Definieren Sie den Bedrohungsbewertungsrechner

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Definieren Sie die Bedrohungsbewertung für die Datensätze erkennbarer Elemente, die basierend auf den anwenderdefinierten Parametern generiert werden. Das Basissystem wird mit einer Regel zur Bewertung von Bedrohungen bereitgestellt, die entsprechend angepasst und aktiviert werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Hinweis:
    Standardmäßig ist die Regel zur Bedrohungsbewertung inaktiv. Sie müssen die Regel aktivieren, um die Bewertung der erkennbaren Elemente anzuzeigen.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Administration.
    2. Gehe zu Regel der Bedrohungsbewertung.
      Die Seite „Bedrohungsbewertungsrechner“ wird angezeigt.
      Wichtig:
      • In der Anwendung gibt es im Basissystem eine Bewertungsregel, die für Benutzer zum Anzeigen, Bearbeiten oder Ändern der Bedrohungsbewertung bereitgestellt wird. Der Benutzer kann jedoch weder eine neue Regel erstellen noch die vordefinierte Regel zur Bewertung von Bedrohungen löschen.
      • Die Änderungen gelten für alle neuen erkennbaren Elemente oder Updates der erkennbaren Elemente ab diesem Zeitpunkt. Um historische Punktzahlen neu zu formulieren, sollte die Option „Neu berechnen“ verwendet werden.
    3. Im Formular enthalten die folgenden Felder die vordefinierten Werte.
      Tabelle : 1. Bedrohungsbewertungsrechner
      Feld Beschreibung
      Name Name des Werts für die Bedrohungsbewertung. Beispiel: Bedrohungsbewertungsrechner.
      Beschreibung Beschreibung des Bedrohungsbewertungsdatensatzes. Beispiel: Berechnet die Bedrohungsbewertung basierend auf der gewichteten Summe der Punktzahlen vordefinierter Kriterien.
      Gesamtgewichtung (gilt für den Kriteriengenerator) Dieses Feld kann nicht bearbeitet werden und zeigt die vom System berechnete Gesamtgewichtung basierend auf der Gewichtung an, die den aktivierten Kriterien entspricht.
      Bewertungskriterien Gibt die Bewertungskriterien für ein erkennbares Element an.

      Im Folgenden sind die beiden verfügbaren Optionen zum Definieren der Kriterien für die Bedrohungsbewertung aufgeführt:

      • Kriteriengenerator:

        Verwenden Sie diese Option, um Kriterien hinzuzufügen, zu bearbeiten oder zu entfernen sowie Kriterien zu aktivieren und zu deaktivieren, die zur Berechnung der Bedrohungsbewertung beitragen, und stellen Sie sicher, dass die aggregierte Gesamtgewichtung 100 % beträgt.

      • Skript verwenden (erweitert): Die Skripterstellungsfunktion ist eine erweiterte Funktion zum Erstellen eines anwenderdefinierten Skripts, das die Bedrohungsbewertung im Bereich von 0 bis 100 zurückgeben sollte.
      Nachfolgend sind die verfügbaren Optionen zum Definieren der Bewertungskriterienaufgeführt:
      • Kriteriengenerator
      • Skript verwenden (erweitert)
      Im Folgenden finden Sie das Verfahren für den Kriteriengenerator:
      Hinweis:
      Sie können die vorhandenen Kriterien bearbeiten oder ändern oder neue Kriterien hinzufügen.
      1. Wählen Sie den Typ der Kriterien aus.
        Beispiel: Neues Kriterium hinzufügen.
      2. Wählen Sie die Tabelle aus, für die die Kriterien konfiguriert sind.
        Die Liste der Werte in der Dropdown-Liste lautet „Erkennbare Elemente“, „Bedrohungsakteur“, „Kampagne“, „Standort“, „Identität“, „Schwachstelle“, „Bedrohungsereignis“, „Security Incident“ und „Aggregate“. Wenn Sie eine dieser Optionen aus der Dropdown-Liste auswählen, wird eine Bedingung angewendet. Diese Bedingung stellt sicher, dass nur Datensätze, die sich auf den ausgewählten Wert beziehen, angezeigt oder berechnet werden.
        Hinweis:
        • Wenn Erkennbares Element ausgewählt ist, wird die Bedingung auf den Datensatz des erkennbaren Elements angewendet, für den die Bedrohungsbewertung berechnet wird. Wenn die ausgewählte Tabelle kein erkennbares Element ist, wird die Bedingung nur angewendet, wenn sich die Datensätze auf das erkennbare Element beziehen, für das die Bedrohungsbewertung berechnet wird.
        • Eine zusätzliche Tabelle „Aggregates“ wird hinzugefügt, um die Punktzahlen basierend auf der Anzahl der Beziehungen zu definieren, die den erkennbaren Elementen zugeordnet sind. Wählen Sie beispielsweise Tabelle: Aggregate und den Feldwert Bedrohungsakteure Dann für ein erkennbares Element aus. Wenn mehr als zwei Bedrohungsakteure vorhanden sind, legen Sie die Punktzahl fest, und wenden Sie die Bedingungen entsprechend an.
        • Wenn Sie beispielsweise eine Punktzahl für einen oder mehrere Bedrohungsakteure festlegen möchten, die einem erkennbaren Element zugeordnet sind, wählen Sie das Feld No of Threat Actors (Anzahl der Bedrohungsakteure) aus, legen Sie die gewünschte Punktzahl fest, und wenden Sie die Bedingungen entsprechend an.
      3. Wählen Sie das Feld aus der oben ausgewählten Tabelle aus.
      4. Geben Sie die Gewichtung der Kriterien zwischen 0 und 100 ein.
        Die Gesamtgewichtung aller Kriterien muss 100 % betragen.
      5. Geben Sie den Namen und eine Kurzbeschreibung der Kriterien ein.
      6. Aktivieren Sie das Kontrollkästchen Bewertungskriterien aktivieren, um die Bewertungskriterien zu aktivieren.
      7. Definieren Sie die Bedingungen, und legen Sie die Punktzahl für die Bedingungen fest.
      8. Sie können auch neue Bedingungen mit der Schaltfläche Neue Bedingung hinzufügen und die Bedingung mit dem Symbol Kriterien löschen löschen.
      9. Klicken Sie auf Hinzufügen, um die konfigurierten Kriterien hinzuzufügen.
      Hier sehen Sie ein Beispiel für das Definieren einer Bedingung für eine Bedrohungsbewertung: 
      Table: Vulnerability

Field: CVSS2.0

Weightage: 30%

Condition-1: CVSS2.0 > 7, Score = 80

Condition-2: CVSS2.0 > 4 AND CVSS2.0 < 7, Score = 50

Condition-3: CVSS2.0 < 4, Score = 10
    4. Klicken Sie auf die Schaltfläche Verlauf neu berechnen, um die Bedrohungsbewertung neu zu berechnen.
      Wenn sich die Bedrohungsbewertungsregel ändert, müssen Sie die Bewertungsregel erneut auf die erkennbaren Elemente anwenden, für die die Bedrohungsbewertung bereits in der Vergangenheit berechnet wurde. Verwenden Sie die Schaltfläche „Verlauf neu berechnen“, um den Neuberechnungsauftrag auszulösen.
      Hinweis:
      • Es wird eine Bestätigungsmeldung angezeigt, in der Sie die Aktion ausführen können. Dies ist ein Prozess mit langer Laufzeit, der im Hintergrund ausgeführt wird. Sie können bis zum Abschluss des Prozesses keine Änderungen vornehmen. Möchten Sie diese Aktion wirklich ausführen?
      • Für alle Aktualisierungsereignisse, die für erkennbare Elemente im Rahmen von „Verlauf neu berechnen“generiert werden, ist die Verarbeitung von Webhooks deaktiviert. Wenn Sie sie aktivieren möchten, ändern Sie die Systemeigenschaft webhook_ignore_threat_score_reapply.
    5. Klicken Sie auf OK.
      Wichtig:
      Diese Aktion löst einen Auftrag mit langer Ausführungszeit aus, und das System lässt bis zum Abschluss des Auftrags keine weiteren Änderungen an der Regel zur Bewertung von Bedrohungen zu. Weitere Informationen zur Konfiguration von Hintergrundaufträgen finden Sie unter Framework für Vulnerability Response-Hintergrundaufträge konfigurieren.

      Im Folgenden finden Sie das Skript „Skript verwenden (erweitert)“ : Verwenden Sie dieses Skript, um ein anwenderdefiniertes Skript zu erstellen, das die Bedrohungsbewertung im Bereich von 0 bis 100 zurückgibt.

      Das Feld „Erweitertes Skript“ wird automatisch mit einer Funktion ausgefüllt, die die Parameter „current“ und „aggregats“ übernimmt. Diese Funktion sollte die Bedrohungsbewertung im Bereich von 0 bis 100 zurückgeben.

      Hier ist der Parameter current das GlideRecord-Objekt der Entität (des erkennbaren Elements), für die die Bedrohungsbewertung berechnet wird. Für die erkennbaren Elemente entspricht sie dem GlideRecord für die Tabelle sn_sec_tisc_observable. Der Parameter „aggregats“ ist ein GlideRecord-Objekt des Tabellendatensatzes „sn_sec_tisc_aggregates“, das für den Zugriff auf die Datensatzanzahlen der verschiedenen zugeordneten Datensatztypen (z. B. Kampagnen oder Identitäten) für die Hauptentität (erkennbares Element) verwendet wird.

      Beispielbeispiel für das Skript in der erweiterten Option:

      answer = (function threatScoreCalculator(current, aggregates) {
 
    // return the threat score in the range of 0-100
    var threatSeverity = current.getValue("threat_severity");
    if(threatSeverity == "high")
	    return 80;
    else {
        let associatedCampaigns = aggregates.getValue("num_of_campaigns");
        if(associatedCampaigns > 0)
            return 50;
    }
    return 0;
 
})(current, aggregates);

      Zur Information sehen Sie unten einen Screenshot, der den Konfigurationsprozess des Hintergrundauftrags für die Bedrohungsbewertung zeigt.

      Hintergrundauftragskonfiguration für eine Regel zur Bewertung von Bedrohungen