Définissez le score de menace pour les enregistrements d’observables qui sont générés en fonction des paramètres définis par l’utilisateur. Le système de base est doté d’une règle de notation des menaces, qui peut être personnalisée et activée en conséquence.
Avant de commencer
Rôle requis : sn_sec_tisc.admin
Remarque : Par défaut, la règle de notation de la menace est inactive. Vous devez activer la règle pour voir le score des observables.
Procédure
-
Accédez à la .
-
Accéder à .
La page Calculateur du score de menace s’affiche.
Important :
- Dans l’application, dans le système de base, une règle de notation est mise en service pour que les utilisateurs puissent afficher, modifier ou modifier le score de menace, mais l’utilisateur ne peut pas créer une nouvelle règle ou supprimer la règle de notation de menace prédéfinie.
- Les changements s’appliqueront à tous les nouveaux observables ou mises à jour des observables à partir de ce moment-là. Pour reformuler les scores historiques, ils doivent utiliser l’option recalculer.
-
Sur le formulaire, les champs suivants contiennent les valeurs prédéfinies.
Tableau 1. Calculateur score de menace
| Champ |
Description |
| Nom |
Nom de la valeur de notation de la menace. Par exemple, Calculateur de score de menace. |
| Description |
Description de l’enregistrement du score de menace. Par exemple, calcule le score de menace en fonction de la somme pondérée des scores de critères prédéfinis. |
| Pondération globale (applicable au générateur de critères) |
Ce champ n’est pas modifiable et affiche la pondération globale calculée par le système en fonction du poids correspondant aux critères activés. |
| Critères de notation |
Indique les critères de notation pour un observable. Voici les deux options disponibles pour définir les critères de notation de menace :
- Générateur de critères :
Utilisez cette option pour ajouter, modifier ou supprimer, activer et désactiver les critères qui contribuent au calcul du score de menace et vous assurer que la pondération agrégée totale est de 100 %.
- Utiliser un script (avancé) : la fonctionnalité de scripting est une fonctionnalité avancée permettant de créer un script personnalisé qui doit renvoyer le score de menace dans une plage comprise entre 0 et 100.
|
Vous trouverez ci-dessous les options disponibles pour définir les
critères de notation :
- Générateur de critères
- Utiliser le script (avancé)
Voici la procédure pour le générateur de critères :
Remarque : Vous pouvez modifier les critères existants ou en ajouter un nouveau.
-
Sélectionnez le type de critères.
Par exemple, ajoutez un nouveau critère.
-
Sélectionnez la table pour laquelle les critères sont configurés.
La liste des valeurs de la liste déroulante est la suivante : Observables, Acteur de menace, Campagne, Emplacement, Identité, Vulnérabilité, Événement de menace, Incident de sécurité et Agrégats. Lorsque vous sélectionnez l’une de ces options dans la liste déroulante, une condition est appliquée. Cette condition garantit que seuls les enregistrements associés à la valeur sélectionnée sont affichés ou calculés.
Remarque :
- Si l’observable est sélectionné, la condition sera appliquée à l’enregistrement observable pour lequel le score de menace sera calculé. Si la table sélectionnée n’est pas un observable, la condition sera appliquée uniquement si les enregistrements sont liés à l’observable pour lequel le score de menace sera calculé.
- Une table d’agrégats supplémentaire est ajoutée pour définir les scores en fonction du nombre de relations associées aux observables. Par exemple, sélectionnez la table : agrégats et la valeur de champ : acteurs de menace, puis pour un observable, s’il y a plus de deux acteurs de menace, définissez le score et appliquez les conditions le cas échéant.
- Par exemple, si vous souhaitez définir un score pour un ou plusieurs acteurs de menace associés à un observable, sélectionnez le champ Nombre d’acteurs de menace et définissez le score souhaité et appliquez les conditions le cas échéant.
-
Sélectionnez le champ dans la table sélectionnée ci-dessus.
-
Entrez la pondération des critères entre 0 et 100.
La pondération globale de tous les critères doit être de 100 %.
-
Saisissez le nom et la description brève des critères.
-
Cochez la case Activer les critères de notation pour activer les critères de notation.
-
Définissez les conditions et définissez le score pour les conditions.
-
Vous pouvez également ajouter de nouvelles conditions à l’aide du bouton Nouvelle condition et supprimer la condition à l’aide de l’icône Supprimer les critères .
-
Cliquez sur Ajouter pour ajouter les critères configurés.
Voici un exemple de définition d’une condition pour un score de menace :
Table: Vulnerability
Field: CVSS2.0
Weightage: 30%
Condition-1: CVSS2.0 > 7, Score = 80
Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50
Condition-3: CVSS2.0 < 4, Score = 10
-
Cliquez sur le bouton Recalculer l’historique pour recalculer le score de menace.
Si des changements sont apportés à la règle de notation de menace, vous devez réappliquer la règle de notation aux observables dont le score de menace a déjà été calculé dans le passé. Utilisez le bouton
Recalculer l’historique pour déclencher la tâche de recalcul.
Remarque :
- Un message de confirmation s’affiche pour vous permettre d’effectuer l’action. Il s’agit d’un processus de longue durée qui s’exécute en arrière-plan. Vous ne serez pas en mesure d’apporter des changements tant que le processus n’est pas terminé. Voulez-vous vraiment exécuter cette action ?
- Pour tous les événements de mise à jour générés pour les observables dans le cadre de Recalculer l’historique, le traitement des webhooks est désactivé. Si vous souhaitez l’activer, modifiez cette propriété système
webhook_ignore_threat_score_reapply.
-
Cliquez sur OK.
Le script Utiliser un script (avancé) est le suivant : Utilisez ce script pour créer un script personnalisé qui doit renvoyer le score de menace dans une plage comprise entre 0 et 100.
Le champ de script avancé est renseigné automatiquement avec une fonction qui prend les paramètres actuels et agrégés et cette fonction doit renvoyer le score de menace dans la plage comprise entre 0 et 100.
Ici, le paramètre actuel est l’objet GlideRecord de l’entité (observable) pour laquelle le score de menace est calculé. Pour les observables, cela correspond au GlideRecord pour la table sn_sec_tisc_observable. Le paramètre des agrégats est un objet GlideRecord de l’enregistrement de la table sn_sec_tisc_aggregates qui est utilisé pour accéder aux nombres d’enregistrements des différents types d’enregistrements associés (tels que les campagnes ou les identités) à l’entité principale (observable).
Exemple de script dans l’option avancée :
answer = (function threatScoreCalculator(current, aggregates) {
// return the threat score in the range of 0-100
var threatSeverity = current.getValue("threat_severity");
if(threatSeverity == "high")
return 80;
else {
let associatedCampaigns = aggregates.getValue("num_of_campaigns");
if(associatedCampaigns > 0)
return 50;
}
return 0;
})(current, aggregates);
À titre de référence, vous trouverez ci-dessous la capture d’écran qui vous montre le processus de configuration de la tâche en arrière-plan du score de menace.
