Hodnocení rizika v LogMan.io Korelátoru¶
LogMan.io Korelátor zahrnuje nativní podporu pro hodnocení rizika, které vám umožňuje přiřadit číselné hodnoty závažnosti detekcím a následně dimenzím, které jsou vyšetřovány, jako jsou uživatelé, zařízení, IP adresy atd. Toto hodnocení rizika může být následně použito v dalším analýze, prioritizaci, upozorňování nebo logice reakce.
Hodnocení rizika v LogMan.io jsou hodnoty s plovoucí desetinnou čárkou, např. 30.0. Doporučená škála je od 0.0 do 100.0, kde 20.0 představuje nízké hodnocení rizika, 50.0 střední hodnocení rizika a 80.0 vysoké hodnocení rizika.
Co je hodnocení rizika?¶
Hodnocení rizika je číselná hodnota bodu, která představuje, jak závažná nebo dopadná je detekce. Poskytuje standardizovaný způsob, jak:
- Prioritizovat výstupy spouštěčů (komplexní události, upozornění)
- Informovat automatizované reakční systémy
- Pomoci analytikům triážovat detekce s vysokým rizikem jako první
- Agregovat riziko napříč entitami, jako jsou uživatelé, IP adresy nebo aktiva
Proč používat hodnocení rizika?¶
Hodnocení rizika zlepšuje bezpečnostní operace tím, že:
- Snižuje šum v prostředích s vysokým objemem
- Prioritizuje kritická upozornění
- Umožňuje automatizaci reakcí na základě rizika
- Podporuje sledování rizika entit v čase
Shrnutí¶
| Komponenta | Zdroj | Vliv na konečné hodnocení rizika |
|---|---|---|
| Základní hodnocení rizika | Korelace define |
Nastavuje počáteční hodnotu |
| Relativní hodnocení rizika | ruleid2riskscore |
Přidává organizační zarovnání k hodnocení rizika |
| Hodnocení rizika na základě IOC | ioc vyhledávání |
Přidává kontextové riziko na základě dimension (v sekci evaluate) |
Hodnocení rizika v LogMan.io je flexibilní a rozšiřitelné, navrženo tak, aby se přizpůsobilo potřebám organizace, zatímco zůstává jednoduché na konfiguraci a interpretaci.
Pro podrobnosti o implementaci a příklady se podívejte na naši dokumentaci o korelaci.
Kde je definováno hodnocení rizika?¶
Základní hodnocení rizika je definováno v sekci define pravidla korelace:
define:
name: "Počet phishingu/spamu podle zdrojové IP"
...
risk_score: 30.0
Tato hodnota je výchozí závažnost přiřazená korelaci, když je spuštěna.
Pokud není v sekci define definována žádná závažnost, je automaticky přiřazena na základě specifikovaného risk_score.
| Hodnocení rizika | Závažnost |
|---|---|
| > 80 | nejvyšší |
| > 60 | vysoká |
| > 40 | střední |
| > 20 | nízká |
| > 0 | nejnižší |
Relativní hodnocení rizika z vyhledávání¶
Nájemci mohou přidat své organizační zarovnání k hodnocení rizika pomocí relativního hodnocení rizika dynamicky z vyhledávání.
ruleid2riskscore Vyhledávání¶
Chcete-li přidat relativní hodnocení rizika k základnímu hodnocení rizika pravidla, definujte položku vyhledávání ruleid2riskscore pro pravidlo:
key score
/Correlations/Fortinet/Fortimail/Phishing Count By Source IP.yaml 10.0
Když je korelace spuštěna, tato hodnota bude přidána k definovanému základnímu hodnocení pravidla.
Příklad:¶
Pokud má pravidlo risk_score: 30.0 a vyhledávání definuje další score: 10.0, pak konečné vypočtené hodnocení rizika je:
30.0 (definováno) + 10.0 (vyhledávání) = 40.0
Příspěvek rizika z IOC¶
Uživatelé mohou dále zvyšovat hodnocení rizika přidáním hodnot z hrozeb do vyhledávání ve skupině nazvané ioc. Tyto hodnoty obvykle zahrnují IP adresy s vysokým rizikem, domény, názvy hostitelů atd.
Každý záznam může definovat vlastní ioc skóre:
key risk.score
203.0.113.66 15.0
key risk.score
phishing-domain.example.com 25.0
Pokud je hodnocení rizika v vyhledávání chybějící, výchozí hodnota je 10.0.
Pokud je IOC z tohoto seznamu součástí dimenzí detekované události (definováno v sekci evaluate), jeho skóre je také přidáno k konečnému hodnocení rizika.
Vzorec pro celkové hodnocení rizika:¶
total_risk_score = base_score (from rule) + score (from ruleid2riskscore) + score (from ioc lookup)
Příklad:¶
Korelátor má:
- V definici, risk_score: 30.0
- Relativní hodnocení rizika záznam pro dané pravidlo: score: 10.0
- IOC záznam: score: 25.0
30.0 + 10.0 + 25.0 = 65.0
Tato hodnota leží mezi středním (50.0) a vysokým (80.0) hodnocením rizika.
Hodnocení rizika je předáno do správy upozornění prostřednictvím signálů a v případě schématu ECS je součástí spuštěné události:
event.risk_score: 65.0
Pro více informací o hodnocení rizika ve schématu ECS se podívejte na Event Fields.