实体风险评分
编辑实体风险评分编辑
此功能处于测试阶段,可能会发生变化。设计和代码不如正式的 GA 功能成熟,按原样提供,不提供任何担保。测试版功能不受正式 GA 功能支持 SLA 的约束。
实体风险评分是 Elastic 安全高级分析功能,可帮助安全分析师检测实体风险状况的变化、寻找新的威胁并优先处理事件响应。
实体风险评分允许您监控环境中主机和用户的风险评分变化。在生成高级评分分析时,风险评分引擎会利用来自其端到端 XDR 使用案例(如 SIEM、云和端点)的威胁。它利用 Elastic SIEM 检测引擎从过去 30 天生成主机和用户风险评分。
它还会定期生成风险评分,并易于入职和管理。该引擎旨在考虑所有 Elastic 安全使用案例的风险,并允许您自定义和控制风险的计算方式和时间。
风险评分输入编辑
实体风险评分由以下风险输入决定
| 风险输入 | 存储位置 |
|---|---|
|
|
|
生成的实体风险评分存储在 risk-score.risk-score-<space-id> 数据流别名中。
- 没有任何警报或只有
已关闭警报的实体不会被分配风险评分。 - 要使用资产关键性,您必须启用
securitySolution:enableAssetCriticality高级设置。
如何计算风险评分?编辑
- 风险评分引擎每小时运行一次,以汇总过去 30 天的
打开和已确认警报。对于每个实体,引擎最多会处理 10,000 个警报。 - 引擎按
host.name或user.name对警报进行分组,并聚合单个警报风险评分 (kibana.alert.risk_score),这样风险评分较高的警报比风险评分较低的警报贡献更大。生成的聚合风险评分将分配给实体的 风险摘要 中的 警报 类别。 -
然后,引擎会验证实体的 资产关键性级别。如果没有分配资产关键性,则实体风险评分将保持等于 警报 类别中的聚合评分。如果分配了关键性级别,则引擎会根据每个关键性级别的默认风险权重更新风险评分。资产关键性风险输入将分配给实体风险摘要中的 资产关键性 类别。
资产关键性级别 默认风险权重 低影响
0.5
中等影响
1
高影响
1.5
极端影响
2
资产关键性级别和默认风险权重可能会发生变化。
-
根据这两个风险输入,风险评分引擎会生成 0-100 的单个实体风险评分。它会通过将风险评分映射到以下级别之一来分配风险级别
风险级别 风险评分 未知
< 20
低
20-40
中等
40-70
高
70-90
关键
> 90
单击查看风险评分计算示例
此示例显示了风险评分引擎如何计算 User_A 的用户风险评分,其资产关键性级别为 极端影响。
与 User_A 关联的 5 个开放警报
- 警报 1,警报风险评分为 21
- 警报 2,警报风险评分为 45
- 警报 3,警报风险评分为 21
- 警报 4,警报风险评分为 70
- 警报 5,警报风险评分为 21
要计算用户风险评分,风险评分引擎会
-
按警报风险评分的降序对关联警报进行排序
- 警报 4,警报风险评分为 70
- 警报 2,警报风险评分为 45
- 警报 1,警报风险评分为 21
- 警报 3,警报风险评分为 21
- 警报 5,警报风险评分为 21
- 生成 36.16 的聚合风险评分,并将其分配给
User_A的 警报 风险类别。 - 查找
User_A的资产关键性级别,并将其识别为 极端影响。 - 在 资产关键性 风险类别下生成新的风险输入,其风险贡献评分为 16.95。
- 将用户风险评分增加到 53.11,并将
User_A分配到 中等 用户风险级别。
如果 User_A 没有分配资产关键性级别,则用户风险评分将保持不变,为 36.16。
了解如何 打开最新的风险评分引擎。