal (observável).

      Exemplo de script na opção avançada:

      answer = (function threatScoreCalculator(current, aggregates) {
 
    // return the threat score in the range of 0-100
    var threatSeverity = current.getValue("threat_severity");
    if(threatSeverity == "high")
	    return 80;
    else {
        let associatedCampaigns = aggregates.getValue("num_of_campaigns");
        if(associatedCampaigns > 0)
            return 50;
    }
    return 0;
 
})(current, aggregates);

      Para sua referência, abaixo está a captura de tela que mostra o processo de configuração do trabalho em segundo plano da pontuação de ameaça.

      Configuração de trabalho em segundo plano para uma regra de pontuação de ameaça