Définir le calculateur de score de menace

Rversion finale: Australia

Mis à jour 12 mars 2026

5 minutes de lecture

Définissez le score de menace pour les enregistrements d’observables générés en fonction des paramètres définis par l’utilisateur. Le système de base est approvisionné avec une règle de notation de menace, qui peut être personnalisée et activée en conséquence.

Avant de commencer

Rôle requis : sn_sec_tisc.admin

Remarque :

Par défaut, la règle de notation de menace est inactive, vous devez activer la règle pour voir le score des observables.

Procédure

Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Administration.
Accéder à Règle de notation de menace.
La page Calculateur du score de menace s’affiche.
Important :
- Dans l’application, dans le système de base, une règle de notation est mise en service pour permettre aux utilisateurs d’afficher, de modifier ou de modifier le score de menace. L’utilisateur ne peut pas créer une nouvelle règle ou supprimer la règle de notation de menace prédéfinie.
- Les changements s’appliqueront à tous les nouveaux observables ou mises à jour des observables à partir de ce moment-là. Pour reformuler les scores historiques, ils doivent utiliser l’option recalculer.

Sur le formulaire, les champs suivants contiennent les valeurs prédéfinies.

Tableau 1. Calculateur score de menace
Champ	Description
Nom	Nom de la valeur de notation de la menace. Par exemple, calculateur du score de menace.
Description	Description de l’enregistrement du score de menace. Par exemple, calcule le score de menace en fonction de la somme pondérée des scores de critères prédéfinis.
Pondération globale (applicable au générateur de critères)	Ce champ n’est pas modifiable et affiche la pondération globale calculée par le système en fonction du poids correspondant aux critères activés.
Critères de notation	Indique les critères de notation pour un observable. Voici les deux options disponibles pour définir les critères de score de menace : Générateur de critères : Utilisez cette option pour ajouter, modifier ou supprimer, activer et désactiver les critères qui contribuent au calcul du score de menace et vous assurer que la pondération agrégée totale est de 100 %. Utiliser un script (avancé) : la fonctionnalité de scripting est une fonctionnalité avancée permettant de créer un script personnalisé qui doit renvoyer le score de menace dans une plage comprise entre 0 et 100.

Vous trouverez ci-dessous les options disponibles pour définir les critères de notation :

Générateur de critères
Utiliser le script (avancé)

Voici la procédure utilisée pour utiliser le générateur de critères :

Remarque :

Vous pouvez éditer ou modifier les critères existants ou en ajouter un nouveau.

Sélectionnez le type de critère.
Par exemple, ajoutez un nouveau critère.
Sélectionnez la table pour laquelle les critères sont configurés.
La liste des valeurs de la liste déroulante est Observables, Acteur de menace, Campagne, Emplacement, Identité, Vulnérabilité, Événement de menace, Incident de sécurité et Agrégats. Lorsque vous sélectionnez l’une de ces options dans la liste déroulante, une condition est appliquée. Cette condition garantit que seuls les enregistrements associés à la valeur sélectionnée sont affichés ou calculés.
Remarque :
- S’il s’agit d’un observable sélectionné, la condition sera appliquée à l’enregistrement d’observable pour lequel le score de menace sera calculé. Si la table sélectionnée n’est pas un observable, la condition sera appliquée uniquement si les enregistrements sont liés à l’observable pour lequel le score de menace sera calculé.
- Une table d’agrégats supplémentaire est ajoutée pour définir les scores en fonction du nombre de relations associées aux observables. Par exemple, sélectionnez Table : agrégats et la valeur de champ : Acteurs de menace Ensuite, pour un observable, s’il y a plus de deux acteurs de menace, définissez le score et appliquez les conditions le cas échéant.
- Par exemple, si vous souhaitez définir un score pour un ou plusieurs acteurs de menace associés à un observable, sélectionnez le champ Nombre d’acteurs de menace, définissez le score souhaité et appliquez les conditions, le cas échéant.
Sélectionnez le champ dans la table sélectionnée ci-dessus.
Saisissez la pondération des critères entre 0 et 100.
La pondération globale de tous les critères doit être de 100 %.
Saisissez le nom et la description brève des critères.
Cochez la case Activer les critères de notation pour activer les critères de notation.
Définissez les conditions et définissez le score pour les conditions.
Vous pouvez également ajouter de nouvelles conditions à l’aide du bouton Nouvelle condition et supprimer la condition à l’aide de l’icône Supprimer les critères .
Cliquez sur Ajouter pour ajouter les critères configurés.

Voici un exemple de définition d’une condition pour un score de menace :

Table: Vulnerability

Field: CVSS2.0

Weightage: 30%

Condition-1: CVSS2.0 > 7, Score = 80

Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50

Condition-3: CVSS2.0 < 4, Score = 10

Cliquez sur le bouton Recalculer l’historique pour recalculer le score de menace.
Si des modifications sont apportées à la règle de notation de la menace, vous devez réappliquer la règle de notation aux observables dont le score de menace a déjà été calculé dans le passé. Utilisez le bouton Recalculer l’historique pour déclencher la tâche de recalcul.
Remarque :
- Un message de confirmation s’affiche pour vous permettre d’effectuer l’action. Il s’agit d’un processus de longue durée qui s’exécute en arrière-plan. Vous ne serez pas en mesure d’apporter des changements tant que le processus n’est pas terminé. Voulez-vous vraiment exécuter cette action ?
- Pour tous les événements de mise à jour qui sont générés pour les observables dans le cadre de Recalculer l’historique, le traitement des webhooks est désactivé. Si vous souhaitez activer cette propriété système, webhook_ignore_threat_score_reapply.
Cliquez sur OK.
Important :
Cette action déclenche une tâche de longue durée et le système ne vous permet pas d’apporter d’autres modifications à la règle de notation de menace tant que la tâche n’est pas terminée. Pour plus d’informations sur la configuration de la tâche en arrière-plan, consultez Configuration du cadre de travail en arrière-plan de Réponse aux vulnérabilités.

Voici le script d’utilisation (avancé) : Utilisez ce script pour créer un script personnalisé qui doit renvoyer le score de menace dans une plage comprise entre 0 et 100.

Le champ de script avancé est renseigné automatiquement avec une fonction qui prend les paramètres actuels et les agrégats , et cette fonction doit renvoyer le score de menace dans la plage comprise entre 0 et 100.

Ici, le paramètre actuel est l’objet GlideRecord de l’entité (observable) pour laquelle le score de menace est calculé. Pour les observables, cela correspond au GlideRecord de la table sn_sec_tisc_observable. Le paramètre d’agrégats est un objet GlideRecord de l’enregistrement de la table sn_sec_tisc_aggregates qui est utilisé pour accéder aux nombres d’enregistrements des différents types d’enregistrements associés (tels que les campagnes ou les identités) à l’entité principale (observable).

Exemple d’exemple de script dans l’option avancée :
```
answer = (function threatScoreCalculator(current, aggregates) {
 
    // return the threat score in the range of 0-100
    var threatSeverity = current.getValue("threat_severity");
    if(threatSeverity == "high")
	    return 80;
    else {
        let associatedCampaigns = aggregates.getValue("num_of_campaigns");
        if(associatedCampaigns > 0)
            return 50;
    }
    return 0;
 
})(current, aggregates);
```
À titre d’information, vous trouverez ci-dessous la capture d’écran qui vous montre le processus de configuration de la tâche en arrière-plan du score de menace.