实体风险评分
编辑实体风险评分
编辑此功能处于测试阶段,可能会发生更改。其设计和代码不如正式 GA 功能成熟,按现状提供,不提供任何担保。测试版功能不受正式 GA 功能支持 SLA 的约束。
实体风险评分是 Elastic Security 的一项高级分析功能,可帮助安全分析师检测实体风险态势的变化,寻找新的威胁并优先处理事件响应。
实体风险评分允许您监控环境中主机和用户的风险评分变化。在生成高级评分分析时,风险评分引擎会利用其端到端 XDR 使用案例(例如 SIEM、云和端点)中的威胁。它利用 Elastic SIEM 检测引擎根据过去 30 天的数据生成主机和用户风险评分。
它还会定期生成风险评分,并方便轻松地进行启用和管理。该引擎旨在考虑所有 Elastic Security 使用案例中的风险,并允许您自定义和控制风险的计算方式和时间。
风险评分输入
编辑实体风险评分由以下风险输入决定:
| 风险输入 | 存储位置 |
|---|---|
|
|
|
生成的实体风险评分存储在risk-score.risk-score-<space-id>数据流别名中。
没有任何警报或只有已关闭警报的实体不会被分配风险评分。
风险评分如何计算?
编辑- 风险评分引擎每小时运行一次,以汇总过去 30 天的
已打开和已确认警报。对于每个实体,引擎最多处理 10,000 个警报。 - 引擎按
host.name或user.name对警报进行分组,并汇总单个警报风险评分(kibana.alert.risk_score),以便风险评分较高的警报的贡献大于风险评分较低的警报。生成的汇总风险评分将分配给实体风险概要中的警报类别。 -
然后,引擎会验证实体的资产关键级别。如果没有分配资产关键性,则实体风险评分将保持与警报类别中的汇总评分相同。如果分配了关键级别,则引擎会根据每个关键级别的默认风险权重更新风险评分。资产关键性风险输入将分配给实体风险概要中的资产关键性类别。
资产关键级别 默认风险权重 低影响
0.5
中等影响
1
高影响
1.5
极高影响
2
资产关键级别和默认风险权重可能会发生更改。
-
根据这两个风险输入,风险评分引擎会生成 0-100 的单个实体风险评分。它通过将风险评分映射到以下级别之一来分配风险级别:
风险级别 风险评分 未知
< 20
低
20-40
中等
40-70
高
70-90
严重
> 90
点击查看风险评分计算示例
此示例显示风险评分引擎如何计算User_A的用户风险评分,其资产关键级别为极高影响。
有 5 个与User_A相关的未关闭警报:
- 警报 1,警报风险评分为 21
- 警报 2,警报风险评分为 45
- 警报 3,警报风险评分为 21
- 警报 4,警报风险评分为 70
- 警报 5,警报风险评分为 21
要计算用户风险评分,风险评分引擎会:
-
按警报风险评分降序排列相关的警报。
- 警报 4,警报风险评分为 70
- 警报 2,警报风险评分为 45
- 警报 1,警报风险评分为 21
- 警报 3,警报风险评分为 21
- 警报 5,警报风险评分为 21
- 生成 36.16 的汇总风险评分,并将其分配给
User_A的警报风险类别。 - 查找
User_A的资产关键级别,并将其识别为极高影响。 - 在资产关键性风险类别下生成新的风险输入,风险贡献评分为 16.95。
- 将用户风险评分提高到 53.11,并将
User_A分配为中等用户风险级别。
如果User_A没有分配资产关键级别,则用户风险评分将保持不变,为 36.16。
了解如何启用最新的风险评分引擎。