Le score d'impact de détection dans NSX Network Detection and Response est une mesure qui combine la gravité, ou « niveau de malveillance » de la menace, et la confiance dans la précision de la détection. Un score est compris entre 0 et 100, 100 constituant la détection la plus dangereuse. Le score d'impact vous permet de hiérarchiser et de trier la détection. Les niveaux d'impact suivants sont utilisés :
Niveau d'impact | Score d'impact |
---|---|
Critique | 95 à 100 |
Élevé | 75 à 94 |
Moyen | 50 à 74 |
Faible | 25 à 49 |
Informatif | 1 à 24 |
Supprimé | 0 |
Gravité
La gravité est également un nombre entier compris entre 0 et 100. La gravité indique la dangerosité de la détection, en supposant ce qui suit :
- Il ne s'agit pas d'un faux positif
- Le classement est effectué correctement
La gravité d'une détection est largement déterminée par la menace qu'elle détecte. Dans presque tous les cas, deux détections ayant la même menace ont également la même gravité. Ainsi :
- Une menace grave, telle qu'une charge de travail compromise exécutant une activité Commande et contrôle, reçoit une valeur de gravité élevée.
- Une menace moins grave, telle qu'une charge de travail effectuant une analyse de port, reçoit une valeur de gravité faible.
Confiance
La confiance est également un entier compris entre 0 et 100. La confiance indique le niveau de confiance dans la précision d'une détection.
- Une détection à précision élevée, telle que celle dans laquelle une signature réseau hautement spécifique détecte un comportement malveillant connu, reçoit une valeur de confiance élevée.
- Une détection à faible précision, telle que celle identifiant un trafic d'exfiltration potentiel, reçoit une valeur de confiance faible.
La confiance d'une détection est largement déterminée par la manière dont la menace a été détectée. En particulier, chaque détecteur IDS ou NTA a un score de confiance associé qui est utilisé comme ligne de base pour la confiance de l'événement de détection.
Au-dessus de cette ligne de base, la confiance peut être modifiée par des facteurs supplémentaires :
- La promotion d'un événement informatif peut augmenter la confiance d'une détection.
- La répétition du comportement dans l'événement de détection peut entraîner une légère augmentation de la confiance :
- Le niveau de confiance augmente si l'activité est observée plusieurs fois.
- Le niveau de confiance augmente si l'activité semble périodique (c'est-à-dire si l'activité se produit selon une planification répétitive régulière).
- Les détecteurs NTA qui utilisent des techniques de détection des anomalies peuvent fournir différentes valeurs de confiance en fonction de l'aspect anormal du comportement.
Vous pouvez afficher la gravité et la confiance sur la page Résumé de la détection.
Événements informatifs
Les événements de détection dont le score d'impact est compris entre 1 et 24 sont classés avec le niveau d'impact Informatif. Cela signifie que l'activité détectée n'est pas essentiellement malveillante. Toutefois, la logique de notation contextuelle de NSX Network Detection and Response peut augmenter le score d'impact de certaines détections informatives, supprimant ainsi l'indicateur Informatif.
Événements supprimés
Les événements supprimés sont les détections avec un score d'impact de 0. Un événement supprimé ne représente pas une menace.
Il existe des situations où une détection peut avoir un score de 0 :
- La détection a été déclenchée par une signature IDS qui est désactivée par le système NSX Network Detection and Response, car elle est sujette à de faux positifs ou n'est pas utile. Cela peut se produire si, par exemple, une installation n'a pas encore mis à jour son bundle de signatures IDS vers la version qui supprime la mauvaise signature.
Calcul de l'impact
Le score d'impact d'un événement de détection est calculé à partir des éléments suivants :
- Confiance
- Gravité
- Événements informatifs
L'impact est initialement calculé comme ceci : Confiance * Gravité / 100.
- Pour les événements informatifs, le score d'impact est limité à 24
- Pour les événements non informatifs, le score d'impact minimal est de 25