새 위험 점수 계산기 규칙 정의

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 4분

    • 새로운 위험 점수 계산기를 사용하여 보안 인시던트에 대한 투명한 인텔리전스 점수 산정을 제공하는 사용자 정의 기준에 따라 보안 인시던트의 위험 점수를 정의하고 계산하십시오. 위험 점수는 보안 인시던트 레코드에 대해 자동으로 계산됩니다.

    시작하기 전에

    필요한 역할: sn_si.admin.

    시스템 속성을 true로 설정하여 sn_si_aw.activate_new_risk_score_calculator 새 위험 점수 계산기를 활성화합니다.

    이 태스크 정보

    사용자 정의 매개변수를 기반으로 생성되는 보안 인시던트 기록에 대한 위험 점수를 정의합니다. 기본 시스템에는 하나의 위험 점수 규칙이 프로비저닝되어 있으며, 그에 따라 이를 사용자 지정하고 활성화할 수 있습니다.
    주:
    • 기본적으로 새 위험 점수 계산기 규칙은 비활성 상태이며, 보안 인시던트의 위험 점수를 보려면 규칙을 사용하도록 설정해야 합니다.
    • 기본 시스템에서 사용할 수 있는 테이블 이외의 추가 관련 테이블에 대한 위험 점수를 계산하려면 다음을 추가 관련 테이블에 대한 위험 점수 계산기참조하십시오.

    프로시저

    1. 다음으로 이동 작업 공간 > 보안 인시던트 응답 Workspace > 관리.
    2. 다음으로 이동 규칙 엔진 > 위험 점수 계산기 규칙.
      위험 점수 계산기 규칙 페이지가 표시됩니다.
      주:
      • 기본 시스템의 일부로, 위험 점수를 보거나, 편집하거나, 수정할 수 있는 미리 정의된 위험 점수 규칙 템플릿이 하나 제공됩니다. 그러나 미리 정의된 위험 점수 규칙 템플릿을 생성하거나 삭제할 수는 없습니다.
      • 변경한 내용은 새 보안 인시던트 또는 기존 보안 인시던트에 대한 업데이트에 적용됩니다. 과거 점수를 다시 작성하려면 점수 다시 계산 동작을 사용합니다.
    3. 위험 점수 계산기 규칙을 선택합니다.
    4. 양식에서 필드를 채웁니다.
      필드 설명
      이름 위험 점수 값의 이름입니다. 위험 점수 계산기를 예로 들 수 있습니다.
      전체 가중치(기준 작성기에서 적용 가능) 위험 규칙 내에서 이 필드의 가중치입니다. 이 필드는 편집할 수 없으며 활성화된 기준에 해당하는 가중치를 기반으로 시스템에서 계산한 전체 가중치를 표시합니다. 전체 가중치는 항상 100%여야 합니다.
      설명 위험 점수 기록에 대한 설명입니다. 예를 들어, 미리 정의된 기준 점수의 가중치 합계를 기준으로 위험 점수를 계산합니다.
      점수 산정 기준 보안 인시던트에 대한 점수 산정 기준을 나타냅니다.

      다음 옵션을 사용하여 위험 점수 산정 기준을 정의할 수 있습니다.

      • 기준 작성기:

        이 옵션을 사용하여 위험 점수 계산에 기여하는 기준을 추가, 편집 또는 제거하고, 활성화 및 비활성화하고 총 집계 가중치가 100%인지 확인합니다.

      • 스크립트 사용(고급): 스크립팅 기능은 0-100 범위 내에서 위험 점수를 반환해야 하는 사용자 지정 스크립트를 작성하는 고급 기능입니다.
    5. 기준 작성기를 사용하여 점수 산정 기준을 정의하려면 다음 단계를 수행합니다.
      주:
      기존 기준을 편집 또는 수정하거나 새 기준을 추가할 수 있습니다.
      1. 새 기준을 추가하려면 +새 기준 작업을 선택합니다.
      2. 기준을 설정할 테이블을 선택합니다.
        주:
        • 선택한 테이블이 보안 인시던트인 경우 위험 점수가 계산되는 보안 인시던트 기록에 조건이 적용됩니다. 선택한 테이블이 보안 인시던트가 아닌 경우 기록이 위험 점수가 계산되는 보안 인시던트와 관련된 경우에만 조건이 적용됩니다.
        • 보안 인시던트와 연결된 관계 수를 기준으로 점수를 정의하기 위해 집계 유형이 추가되었습니다.
      3. 선택한 테이블의 유형 기준을 선택합니다.
        Type 값은 선택한 테이블에 따라 Field 또는 Aggregate 가 될 수 있습니다.
      4. 선택한 테이블의 필드 기준을 선택합니다.
        유형 값을 필드로 선택한 경우 필드 기준은 테이블과 관련된 필드 값을 표시합니다. 유형 값을 집계로 선택한 경우 필드 기준에는 테이블과 관련된 집계 값이 표시됩니다.
        주:
        집계 유형은 카운트 값만 지원합니다.

        예를 들어 테이블 기준을 보안 인시던트로 선택하면 유형 기준에 필드 옵션만 표시됩니다. 필드 기준에는 테이블과 관련된 모든 필드 값(심각도, 활성 등)이 표시됩니다. 마찬가지로 테이블 기준을 영향을 받는 사용자로 선택하면 유형 기준에 필드집계 옵션이 모두 표시됩니다. 유형을 집계로 선택하면 필드 기준에 테이블과 관련된 집계 값( 개수)이 표시됩니다.

      5. 0-100 사이의 기준 가중치 를 입력합니다.
        모든 기준의 전체 가중치는 100%여야 합니다.
      6. 기준의 이름과 간단한 설명을 입력합니다.
      7. 점수 산 정 기준을 사용하려면 점수 산정 기준 사용 확인란을 선택합니다.
      8. 조건을 정의하고 조건에 대한 점수를 설정합니다.
      9. 새 조건 옵션을 사용하여 새 조건을 추가하고 기준 삭제 아이콘을 사용하여 기존 조건을 삭제할 수도 있습니다.
      10. Add(추가)를 선택하여 구성된 기준을 추가합니다.
        그림 1. 기준 작성기를 사용한 점수 산정 기준
        기준 작성기를 사용한 점수 산정 기준
    6. 위험 점수를 다시 계산하려면 점수 다시 계산 옵션을 선택합니다.

      위험 점수 규칙이 변경된 경우를 예로 들 수 있습니다. 이 경우 과거에 이미 계산된 위험 점수로 점수 산정 규칙을 보안 인시던트에 다시 적용해야 합니다. 점수 재계산 작업을 사용하여 재계산 작업을 트리거합니다.

    7. 확인을 선택합니다.
      주:
      이 작업을 트리거하면 프로세스가 백그라운드에서 실행되며 완료하는 데 몇 분 정도 걸립니다. 완료될 때까지 변경할 수 없습니다.
    8. 스크립트 사용(고급) 옵션을 사용하여 점수 산정 기준을 정의하려면 다음 단계를 수행합니다.
      1. 이 미리 정의된 스크립트를 사용하여 0-100 범위 내에서 위험 점수를 반환해야 하는 사용자 지정 스크립트를 빌드합니다.
        고급 스크립트 필드는 매개변수를 현재 상태로 사용하는 함수로 자동으로 채워지며 이 함수는 0-100 범위의 위험 점수를 반환해야 합니다.
        그림 2. 스크립트를 사용한 점수 산정 기준(고급) 옵션
        스크립트 고급 옵션 샘플 코드

        여기서 현재 매개변수는 위험 점수가 계산되는 엔터티(보안 인시던트)의 GlideRecord 객체입니다. 보안 인시던트의 경우 sn_si_incident 테이블의 GlideRecord에 해당합니다.

    9. 위험 점수 계산기를 비활성화하려면 비활성화를 선택합니다.
    10. 저장을 선택합니다.