实体风险评分
编辑实体风险评分
编辑此功能为测试版,可能会发生更改。其设计和代码不如官方 GA 功能成熟,按原样提供,不提供任何保证。测试版功能不受官方 GA 功能的支持 SLA 约束。
实体风险评分是一项高级 Elastic 安全分析功能,可帮助安全分析师检测实体风险态势的变化、搜寻新威胁并确定事件响应的优先级。
实体风险评分允许您监控环境中主机和用户的风险评分变化。在生成高级评分分析时,风险评分引擎会利用端到端 XDR 用例(如 SIEM、云和端点)中的威胁。它利用 Elastic SIEM 检测引擎从过去 30 天中生成主机和用户风险评分。
它还会以循环间隔生成风险评分,并允许轻松的加入和管理。该引擎旨在考虑来自所有 Elastic Security 用例的风险,并允许您自定义和控制风险的计算方式和时间。
风险评分输入
编辑实体风险评分由以下风险输入确定
| 风险输入 | 存储位置 |
|---|---|
|
|
|
生成的实体风险评分存储在 risk-score.risk-score-<space-id> 数据流别名中。
没有任何警报或只有 已关闭 警报的实体不会分配风险评分。
风险评分如何计算?
编辑- 风险评分引擎每小时运行一次,以聚合过去 30 天的
打开和已确认警报。对于每个实体,引擎最多处理 10,000 个警报。 - 引擎按
host.name或user.name对警报进行分组,并聚合单个警报风险评分 (kibana.alert.risk_score),以便风险评分较高的警报的贡献大于风险评分较低的警报。生成的聚合风险评分将分配到实体 风险摘要 中的 警报 类别。 -
然后,引擎会验证实体的 资产关键性级别。如果未分配资产关键性,则实体风险评分与 警报 类别中的聚合评分相同。如果分配了关键性级别,则引擎将根据每个关键性级别的默认风险权重更新风险评分。资产关键性风险输入被分配到实体风险摘要中的 资产关键性 类别。
资产关键性级别 默认风险权重 低影响
0.5
中等影响
1
高影响
1.5
极端影响
2
资产关键性级别和默认风险权重可能会发生变化。
-
根据这两个风险输入,风险评分引擎会生成 0-100 的单个实体风险评分。它通过将风险评分映射到以下级别之一来分配风险级别
风险级别 风险评分 未知
< 20
低
20-40
中等
40-70
高
70-90
严重
> 90
单击以查看风险评分计算示例
此示例显示了风险评分引擎如何计算 User_A 的用户风险评分,其资产关键性级别为 极端影响。
有 5 个与 User_A 关联的未解决警报
- 警报 1,警报风险评分 21
- 警报 2,警报风险评分 45
- 警报 3,警报风险评分 21
- 警报 4,警报风险评分 70
- 警报 5,警报风险评分 21
要计算用户风险评分,风险评分引擎会
-
按警报风险评分的降序对关联的警报进行排序
- 警报 4,警报风险评分 70
- 警报 2,警报风险评分 45
- 警报 1,警报风险评分 21
- 警报 3,警报风险评分 21
- 警报 5,警报风险评分 21
- 生成 36.16 的聚合风险评分,并将其分配给
User_A的 警报 风险类别。 - 查找
User_A的资产关键性级别,并将其标识为 极端影响。 - 在 资产关键性 风险类别下生成一个新的风险输入,风险贡献评分 为 16.95。
- 将用户风险评分提高到 53.11,并将 中等 用户风险级别分配给
User_A。
如果未分配 User_A 的资产关键性级别,则用户风险评分将保持不变,为 36.16。
了解如何启用最新的风险评分引擎。