# 위험 점수 및 분류 프레임워크

## 개요

당신이 [Panther AI로 알러트를 분류하면](/ko/alerts.md#using-panther-ai-with-alerts)다음과 같은 **위험 분류** 점수를 보게 됩니다.

Panther의 위험 점수화 시스템은 준-베이즈 로그 오즈 비율 접근 방식을 사용하여 보안 이벤트를 평가하며, 위험 지표와 무해한 지표를 모두 결합해 -1(무해)부터 +1(위험)까지의 범위를 갖는 정규화된 점수를 생성합니다.

<figure><img src="/files/05da6ec5fd6dcd23108b91092ff8b2b359177d08" alt=""><figcaption></figcaption></figure>

## 핵심 방법론

이 시스템은 이진 판단을 내리는 대신, 위험 지표와 무해한 지표를 모두 명시적으로 열거하도록 요구합니다. 각 지표에는 기본 점수가 부여되고, 이후 신뢰도, 맥락, 시간적 관련성을 반영하기 위해 세 가지 곱셈 가중치가 적용됩니다.

### 지표 점수화 척도

**위험 지표** 는 1-10 척도에서 양의 점수를 받습니다:

* **치명적 (8-10)**: 진행 중인 악용, 성공적인 침해, 데이터 유출
* **높음 (6-7)**: 알려진 취약점이 표적이 됨, 권한 상승 시도, 측면 이동
* **중간 (4-5)**: 정찰, 스캐닝, 의심스러운 패턴, 정책 위반
* **낮음 (1-3)**: 경미한 이상 징후, 구성 드리프트, 정보성 발견

**무해한 지표** 는 -1에서 -10 척도에서 음의 점수를 받습니다:

* **강한 완화 (-8 to -10)**: 완전 차단, 성공적인 디택션, 확인된 오탐
* **중간 완화 (-4 to -7)**: 부분 차단, 예상된 동작, 승인된 활동
* **약한 완화 (-1 to -3)**: 제한된 통제, 불확실한 정당성, 불완전한 데이터

### 가중치 요인

각 지표의 기본 점수는 세 가지 곱셈 요인(모두 0.0에서 1.0 범위)으로 조정됩니다:

1. **증거 신뢰도**: 데이터 출처의 신뢰성과 분석의 깊이
2. **맥락 가중치**: 자산의 중요도, 환경 유형(운영 vs. 샌드박스), 그리고 비즈니스 영향
3. **시간적 관련성**: 활동이 얼마나 최근인지
   * 최근 24시간: 1.0
   * 1-7일: 0.8
   * 7-30일: 0.6
   * 30일 초과: 0.3

### 수학적 공식

이 시스템은 가중 점수를 두 개의 합계로 집계합니다:

> *ABIS(무해 지표 총점) = Σ(점수 × 신뢰도 × 맥락 × 시간)*\
> \&#xNAN;*ARIS(위험 지표 총점) = Σ(점수 × 신뢰도 × 맥락 × 시간)*

이것들은 최종 점수로 결합됩니다:

> *CRS(복합 위험 점수) = (ARIS + ABIS) / (ARIS - ABIS)*

이 정규화 공식은 다음과 같은 결과를 만듭니다:

* **CRS = 0**: 완전히 균형 잡힘(위험 및 무해 증거가 동일함)
* **CRS > 0**: 높은 위험(위험 증거가 우세함)
* **CRS < 0**: 낮은 위험(무해 증거가 우세함)

#### 분류 임계값

복합 위험 점수를 기준으로 이벤트는 다음과 같이 분류됩니다:

* **위험**: CRS가 양의 임계값을 초과함
* **무해**: CRS가 음의 임계값보다 낮음
* **판단 불가**: CRS가 임계값 사이에 있음

### 이론적 기반

이 방법론은 확립된 위험 평가 프레임워크에서 차용했습니다:

* **CVSS v3.1**: 기본, 시간적, 환경적 메트릭의 곱셈 가중치
* **FAIR (정보 위험 요인 분석)**: 위협 빈도, 취약성, 손실 규모 요인을 결합
* **베이즈 위험 점수화**: 이진 분류를 위해 로그 오즈 비율을 사용
* **OCTAVE 접근법**: 증거 기반 위험 관리

### 핵심 장점

이 접근법은 분석가에게 다음을 요구함으로써 이진적인 "좋음/나쁨" 판단을 피합니다:

* 지지하는 증거와 반박하는 증거를 모두 명시적으로 문서화
* 데이터 품질을 기반으로 신뢰도 수준을 부여
* 환경 맥락(자산 중요도, 비즈니스 중요성)을 고려
* 과거 패턴보다 최근 활동에 더 큰 가중치 부여

이는 엄격한 증거 기반 추론을 강제하고 단일 지표나 가정에 과도하게 의존하는 것을 방지합니다. 시간적 감쇠는 오래된 지표가 위험 점수를 인위적으로 부풀리지 않도록 보장하며, 맥락 가중치는 중요한 운영 시스템에 대한 공격과 개발 샌드박스에서의 활동을 적절히 구분할 수 있게 합니다.

## 워크플로에서 위험 점수 사용하기

위험 분류 점수는 알러트 큐의 우선순위를 정하고 가장 중요한 곳에 분석가의 시간을 집중하는 데 도움이 됩니다:

* **위험 (CRS가 0을 크게 상회)**: 즉각적인 조사가 필요합니다. 위험 지표를 검토하고 인용된 증거와 대조하여 AI의 결과를 검증하세요.
* **판단 불가 (CRS가 0에 가까움)**: 추가 맥락이 필요합니다. 후속 프롬프트를 실행하여 더 많은 데이터를 수집하거나, 알러트와 연관된 이벤트를 수동으로 검토하세요.
* **무해 (CRS가 0을 크게 하회)**: 우선순위를 낮춰도 대체로 안전할 가능성이 높지만, 무해 지표를 검토하여 환경에 대한 이해와 일치하는지 확인하세요.

위험 점수는 우선순위 지정의 출발점일 뿐, 최종 판정이 아닙니다. 점수에 기여한 개별 지표(위험 및 무해 모두)를 항상 검토하고, Panther AI가 제공한 [인용](/ko/ai.md#citations) 을 사용하여 기반 데이터를 검증하세요.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/ai/risk-scoring-and-classification-framework.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.