Définissez le score de menace pour les enregistrements d’observables qui sont générés en fonction des paramètres définis par l’utilisateur. Le système de base est doté d’une règle de notation des menaces, qui peut être personnalisée et activée en conséquence.
Avant de commencer
Rôle requis : sn_sec_tisc.admin
Remarque : Par défaut, la règle de notation des menaces sera inactive, vous devez activer la règle pour voir la notation des observables.
Procédure
-
Accédez à la .
-
Accéder à .
La page Calculateur de score de menace s’affiche.
Important :
- Dans l’application, au sein du système de base, il existe une règle de notation qui est mise en service pour permettre aux utilisateurs d’afficher, de modifier ou de modifier le score de menace, mais l’utilisateur ne peut ni créer une nouvelle règle ni supprimer la règle de notation de menace prédéfinie.
- Les changements s’appliqueront à tous les nouveaux observables ou mises à jour des observables à partir de ce moment-là. Pour retraiter les scores historiques, ils doivent utiliser l’option recalculer.
-
Dans le formulaire, les champs suivants contiennent les valeurs prédéfinies.
Tableau 1. Calculateur score de menace
| Champ |
Description |
| Nom |
Nom de la valeur de score de menace. Par exemple, Calculateur de score de menace. |
| Description |
Description de l’enregistrement du score de menace. Par exemple, calcule le score de menace en fonction de la somme pondérée des scores de critères prédéfinis. |
| Pondération globale (applicable au générateur de critères) |
Ce champ n’est pas modifiable et affiche la pondération globale calculée par le système en fonction du poids correspondant aux critères activés. |
| Critères de notation |
Indique les critères de notation pour un observable. Les deux options disponibles pour définir les critères de score de menace sont les suivantes :
- Générateur de critères :
Utilisez cette option pour ajouter, modifier ou supprimer, activer et désactiver les critères qui contribuent au calcul du score de menace et vous assurer que la pondération totale agrégée est égale à 100 %.
- Utiliser script (avancé) : la fonctionnalité de scripting est une fonctionnalité avancée permettant de créer un script personnalisé qui doit renvoyer le score de menace dans une plage comprise entre 0 et 100.
|
Vous trouverez ci-dessous les options disponibles pour définir les
critères de notation :
- Générateur de critères
- Utiliser le script (avancé)
Voici la procédure pour le générateur de critères :
Remarque : Vous pouvez modifier les critères existants ou en ajouter un nouveau.
-
Sélectionnez le type de critères.
Par exemple, ajoutez un nouveau critère.
-
Sélectionnez la table pour laquelle les critères sont configurés.
La liste des valeurs de la liste déroulante est Observables, Acteur de menace, Campagne, Emplacement, Identité, Vulnérabilité, Événement de menace, Incident de sécurité et Agrégats. Lorsque vous sélectionnez l’une de ces options dans la liste déroulante, une condition est appliquée. Cette condition garantit que seuls les enregistrements associés à la valeur sélectionnée sont affichés ou calculés.
Remarque :
- Si l’observable est sélectionné, la condition sera appliquée à l’enregistrement d’observable pour lequel le score de menace sera calculé. Si la table sélectionnée n’est pas observable, la condition ne sera appliquée que si les enregistrements sont associés à l’observable pour lequel le score de menace sera calculé.
- Une table Agrégats supplémentaire est ajoutée pour définir les scores en fonction du nombre de relations associées aux observables. Par exemple, sélectionnez la table : Agrégats et la valeur de champ : Acteurs de menace Ensuite, pour un observable, s’il y a plus de deux acteurs de menace, définissez le score et appliquez les conditions le cas échéant.
- Par exemple, si vous souhaitez définir un score pour un ou plusieurs acteurs de menace associés à un observable, sélectionnez le champ Nombre d’acteurs de menace, définissez le score souhaité et appliquez les conditions le cas échéant.
-
Sélectionnez le champ dans la table sélectionnée ci-dessus.
-
Entrez la pondération des critères entre 0 et 100.
La pondération globale de tous les critères doit être de 100 %.
-
Entrez le nom et une brève description des critères.
-
Cochez la case Activer les critères de notation pour activer les critères de notation.
-
Définissez les conditions et définissez le score pour les conditions.
-
Vous pouvez également ajouter de nouvelles conditions à l’aide du bouton Nouvelle condition et supprimer la condition à l’aide de l’icône Supprimer les critères .
-
Cliquez sur Ajouter pour ajouter les critères configurés.
Voici un exemple de définition d’une condition pour un score de menace :
Table: Vulnerability
Field: CVSS2.0
Weightage: 30%
Condition-1: CVSS2.0 > 7, Score = 80
Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50
Condition-3: CVSS2.0 < 4, Score = 10
-
Cliquez sur le bouton Recalculer l’historique pour recalculer le score de menace.
Si des modifications sont apportées à la règle de définition du score de menace, vous devez réappliquer la règle de notation aux observables pour lesquels le score de menace a déjà été calculé dans le passé. Utilisez le bouton
Recalculer l’historique pour déclencher la tâche de recalcul.
Remarque :
- Un message de confirmation s’affiche pour vous permettre d’effectuer l’action. Il s’agit d’un processus de longue durée qui s’exécute en arrière-plan. Vous ne serez pas en mesure d’apporter des changements tant que le processus n’est pas terminé. Voulez-vous vraiment exécuter cette action ?
- Pour tous les événements de mise à jour qui sont générés pour les observables dans le cadre de Recalculer l’historique, le traitement des webhooks est désactivé et, si vous souhaitez l’activer, modifiez cette propriété système
webhook_ignore_threat_score_reapply.
-
Cliquez sur OK.
Le script Utiliser le script (avancé) est le suivant : utilisez ce script pour créer un script personnalisé qui doit renvoyer le score de menace dans une plage comprise entre 0 et 100.
Le champ de script avancé est renseigné automatiquement avec une fonction qui prend les paramètres actuels et agrégés , et cette fonction doit renvoyer le score de menace dans la plage de 0 à 100.
Ici, le paramètre actuel est l’objet GlideRecord de l’entité (observable) pour laquelle le score de menace est calculé. Pour les observables, il correspond au GlideRecord de la table sn_sec_tisc_observable. Le paramètre aggregates est un objet GlideRecord de l’enregistrement de la table sn_sec_tisc_aggregates qui est utilisé pour accéder aux nombres d’enregistrements des différents types d’enregistrements associés (tels que les campagnes ou les identités) à l’entité principale (observable).
Exemple de script dans l’option avancée :
answer = (function threatScoreCalculator(current, aggregates) {
// return the threat score in the range of 0-100
var threatSeverity = current.getValue("threat_severity");
if(threatSeverity == "high")
return 80;
else {
let associatedCampaigns = aggregates.getValue("num_of_campaigns");
if(associatedCampaigns > 0)
return 50;
}
return 0;
})(current, aggregates);
À titre de référence, vous trouverez ci-dessous la capture d’écran qui vous montre le processus de configuration de la tâche en arrière-plan du score de menace.
