Schweregrad

Der Schweregrad ist ebenfalls eine Ganzzahl zwischen 0 und 100. Der Schweregrad gibt an, wie schwerwiegend eine Erkennung unter folgenden Annahmen ist:

• Es handelt sich nicht um eine falsch positive Erkennung
• Sie wurde nicht falsch klassifiziert

Der Schweregrad einer Erkennung wird regelmäßig durch die erkannte Bedrohung bestimmt. In fast allen Fällen haben zwei Erkennungen, die dieselbe Bedrohung aufweisen, auch denselben Schweregrad. Daher gilt:

• Eine ernsthafte Bedrohung, wie z. B. eine kompromittierte Arbeitslast, die „Befehl und Steuerung“ ausführt, hat einen hohen Schweregrad.
• Eine weniger ernste Bedrohung, z. B. eine Arbeitslast, die eine Portprüfung durchführt, hat einen niedrigen Schweregrad.

Konfidenz

Die Konfidenz ist ebenfalls eine Ganzzahl zwischen 0 und 100. Die Konfidenz gibt das Maß an Vertrauen in die Genauigkeit einer Erkennung an.

• Eine Erkennung mit hoher Genauigkeit, bei der z. B. eine hochspezifische Netzwerksignatur bekanntes bösartiges Verhalten erkennt, hat einen hohen Konfidenzwert.
• Eine Erkennung mit niedriger Genauigkeit, wie z. B. beim Identifizieren eines potenziellen Exfiltrations-Datenverkehrs, hat einen niedrigen Konfidenzwert.

Die Konfidenz einer Erkennung hängt weitgehend davon ab, wie die Bedrohung erkannt wurde. Alle IDS- oder NTA-Detektoren verfügen etwa über eine zugeordnete Konfidenzbewertung, die als Grundlage für die Erkennungsereignisse verwendet wird.

Zusätzlich zu dieser Grundlage kann sich die Konfidenz durch zusätzliche Faktoren ändern:

• Die Heraufstufung von Informationsereignissen kann die Konfidenz einer Erkennung erhöhen.
• Eine Wiederholung des Verhaltens innerhalb des Erkennungsereignisses kann zu einer kleinen Erhöhung der Konfidenz führen:
  • Das Konfidenzniveau wird erhöht, wenn die Aktivität mehrmals beobachtet wird.
  • Das Konfidenzniveau wird erhöht, wenn die Aktivität anscheinend periodisch ist (d. h., die Aktivität erfolgt gemäß einem sich regelmäßig wiederholenden Zeitplan).
• NTA-Detektoren, die Anomalieerkennungstechniken verwenden, können unterschiedliche Konfidenzwerte liefern, je nachdem, wie anomal das Verhalten erscheint.

Sie können Schweregrad und Konfidenz auf der Seite Erkennungsübersicht anzeigen.

Informationsereignisse

Erkennungsereignisse mit einer Auswirkungsbewertung zwischen 1 und 24 werden mit der Auswirkungsstufe Zur Information klassifiziert. Diese zeigt an, dass die erkannte Aktivität im Wesentlichen nicht bösartig ist. Die kontextbezogene NSX Network Detection and Response-Bewertung kann jedoch einige als „Zur Information“ eingestufte Erkennungen auf eine höhere Auswirkungsbewertung heraufstufen. Die Kennzeichnung Zur Information wird dann entfernt.

Unterdrückte Ereignisse

Unterdrückte Ereignisse sind Erkennungen mit einer Auswirkungsbewertung von 0. Ein unterdrücktes Ereignis stellt keine Bedrohung dar.

In einigen Situationen kann eine Erkennung die Bewertungsstufe 0 haben:

• Die Erkennung wurde durch eine IDS-Signatur ausgelöst, die vom NSX Network Detection and Response-System deaktiviert wird, da sie häufig falsch positiv oder nicht hilfreich ist. Dies kann beispielsweise passieren, wenn eine Installation das IDS-Signaturpaket noch nicht auf die Version aktualisiert hat, mit der die ungültige Signatur entfernt wird.

Auswirkungsberechnung

Die Auswirkungspunktzahl eines Erkennungsereignisses wird berechnet aus:

• Konfidenz
• Schweregrad
• Informationsereignisse

Die Auswirkungsbewertung ist zunächst Konfidenz * Schweregrad / 100

• Für Informationsereignisse ist die Auswirkungsbewertung auf 24 begrenzt
• Bei Nicht-Informationsereignissen beläuft sich die minimale Auswirkungsbewertung auf 25