Il punteggio dell'impatto del rilevamento in NSX Network Detection and Response è una metrica che combina la gravità o la "pericolosità" della minaccia e la fiducia nella precisione del rilevamento. Il punteggio varia da 0 a 100 e 100 è il rilevamento più dannoso. Il punteggio dell'impatto consente di definire la priorità del rilevamento e valutarlo. Vengono utilizzati i livelli dell'impatto seguenti:
Livello dell'impatto | Punteggio dell'impatto |
---|---|
Critico | Da 95 a 100 |
Alto | Da 75 a 94 |
Medio | Da 50 a 74 |
Basso | Da 25 a 49 |
Informativo | Da 1 a 24 |
Soppresso | 0 |
Gravità
Anche la gravità è un numero intero compreso tra 0 e 100. La gravità indica la pericolosità del rilevamento supponendo che:
- Non sia un falso positivo
- Non sia classificato erroneamente
La gravità di un rilevamento è in gran parte determinata dalla minaccia che si sta rilevando. In quasi tutti i casi, due rilevamenti che hanno la stessa minaccia avranno anche la stessa gravità. Quindi:
- Una minaccia grave come un carico di lavoro compromesso che esegue Comando e controllo avrà un valore di gravità Alto.
- Una minaccia meno grave come un carico di lavoro che esegue una scansione della porta avrà un valore di gravità Basso.
Fiducia
Anche la fiducia è un numero intero compreso tra 0 e 100. Questo valore indica il livello di fiducia nella precisione di un rilevamento.
- Un rilevamento ad alta precisione come quello in cui una firma di rete specifica rileva un comportamento dannoso noto, avrà un valore di fiducia alto.
- Un rilevamento a bassa precisione come quello che identifica il potenziale traffico di esfiltrazione, avrà un valore di fiducia basso.
La fiducia di un rilevamento è in gran parte determinata dal modo in cui la minaccia è stata rilevata. In particolare, a ogni rilevatore IDS o NTA è associato un punteggio di fiducia che viene utilizzato come base di confronto per la fiducia dell'evento di rilevamento.
Oltre a questa base di confronto, la fiducia può essere modificata da ulteriori fattori:
- La promozione di un evento informativo può aumentare la fiducia di un rilevamento.
- La ripetizione del comportamento nell'evento di rilevamento può causare un piccolo aumento di fiducia:
- Il livello di fiducia aumenta se l'attività si verifica più volte.
- Il livello di fiducia aumenta se l'attività è periodica (ovvero si verifica in base a una pianificazione che si ripete regolarmente).
- I rilevatori NTA che utilizzano tecniche di rilevamento delle anomalie possono offrire valori di fiducia diversi a seconda del livello di anomalia del comportamento.
È possibile controllare Gravità e Fiducia nella pagina Riepilogo rilevamento.
Eventi informativi
Gli eventi di rilevamento con un punteggio dell'impatto da 1 a 24 vengono classificati con il livello dell'impatto Informativo. Questo significa che l'attività rilevata non è sostanzialmente dannosa. La logica del punteggio contestuale di NSX Network Detection and Response può tuttavia promuovere alcuni rilevamenti informativi a un punteggio dell'impatto più alto rimuovendo il flag Informativo.
Eventi eliminati
Gli eventi eliminati sono rilevamenti con un punteggio dell'impatto pari a 0. Un evento eliminato non rappresenta una minaccia.
Esistono situazioni in cui un rilevamento può avere il punteggio 0:
- Il rilevamento è stato generato da una firma IDS disattivata dal sistema di NSX Network Detection and Response perché causa falsi positivi o non è utile. Ciò può verificarsi ad esempio se un'installazione non ha ancora aggiornato il bundle delle firme IDS alla versione che rimuove la firma errata.
Calcolo dell'impatto
Il punteggio dell'impatto di un evento di rilevamento viene calcolato in base a:
- Fiducia
- Gravità
- Eventi informativi
L'impatto è inizialmente Fiducia * Gravità / 100
- Per gli eventi informativi, il limite del punteggio dell'impatto è 24
- Per gli eventi non informativi, il punteggio dell'impatto minimo è 25