NSX Network Detection and Response 中的偵測影響分數是一項度量,其結合了威脅的嚴重性或「不良程度」,以及偵測準確性信賴度。分數範圍是 0-100,其中 100 是最危險的偵測情況。影響分數可協助您排列偵測的優先順序並加以分級。系統會使用下列影響層級:
| 影響層級 | 影響分數 |
|---|---|
| 嚴重 | 95 到 100 |
| 高 | 75 到 94 |
| 中 | 50 到 74 |
| 低 | 25 到 49 |
| 資訊 | 1 到 24 |
| 已抑制 | 0 |
嚴重性
「嚴重性」也是 0 到 100 之間的整數。「嚴重性」表示偵測的有害程度,前提是:
- 這不是誤報
- 這不是分類錯誤
偵測的嚴重性大多取決於偵測到的威脅。幾乎在所有情況下,具有同樣威脅的兩項偵測也具有相同的嚴重性。因此:
- 嚴重威脅 (例如,遭入侵而會執行「命令和控制」的工作負載) 將具有較高的嚴重性值。
- 不太嚴重的威脅 (例如,執行連接埠掃描的工作負載) 將具有較低的嚴重性值。
信賴度
信賴度值也是 0 到 100 之間的整數。信賴度表示對偵測準確性的信賴程度。
- 準確性較高的偵測 (例如,高度具體的網路特徵碼偵測到已知的惡意行為) 將具有較高的信賴度值。
- 準確性較低的偵測 (例如,識別出潛在外流流量的偵測) 將具有較低的信賴度值。
偵測的信賴度大多取決於威脅的偵測方式。尤其是,每個 IDS 或 NTA 偵測器都有一個相關聯的信賴度分數,該分數會作為偵測事件的信賴度基準。
除了此基準外,其他因素可能會修改信賴度:
- 資訊性事件升階可能會提高偵測的信賴度。
- 偵測事件中的重複行為可能導致信賴度小幅提高:
- 如果多次看到該活動,則信賴程度會提高。
- 如果活動看起來是週期性的 (亦即,活動定期重複發生),則信賴度會提高。
- 視行為的異常程度而定,採用異常偵測技術的 NTA 偵測器可能提供不同的信賴度值。
您可以在偵測摘要頁面上檢視嚴重性和信賴度。
![顯示嚴重性/信賴度的 [偵測摘要] 頁面](images/GUID-20AA81DC-28BE-46C3-B6B1-F4613D57E644-low.png)
資訊性事件
影響分數為 1 到 24 的偵測事件會依資訊性影響層級進行分類。這表示偵測到的活動本質上不是惡意活動。但是,NSX Network Detection and Response 內容評分邏輯可能會將一些資訊性偵測升階至更高的影響分數,而移除了資訊性旗標。
已抑制的事件
已抑制的事件是指影響分數為 0 的偵測。已抑制的事件並不是威脅。
在以下情況下,偵測的分數可能為 0:
- 此偵測是由 IDS 特徵碼引發,而 NSX Network Detection and Response 系統已停用該特徵碼,因為它容易引起誤報或不實用。例如,如果安裝作業尚未將其 IDS 特徵碼服務包更新為移除了不當特徵碼的版本,則可能會發生這種情況。
影響的計算
在計算偵測事件的影響分數時,其依據如下:
- 信賴度
- 嚴重性
- 資訊性事件
影響值最初等於「信賴度 * 嚴重性 / 100」
- 對於資訊性事件,影響分數上限為 24
- 對於非資訊事件,最低影響分數為 25
