事件风险评分计算

事件评分计算在帮助安全分析师和IT团队快速评估事件严重性并优先处理调查或响应事件方面起着关键作用。在每天产生数百或数千个事件的环境中，经过计算的评分有助于过滤噪音，专注于真正重要的事件。通过给每个事件分配一个数值评分，系统为您清晰指示其潜在影响或威胁等级。较高的评分通常表示更关键或可疑的活动，可能需要立即关注。

事件评分计算方法

事件评分是使用考虑四个关键因素的加权模型计算的。每个因素为事件添加上下文，帮助定义其紧急性或危险程度。

1. 规则优先级

每个事件都关联一个被违反的规则。规则基于其检测的行为严重性预定义。例如，检测横向移动或端口扫描的规则比检测过量广播/网络广播流量的规则更为严重。

• 重要原因：高优先级规则表示更严重的威胁。
• 权重：此因素在评分中权重最高。

2. 违规者数量

此因素反映参与事件的唯一实体数量（例如IP地址、用户或设备）。

• 重要原因：单个IP触发警报可能不那么令人担忧，而多个IP或用户触发同一警报可能表明协调攻击。
• 示例：如果15台设备突然连接到可疑域名，这比单台设备更可能表示更广泛的问题。

3. 阈值违规

每条规则都有基于ML的阈值——当超出该限制时，表示异常活动。此因素捕捉事件超过阈值的程度。

• 重要原因：事件超出定义阈值越多，其影响或异常程度越大。
• 示例：规则可能设置为资产尝试ping 10个IP时触发。如果同一资产为了发现目的在网络中ping 100个IP，该违规是阈值的10倍，表示更高风险。

4. 时间衰减因素

旧事件通常不如近期事件相关。此因素确保较新事件随着时间推移获得更高优先级，帮助安全团队关注活跃或新出现的问题。

• 重要原因：防止过时事件堵塞仪表盘，确保关注点持续在当前发生的情况上。
• 示例：即使其他条件相同，10分钟前的事件评分可能高于3天前的类似事件。