Definir calculadora de pontuação de ameaça

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Defina a pontuação de ameaça para os registros de observável que são gerados com base nos parâmetros definidos pelo usuário. O sistema base é provisionado com uma regra de pontuação de ameaça, que pode ser personalizada e habilitada de acordo.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Nota:
    Por padrão, a regra de pontuação de ameaça estará inativa. Você precisa habilitar a regra para ver a pontuação de observáveis.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Administração.
    2. Ir para Regra de pontuação de ameaça.
      A página da Calculadora de pontuação de ameaça é exibida.
      Importante:
      • Na aplicação, no sistema de base, há uma regra de pontuação que é provisionada para que os usuários exibam, editem ou modifiquem a pontuação da ameaça, mas o usuário não pode criar uma nova regra ou excluir a regra de pontuação de ameaça predefinida.
      • As mudanças serão aplicadas a todos os novos observáveis ou atualizações dos observáveis a partir desse ponto. Para redefinir pontuações históricas, eles devem usar a opção de recálculo.
    3. No formulário, os campos a seguir contêm os valores predefinidos.
      Tabela 1. Padrão de Calculadora de pontuação de ameaça
      Campo Descrição
      Nome Nome do valor de pontuação da ameaça. Por exemplo, Calculadora de pontuação de ameaça.
      Descrição Descrição do registro de pontuação de ameaça. Por exemplo, Calcula a pontuação de ameaça com base na soma ponderada de pontuações de critérios predefinidos.
      Ponderação geral (aplicável ao construtor de critérios) Este campo não é editável e exibe a ponderação geral calculada pelo sistema com base na ponderação correspondente aos critérios habilitados.
      Critérios de pontuação Indica os critérios de pontuação para um observável.

      A seguir estão as duas opções disponíveis para definir os critérios de pontuação de ameaça:

      • Construtor de critérios:

        Use esta opção para adicionar, editar ou remover e habilitar e desabilitar critérios que contribuem para o cálculo da pontuação de ameaça e garantir que a ponderação agregada total seja de 100%.

      • Usar script (Avançado): o recurso de script é um recurso avançado para criar um script personalizado que deve retornar a pontuação de ameaça no intervalo de 0 a 100.
      Abaixo estão as opções disponíveis para definir os critérios de pontuação:
      • Criador de critérios
      • Usar script (Avançado)
      A seguir está o procedimento para o Construtor de critérios:
      Nota:
      Você pode editar ou modificar os critérios existentes ou adicionar novos critérios.
      1. Selecione o tipo de critérios.
        Por exemplo, Adicionar novos critérios.
      2. Selecione a Tabela para a qual os critérios estão configurados.
        A lista de valores na lista suspensa são Observáveis, Ator da ameaça, Campanha, Local, Identidade, Vulnerabilidade, Evento de ameaça, Incidente de segurança e Agregados. Quando você seleciona uma dessas opções na lista suspensa, uma condição é aplicada. Essa condição garante que somente registros relacionados ao valor selecionado sejam exibidos ou calculados.
        Nota:
        • Se o Observável selecionado, a condição será aplicada ao registro do observável para o qual a pontuação de ameaça será calculada. Se a tabela selecionada não for observável, a condição será aplicada somente se os registros estiverem relacionados ao observável para o qual a pontuação de ameaça será calculada.
        • Uma tabela agregada adicional é adicionada para definir as pontuações com base no número de relações que estão associadas aos observáveis. Por exemplo, selecione a Tabela: Agregados e o valor do campo: Agentes de ameaça para um observável, se houver mais de dois agentes de ameaça, defina a pontuação e aplique as condições conforme aplicável.
        • Por exemplo, se você quiser definir uma pontuação para um ou mais agentes de ameaça associados a um observável, selecione o campo como Nº de agentes de ameaça, defina a pontuação desejada e aplique as condições conforme aplicável.
      3. Selecione o Campo na tabela selecionada acima.
      4. Insira a ponderação dos critérios entre 0 e 100.
        A ponderação geral de todos os critérios deve ser de 100%.
      5. Insira o nome e a descrição resumida dos critérios.
      6. Marque a caixa de seleção Habilitar critérios de pontuação para habilitar os critérios de pontuação.
      7. Defina as Condições e defina a pontuação das condições.
      8. Você também pode adicionar novas condições usando o botão Nova condição e excluir a condição usando o ícone Excluir critérios.
      9. Clique em Adicionar para adicionar os critérios configurados.
      Aqui está um exemplo de definição de uma condição para uma pontuação de ameaça: 
      Table: Vulnerability

Field: CVSS2.0

Weightage: 30%

Condition-1: CVSS2.0 > 7, Score = 80

Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50

Condition-3: CVSS2.0 < 4, Score = 10
    4. Clique no botão Recalcular histórico para recalcular a pontuação da ameaça.
      Se houver mudanças na regra de pontuação de ameaça, você deverá aplicar novamente a regra de pontuação aos observáveis que têm a pontuação de ameaça já calculada no passado. Use o botão Recalcular histórico para acionar o trabalho de recálculo.
      Nota:
      • Uma mensagem de confirmação é exibida para você executar a ação, Este é um processo de longa execução que é executado em segundo plano. Você não poderá fazer mudanças até que o processo seja concluído. Tem certeza de que deseja executar esta ação?
      • Para todos os eventos de atualização que estão sendo gerados para observáveis como parte do históricode recálculo , o processamento de webhooks está desabilitado e, caso você queira habilitar, modifique esta propriedade do sistema webhook_ignore_threat_score_reapply.
    5. Clique em OK.
      Importante:
      Esta ação acionará um trabalho de longa execução e o sistema não permitirá que você faça mais mudanças na regra de pontuação de ameaça até que o trabalho seja concluído. Para obter mais informações sobre como a configuração do trabalho em segundo plano é definida, consulte Configuração da estrutura de trabalho em segundo plano da Resposta a vulnerabilidades.

      A seguir está o script Usar script (Avançado) : use este script para criar um script personalizado que deve retornar a pontuação de ameaça dentro do intervalo de 0 a 100.

      O campo de script avançado é preenchido automaticamente com uma função que usa os parâmetros atuais e agregados e essa função deve retornar a pontuação de ameaça no intervalo de 0 a 100.

      Aqui, o parâmetro atual é o objeto GlideRecord da entidade (observável) para o qual a pontuação de ameaça está sendo calculada. Para os observáveis, corresponde ao GlideRecord da tabela sn_sec_tisc_observable. O parâmetro agregados é um objeto GlideRecord do registro da tabela sn_sec_tisc_aggregates que é usado para acessar as contagens de registros dos vários tipos de registro associados (como campanhas ou identidades) à entidade principal (observável).

      Exemplo de exemplo do script na opção avançada:

      answer = (function threatScoreCalculator(current, aggregates) {
 
    // return the threat score in the range of 0-100
    var threatSeverity = current.getValue("threat_severity");
    if(threatSeverity == "high")
	    return 80;
    else {
        let associatedCampaigns = aggregates.getValue("num_of_campaigns");
        if(associatedCampaigns > 0)
            return 50;
    }
    return 0;
 
})(current, aggregates);

      Para sua referência, abaixo está a captura de tela que mostra o processo de configuração do trabalho em segundo plano de pontuação de ameaça.

      Configuração de trabalho em segundo plano para uma regra de pontuação de ameaça