事件分級計算方法

由於 SOC 平台是可以跨越不同設備進行分析的，所以 SOC 平台在取得最基礎 的優先等級後，還會根據實際情況將等級予以增減，以便更符合實際的監控狀況，

提升監控水準。舉例來說，若部署在防火牆外的入侵偵測系統，偵測到多個外部 主機對內部的攻擊行為，但是該攻擊已遭防火牆阻擋。此時我們就會希望將入侵 偵測系統 agent 所回報的事件等級予以減分，甚至降為 0 分，以便我們能夠更專心 的處理其他真正可能會造成影響的問題，所以我們就會需要一些變數和演算法，

來對事件等級進行加權或減分。

（一） 平台計算

SOC 平台事件的優先等級，會依據下面四個變數值，對 agent 所回報的事件等 級予以增減。（表 10 ）的參數，下表中數值最小值為 0，最大值為 10。

表10 優先權計算加權變數

變數 說明 數值

模式可信程度 - (Model Confidence

資料庫沒有這個資產 0

有該資產但是沒有對開啟的通訊埠及弱點進行掃瞄 4

對目標資產瞭解程 度)

有該資產但是只對開啟的通訊埠或弱點均進行掃瞄 8 有該資產且有對開啟的通訊埠及弱點進行掃瞄 10 相關性

– (Relevance 目標容 易被攻擊的程度)

 「模式可信程度(Model Confidence)」有可能降低「相關性」所產生的影 響。如果「模式可信程度」為 0，則「相關性」在整體計算中不產生任何

100) (1 嚴重程度 3

方程式 4: 嚴重度影響優先權計算

 如果「資產重要性」為 10，則將 agent 回報的事件等級加 20%；但若低 於 8，則反而減少其值。其加權公式為：

10 ]

8) -[1 (資產重要性



方程式 5: 資產重要性影響優先權計算

 SOC 平台最後的優先權，則是由上面四個加權因子，經過加權公式計算 後得來。

依據上述原則，當事件的封包內容或是行為模式合乎攻擊行為的規則時，就 會觸發對應的警訊；例如：2 分鐘內發現 login Fail 的次數超過 5 次，就會觸發嘗 試猜測密碼失敗的警訊。此時系統會再依據攻擊的來源或是被攻擊主機的資產價 值，以及其弱點資料庫、開啟 Port 的資訊等，與資安設備所採取的動作進行交叉 式比對分析，進行第二次的優先等級判斷，再一次的重新賦予 0 到 10 的優先等級。

（表 11 ）。

表11 交叉分析決定事件最終優先等級

IDS FW 資產價值 弱點 優先等級

Alert1 Attack Drop Low - 0

Alert2 Attack Accept Low - 2

Alert3 Attack Accept Medium Mismatch 4 Alert4 Attack Accept Medium Match 8 Alert5 Attack Accept High Match 10

由於資產特性、弱點資料庫、開啟的 Port 的屬性緣故，一個原始等級為 9 的 高等級事件，可以因為被攻擊主機並未開啟相關的 Port 而可能會成為一個中等級 為 5 的資安警訊。反之，一個原始事件等級為 6 的事件，可能因為該主機不僅有 開啟被攻擊的 Port，而且是公司重要的網站，而觸發一個等級為 10 的嚴重警訊。

綜合上述，事件優先度的系統分析是否有效，SOC 平台先天性能的優劣並非 唯一的因素，幾項後天之營運管理因素更為關鍵：

 設備資產資訊是否完整定義

 設備資產弱點是否透過弱點掃瞄完整建立，並定期更新

 各項設備相關互動的關聯性分析規則是否完整建立

因此 SOC 平台建置完整度、維運經驗的豐富度，對於事件優先度的訂定是相 當重要的。

（二） 專業分析與通報階段

某些類型之資安事件型態如出現頻繁，則應視為標準事件，將其分級、通報 作業加以系統化、自動化，並配合設計通報的標準樣版內容。一旦規則觸發，只 需載入事件資訊至樣版檔案，便可即時發出通報。SOC 依據豐富的維運經驗，自 動化通報事件的比例持續提升，不但可以掌握時效，也可保證通報內容的完整性，

並留下更多時間給監控維運工程師去處理需要人為專業判斷的事件。

如資安事件尚未納入自動化、標準化之範疇，則需啟動 SOC 資安工程師的專 業分析程序；因此就通報品質而言，除 SOC 系統本身的功能優劣外，維運人員的 素質也是極為關鍵。一般 SOC 平台內建之各種偵測規則雖然已經十分精確，仍無 法保證 100%精確，需要有一定程度的人為專業分析，確認事件本身的真實性，以 達到降低誤判率、提高準確度的目的。專業分析的影響項目有三：

 影響程度(Impacy)：規則觸發之後，資安工程師會參酌事件圖驗證事件的 真實度，瞭解比對事件內容，剔除明顯的誤判行為。

 緊急程度(Urgency) ：每一個系統到影響後，要恢復的緊急程度不一樣，

需要越快恢復的事件，其實件的等級越高。

 參酌網路現況交換的資安情報：根據最新資安情報，如 Zero Day Attack 等事件；亦會依據網路時勢進行嚴重度之研判。資安工程師將參酌此類 情報，研判該事件的影響程度。

事故不會造 lowlow

4 Medium (4

Medium (4--6)6)

影響程度 (Impact)(Impact) Priority lowlow

4 Medium (4

Medium (4--6)6)

影響程度 (Impact)(Impact) Priority

lowlow medium

medium highhigh

Urgency

lowlow medium

medium highhigh

Urgency Urgency

圖 32. Priority判定原則

SOC 最終的風險通報分級共定義四個等級：Low（低）、Medium（中）、High

（高）、Urgent（緊急），其中除 Low（低）等級外皆會進行通報：

級，如遇有下述特殊需求，亦可調整其等級：

 與客戶有特殊約定者（例如同樣是刺探行為，A 客戶認為不需通報，但 是 B 客戶認為極為重要）。

 特殊敏感期間的事件，如兩岸國慶期間、國際駭客大規模攻擊、攻防演 練期間等，將提昇等級。

 符合國際資安情報之事件特性者，將提昇等級。

 當事件同時觸發多種不同嚴重等級時，取最高等級發佈。

 當通報過的事件重複發生時，必要時提升等級後再次發報。