La puntuación de impacto en NSX Network Detection and Response es una métrica que combina la gravedad o la "seriedad" de la amenaza y la confianza en la precisión de la detección. La puntuación oscila entre 0 y 100, siendo 100 la detección más peligrosa. La puntuación de impacto ayuda a priorizar y clasificar la detección. Se utilizan los siguientes niveles de impacto:
| Nivel de impacto | Puntuación de impacto |
|---|---|
| Crítico | De 95 a 100 |
| Alto | De 75 a 94 |
| Mediano | De 50 a 74 |
| Bajo | De 25 a 49 |
| Informativo | De 1 a 24 |
| Suprimido | 0 |
Gravedad
La gravedad también es un número entero entre 0 y 100. La gravedad indica cómo de mala es la detección, suponiendo que:
- No es un falso positivo
- No se clasificó erróneamente
La gravedad de una detección está determinada en gran medida por la amenaza que está detectando. En casi todos los casos, dos detecciones que tienen la misma amenaza también tendrán la misma gravedad. Por tanto:
- Una amenaza grave, como una carga de trabajo comprometida que ejecuta Comando y control, tendrá un valor de gravedad alta.
- Una amenaza menos grave, como una carga de trabajo que realiza una exploración de puertos, tendrá un valor de gravedad bajo.
Confianza
La confianza también es un número entero entre 0 y 100. La confianza indica el nivel de confianza en la precisión de una detección.
- Una detección de alta precisión, como una en la que una firma de red muy específica detecta un comportamiento malintencionado conocido, tendrá un valor de confianza alto.
- Una detección de baja precisión, como una que identifica el tráfico de exfiltración potencial, tendrá un valor de confianza bajo.
La confianza de una detección está determinada en gran medida por cómo se detectó la amenaza. En particular, cada detector de IDS o NTA tiene una puntuación de confianza asociada que se usa como línea base para la confianza del evento de detección.
Además de esta línea base, la confianza puede modificarse por otros factores:
- La promoción de eventos informativos puede aumentar la confianza de una detección.
- La repetición del comportamiento dentro del evento de detección puede aumentar ligeramente la confianza:
- El nivel de confianza aumenta si la actividad se detecta más de una vez.
- El nivel de confianza aumenta si la actividad parece periódica (es decir, si se produce siguiendo una programación repetitiva regular).
- Los detectores de NTA que utilizan técnicas de detección de anomalías pueden proporcionar diferentes valores de confianza en función de la apariencia anómala del comportamiento.
Puede consultar información sobre la gravedad y la confianza en la página Resumen de detección.
Eventos informativos
Los eventos de detección con una puntuación de impacto de 1 a 24 se clasifican con el nivel de impacto Informativo. Esto significa que la actividad detectada no es esencialmente malintencionada. Sin embargo, la lógica de puntuación contextual de NSX Network Detection and Response puede asignar a algunas detecciones informativas una puntuación de impacto más alta, lo que elimina la marca de Informativo.
Eventos suprimidos
Los eventos suprimidos son detecciones con una puntuación de impacto de 0. Un evento suprimido no representa una amenaza.
Hay situaciones en las que una detección puede tener una puntuación de 0:
- La detección se generó con una firma de IDS desactivada por el sistema NSX Network Detection and Response porque es propensa a dar falsos positivos o no es útil. Esto puede ocurrir si, por ejemplo, una instalación aún no actualizó su paquete de firmas de IDS a la versión que elimina la firma incorrecta.
Cálculo de impacto
La puntuación de impacto de un evento de detección se calcula a partir de los valores de:
- Confianza
- Gravedad
- Eventos informativos
El impacto se calcular inicialmente como Confianza * Gravedad / 100
- Para los eventos informativos, la puntuación de impacto se limita a 24.
- Para los eventos no informativos, la puntuación de impacto mínima es de 25.
