NSX Network Detection and Response の検出影響スコアは、脅威の重要度または「悪質性」と検出の精度の信頼性を組み合わせたメトリックです。スコアの範囲は 0 から 100 までで、100 が最も危険な検出結果です。影響スコアは、検出の優先順位付けとトリアージに役立ちます。影響には次のレベルが使用されます。
| 影響レベル | 影響スコア |
|---|---|
| 重大 | 95 ~ 100 |
| 高 | 75 ~ 94 |
| 中 | 50 ~ 74 |
| 低 | 25 ~ 49 |
| 情報 | 1 ~ 24 |
| 抑止済み | 0 |
重要度
重要度も 0 ~ 100 の範囲の整数です。重要度は、イベントの重大度を示し、以下を想定します。
- 誤検知ではない
- 誤分類されていない
検出の重要度は、主に検出する脅威によって決定されます。ほとんどの場合、2 件の検出の脅威が同じ場合、重要度も同じになります。結果:
- コマンドと制御を実行するワークロードの侵害のような深刻な脅威は、重要度の値が高くなります。
- ポート スキャンを実行するワークロードのようなそれほど深刻ではない脅威の重要度の値は低くなります。
信頼性
信頼性も 0 ~ 100 の範囲の整数です。信頼性は、検出の精度に対する信頼のレベルを示します。
- 非常に特異なネットワーク シグネチャが悪意のある既知の動作を検出するような高精度の検出では、信頼性の値が高くなります。
- 潜在的なデータ抽出トラフィックを特定するような精度の低い検出では、信頼性の値が低くなります。
検出の信頼性は、主に脅威がどのように検出されたかによって決まります。特に、各 IDS または NTA ディテクタには、検出イベントの信頼性のベースラインとして使用される信頼度スコアが関連付けられています。
このベースラインの上で、信頼性は追加の要因によって変更される可能性があります。
- 情報イベントの昇格により、検出の信頼性が高まる可能性があります。
- 検出イベント内で動作を繰り返すことにより、信頼性がわずかに向上する可能性があります。
- アクティビティが複数回検出されると、信頼性レベルが向上します。
- アクティビティが定期的なものであるような(アクティビティが定期的な繰り返しスケジュールで発生する)場合は、信頼性レベルが向上します。
- アノマリ検出技術を使用する NTA ディテクタは、動作のアノマリの程度に応じて異なる信頼性の値を提供できます。
重要度と信頼性は、[検出のサマリ] ページで確認できます。
![重要度/信頼性を示す [検出のサマリ] ページ](images/GUID-20AA81DC-28BE-46C3-B6B1-F4613D57E644-low.png)
情報イベント
影響スコアが 1 ~ 24 の検出イベントは、Informational という影響レベルで分類されます。これは、検出されたアクティビティに、本質的な悪意がないことを意味します。ただし、NSX Network Detection and Response コンテキスト スコア ロジックによって、一部の「情報」レベルの検出がより高い影響スコアに昇格し、Informational フラグが削除されることがあります。
抑制されたイベント
抑制されたイベントは、影響スコアが 0 の検出です。抑制されたイベントは脅威を表すものではありません。
場合によっては、検出のスコアが 0 になることがあります。
- この検出は IDS シグネチャによって発生しましたが、誤検知が発生しやすいか役に立つものではないため、NSX Network Detection and Response システムによって無効化されました。これが発生する可能性があるのは、たとえば、インストールにおいて IDS シグネチャ バンドルが、不正な署名を削除するバージョンにまだ更新されていない場合などです。
影響の計算
検出イベントの影響スコアは、次の要素から計算されます。
- 信頼性
- 重要度
- 情報イベント
影響は最初に「信頼性 * 重要度/100」で計算されます
- 情報イベントの場合、影響スコアの上限は 24 です
- 非情報イベントの場合、影響スコアの最小値は 25 です
