NSX Network Detection and Response 中的“检测影响评分”是一个衡量指标,它是代表威胁有害程度的“严重性”与代表检测准确程度的“置信度”的组合。评分范围是 0-100,其中 100 是最危险的检测。影响评分可帮助您确定检测的优先级并对其进行分类。将使用以下影响级别:
| 影响级别 | 影响评分 |
|---|---|
| 严重 | 95 到 100 |
| 高 | 75 到 94 |
| 中等 | 50 到 74 |
| 低 | 25 到 49 |
| 信息性 | 1 到 24 |
| 已禁止 | 0 |
严重性
严重性值也是 0 到 100 之间的整数。严重性表示检测的有害程度,前提是:
- 这不是误报
- 这不是分类错误
检测的严重性在很大程度上取决于检测到的威胁。几乎在所有情况下,威胁相同的两个检测也具有相同的严重性。因此:
- 严重威胁(例如,执行“命令和控制”的受影响工作负载)将具有较高的严重性值。
- 不太严重的威胁(例如,执行端口扫描的工作负载)将具有较低的严重性值。
置信度
置信度值也是 0 到 100 之间的整数。置信度表示对检测准确性的置信程度。
- 准确性较高的检测(例如,高度特定的网络特征码检测到已知恶意行为)将具有较高的置信度值。
- 准确性较低的检测(例如,识别出潜在的外泄流量)将具有较低的置信度值。
检测的置信度在很大程度上取决于威胁的检测方式。特别是,每个 IDS 或 NTA 检测器都有一个关联的置信度评分,该评分将用作检测事件的置信度基准。
除了此基准外,还可以通过其他因素来修改置信度:
- 信息性事件升级可能会提升检测的置信度。
- 重复检测事件中的行为可能会导致置信度小幅提升:
- 如果多次看到该活动,则置信度将会提升。
- 如果活动看起来是周期性的(即活动定期重复发生),则置信度会提升。
- 采用异常检测技术的 NTA 检测器可以根据行为看起来的异常程度来提供不同的置信度值。
您可以在检测摘要页面上查看严重性和置信度。
信息性事件
影响评分为 1 到 24 的检测事件按信息性影响级别进行分类。这意味着检测到的活动本质上不是恶意活动。但是,NSX Network Detection and Response 上下文评分逻辑可能会将一些信息性检测提升至更高的影响评分,这就会移除信息性标记。
已禁止事件
已禁止事件是影响评分为 0 的检测。已禁止事件并不是威胁。
在以下情况下,检测的评分可能为 0:
- 检测由 IDS 特征码启动,而 NSX Network Detection and Response 系统已停用该特征码,因为它容易引起误报或不起作用。例如,如果安装还未将其 IDS 特征码包更新至移除了错误特征码的版本,则可能会发生这种情况。
影响评分计算
检测事件的影响评分的计算依据为:
- 置信度
- 严重性
- 信息性事件
影响值最初等于“置信度 * 严重性 / 100”
- 对于信息性事件,影响评分上限为 24
- 对于非信息性事件,最低影响评分为 25
