NSX Network Detection and Response의 감지 영향 점수는 위협의 심각도 또는 "불량 정도"와 감지 정확성에 대한 신뢰도를 조합한 메트릭입니다. 점수의 범위는 0~100으로, 100이 가장 위험한 감지입니다. 영향 점수는 감지의 우선 순위를 지정하고 심사하는 데 도움이 됩니다. 다음과 같은 영향 수준이 사용됩니다.
| 영향 수준 | 영향 점수 |
|---|---|
| 위험 | 95~100 |
| 높음 | 75~94 |
| 중형 | 50~74 |
| 낮음 | 25~49 |
| 정보 | 1~24 |
| 표시 안 함 | 0 |
심각도
심각도도 0~100 사이의 정수로 나타냅니다. 심각도는 감지가 얼마나 잘못되었는지를 나타내며 다음과 같이 가정합니다.
- 가양성이 아닙니다.
- 잘못 분류되지 않았습니다.
감지의 심각도는 주로 감지되는 위협에 의해 결정됩니다. 거의 모든 경우에 동일한 위협을 갖는 두 가지 감지는 심각도도 동일합니다. 따라서 다음이 적용됩니다.
- 명령 및 제어를 수행하는 손상된 워크로드와 같은 심각한 위협은 심각도 값이 높습니다.
- 포트 스캔을 수행하는 워크로드와 같은 덜 심각한 위협은 심각도 값이 낮습니다.
신뢰도
신뢰도도 0~100 사이의 정수로 나타냅니다. 신뢰도는 감지 정확성의 신뢰 수준을 나타냅니다.
- 매우 특정한 네트워크 서명이 알려진 악의적 동작을 감지하는 것과 같은 높은 정확도 감지는 신뢰도 값이 높습니다.
- 잠재적인 반출 트래픽을 식별하는 것과 같은 낮은 정확도 감지는 신뢰도 값이 낮습니다.
감지의 신뢰도는 주로 위협이 감지된 방식에 따라 결정됩니다. 특히 각 IDS 또는 NTA IDS 감지기에는 감지 이벤트의 신뢰도를 위한 기준선으로 사용되는 연결된 신뢰도 점수가 있습니다.
이 기준선 위에는 추가 요인에 따라 신뢰도가 수정될 수 있습니다.
- 정보 이벤트가 승격되면 감지의 신뢰도가 높아질 수 있습니다.
- 감지 이벤트 내에서 동작을 반복하면 신뢰도가 약간 더 높아질 수 있습니다.
- 활동이 두 번 이상 표시되면 신뢰도 수준이 높아집니다.
- 활동이 주기적으로 보이는 경우(정기적인 반복 스케줄에 따라 활동이 발생함) 신뢰도 수준이 높아집니다.
- 이상 징후 감지 기술을 사용하는 NTA 감지기는 어떤 비정상 동작인지에 따라 다른 신뢰도 값을 제공할 수 있습니다..
감지 요약 페이지에서 심각도와 신뢰도를 확인할 수 있습니다.
![심각도/신뢰도가 있는 [감지 요약] 페이지](images/GUID-20AA81DC-28BE-46C3-B6B1-F4613D57E644-low.png)
정보 이벤트
영향 점수가 1~24인 감지 이벤트는 정보 영향 수준으로 분류됩니다. 즉, 감지된 활동이 본질적으로 악의적인 것은 아닙니다. 그러나 NSX Network Detection and Response 상황별 채점 논리는 일부 정보 감지를 더 높은 영향 점수로 승격시켜 정보 플래그가 제거됩니다.
억제된 이벤트
억제된 이벤트는 영향 점수가 0인 감지입니다. 억제된 이벤트는 위협을 나타내지 않습니다.
감지 점수가 0일 수 있는 상황이 있습니다.
- 감지는 가양성 상태가 되기 쉽고 유용하지 않기 때문에 NSX Network Detection and Response 시스템에서 비활성화된 IDS 서명에 의해 발생했습니다. 예를 들어 설치에서 IDS 서명 번들을 잘못된 서명을 제거하는 버전으로 아직 업데이트하지 않은 경우 이 문제가 발생할 수 있습니다.
영향 계산
감지 이벤트의 영향 점수는 다음에서 계산됩니다.
- 신뢰도
- 심각도
- 정보 이벤트
영향은 처음에 신뢰도 * 심각도 / 100입니다.
- 정보 이벤트의 경우 영향 점수는 24로 제한됩니다
- 비정보 이벤트의 경우 최소 영향 점수는 25입니다
