实体风险评分
Elastic Stack 无服务器安全
实体风险评分是一项高级 Elastic Security 分析功能,可帮助安全分析师检测实体风险态势的变化、搜寻新威胁并确定事件响应的优先级。
实体风险评分使您可以监视环境中主机、用户和服务的风险评分变化。 生成高级评分分析时,风险评分引擎会利用来自其端到端 XDR 用例(例如 SIEM、云和端点)的威胁。 它利用 Elastic SIEM 检测引擎从过去 30 天生成主机、用户和服务风险评分。
它还会按周期性间隔生成风险评分,并允许轻松加入和管理。 该引擎旨在考虑来自所有 Elastic Security 用例的风险,并允许您自定义和控制风险的计算方式和时间。
实体风险评分由以下风险输入确定
| 风险输入 | 存储位置 |
|---|---|
| 警报 | .alerts-security.alerts-<space-id> 索引别名 |
| 资产重要性级别 | .asset-criticality.asset-criticality-<space-id> 索引别名 |
生成的实体风险评分存储在 risk-score.risk-score-<space-id> 数据流别名中,每个实体的最新评分存储在 risk-score.risk-score-latest-<space-id> 中。
没有警报或只有“已关闭”警报的实体不会被分配风险评分。
风险评分引擎每小时运行一次,以聚合过去 30 天的“打开”和“已确认”警报。 对于每个实体,该引擎最多处理 10,000 个警报。
注意当打开风险引擎时,您还可以选择在风险评分计算中包含“已关闭”警报。
该引擎按
host.name、user.name或service.name对警报进行分组,并聚合各个警报风险评分 (kibana.alert.risk_score),以便具有较高风险评分的警报比具有较低风险评分的警报贡献更大。 生成的聚合风险评分将分配给实体风险摘要中的 警报 类别。然后,该引擎验证实体的 资产重要性级别。 如果未分配资产重要性,则实体风险评分保持等于来自 警报 类别的聚合评分。 如果分配了重要性级别,则该引擎会根据每个重要性级别的默认风险权重计算风险评分。 资产重要性风险输入将分配给实体风险摘要中的 资产重要性 类别。
资产重要性级别 默认风险权重 低影响 0.5 中等影响 1 高影响 1.5 极端影响 2 注意资产重要性级别和默认风险权重可能会发生变化。
根据这两个风险输入,风险评分引擎会生成 0-100 的单个实体风险评分。 它通过将风险评分映射到以下级别之一来分配风险级别
风险级别 风险评分 未知 < 20 低 20-40 中等 40-70 高 70-90 危急 > 90
风险评分每小时根据配置的日期和时间范围进行更新,默认设置为 30 天。 每次更新都会生成一个新的评分,该评分的计算独立于任何先前的评分。
单击以查看风险评分计算示例
此示例显示了风险评分引擎如何计算 User_A 的用户风险评分,其资产重要性级别为 极端影响 。
有 5 个与 User_A 关联的打开警报
- 警报 1,警报风险评分为 21
- 警报 2,警报风险评分为 45
- 警报 3,警报风险评分为 21
- 警报 4,警报风险评分为 70
- 警报 5,警报风险评分为 21
为了计算用户风险评分,风险评分引擎
按警报风险评分的降序对关联的警报进行排序
- 警报 4,警报风险评分为 70
- 警报 2,警报风险评分为 45
- 警报 1,警报风险评分为 21
- 警报 3,警报风险评分为 21
- 警报 5,警报风险评分为 21
生成 36.16 的聚合风险评分,并将其分配给
User_A的 警报 风险类别。查找
User_A的资产重要性级别,并将其标识为 极端影响 。在 资产重要性 风险类别下生成一个新的风险输入,其风险贡献评分为 16.95。
将资产重要性风险贡献评分 (16.95) 添加到聚合风险评分 (36.16),并生成 53.11 的用户风险评分。
为
User_A分配 中等 用户风险级别。
如果未分配 User_A 资产重要性级别,则用户风险评分将保持不变,为 36.16。
了解如何打开风险评分引擎。