> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/ai/risk-scoring-and-classification-framework.md).

# 위험 점수 및 분류 프레임워크

## 개요

당신이 [Panther AI로 알러트를 분류할 때](/ko/alerts.md#using-panther-ai-with-alerts), 다음을 보게 됩니다. **위험 분류** 점수.

Panther의 위험 점수 시스템은 보안 이벤트를 평가하기 위해 의사 베이지안 로그 오즈 비 접근법을 사용하며, 위험한 지표와 무해한 지표를 모두 결합하여 -1(무해함)에서 +1(위험함)까지 범위의 정규화된 점수를 생성합니다.

<figure><img src="/files/05da6ec5fd6dcd23108b91092ff8b2b359177d08" alt=""><figcaption></figcaption></figure>

## 핵심 방법론

이 시스템은 이분법적인 판단을 내리는 대신 위험한 지표와 무해한 지표를 모두 명시적으로 열거해야 합니다. 각 지표에는 기본 점수가 부여된 뒤, 신뢰도, 맥락, 시간적 관련성을 반영하기 위해 세 가지 곱셈 가중치가 적용됩니다.

### 지표 점수 척도

**위험 지표** 는 1\~10 척도에서 양의 점수를 받습니다:

* **치명적(8-10)**: 적극적 악용, 성공적인 침해, 데이터 유출
* **높음(6-7)**: 알려진 취약점 표적화, 권한 상승 시도, 측면 이동
* **보통(4-5)**: 정찰, 스캐닝, 의심스러운 패턴, 정책 위반
* **낮음(1-3)**: 경미한 이상 징후, 구성 드리프트, 정보성 발견 사항

**무해한 지표** 는 -1에서 -10까지의 척도에서 음의 점수를 받습니다:

* **강력한 완화(-8 \~ -10)**: 완전 차단, 성공적인 디택션, 확인된 오탐
* **중간 수준 완화(-4 \~ -7)**: 부분 차단, 예상된 동작, 허가된 활동
* **약한 완화(-1 \~ -3)**: 제한된 통제, 불확실한 정당성, 불완전한 데이터

### 가중 요인

각 지표의 기본 점수는 세 가지 곱셈 요인(모두 0.0에서 1.0 범위)에 의해 조정됩니다:

1. **증거 신뢰도**: 데이터 소스의 신뢰성과 분석의 깊이
2. **맥락 가중치**: 자산 중요도, 환경 유형(운영 vs. 샌드박스), 비즈니스 영향
3. **시간적 관련성**: 활동이 얼마나 최근인지
   * 최근 24시간: 1.0
   * 1\~7일: 0.8
   * 7\~30일: 0.6
   * 30일 초과: 0.3

### 수학적 공식

시스템은 가중 점수를 두 개의 총합으로 집계합니다:

> *ABIS (Aggregate Benign Indicators Score) = Σ(점수 × 신뢰도 × 맥락 × 시간)*\
> \&#xNAN;*ARIS (Aggregate Risk Indicators Score) = Σ(점수 × 신뢰도 × 맥락 × 시간)*

이 값들은 다음과 같이 최종 점수로 결합됩니다:

> *CRS (Composite Risk Score) = (ARIS + ABIS) / (ARIS - ABIS)*

이 정규화 공식은 다음과 같은 결과를 만듭니다:

* **CRS = 0**: 완벽하게 균형이 맞음(위험 및 무해한 증거가 동일)
* **CRS > 0**: 고위험(위험 증거가 우세)
* **CRS < 0**: 저위험(무해한 증거가 우세)

#### 분류 임계값

복합 위험 점수를 기준으로 이벤트는 다음과 같이 분류됩니다:

* **위험**: CRS가 양의 임계값을 초과함
* **무해**: CRS가 음의 임계값보다 낮음
* **결론 불가**: CRS가 임계값 사이에 있음

### 이론적 기반

이 방법론은 확립된 위험 평가 프레임워크에서 차용합니다:

* **CVSS v3.1**: 기본, 시간적, 환경적 지표의 곱셈 가중치
* **FAIR (정보 위험 요인 분석)**: 위협 빈도, 취약성, 손실 규모 요인을 결합함
* **베이지안 위험 점수화**: 이진 분류를 위해 로그 오즈 비를 사용함
* **OCTAVE 접근법**: 증거 기반 위험 관리

### 주요 장점

이 접근법은 분석가가 다음을 수행하도록 요구함으로써 이분법적인 "좋음/나쁨" 판단을 피합니다:

* 지지하는 증거와 반박하는 증거를 모두 명시적으로 문서화
* 데이터 품질을 바탕으로 신뢰도 수준을 부여
* 환경적 맥락(자산 중요도, 비즈니스 핵심성)을 반영
* 과거 패턴보다 최근 활동에 더 높은 가중치 부여

이는 엄격한 증거 기반 추론을 강제하고 단일 지표나 가정에 과도하게 의존하는 것을 방지합니다. 시간적 감쇠는 오래된 지표가 위험 점수를 인위적으로 부풀리지 않도록 하며, 맥락 가중치는 중요한 운영 시스템에 대한 공격과 개발 샌드박스 내 활동을 적절히 구분할 수 있게 합니다.

## 워크플로에서 위험 점수 사용하기

위험 분류 점수는 알러트 대기열의 우선순위를 정하고 가장 중요한 곳에 분석가의 시간을 집중하는 데 도움이 됩니다:

* **위험(CRS가 0보다 훨씬 높음)**: 즉시 조사가 필요합니다. 위험 지표를 검토하고 인용된 증거와 대조하여 AI의 결과를 확인하세요.
* **결론 불가(CRS가 0에 근접함)**: 추가적인 맥락이 필요합니다. 더 많은 데이터를 수집하기 위해 후속 프롬프트를 실행하거나, 알러트와 연결된 이벤트를 수동으로 검토하세요.
* **무해(CRS가 0보다 훨씬 낮음)**: 우선순위를 낮춰도 안전할 가능성이 높지만, 무해 지표가 환경에 대한 이해와 일치하는지 검토하세요.

위험 점수는 우선순위 지정의 출발점일 뿐, 최종 판정은 아닙니다. 점수에 기여한 개별 지표(위험 지표와 무해 지표 모두)를 항상 검토하고, Panther AI가 제공한 [인용 자료](/ko/ai.md#citations) 를 사용하여 기반 데이터를 검증하세요.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/ai/risk-scoring-and-classification-framework.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.