Dasbor Analisis Risiko

Didukung di:

Dasbor Risk Analytics memungkinkan Anda melihat lingkungan melalui lensa berbasis risiko. Memvisualisasikan tren risiko entity membantu Anda mengidentifikasi perilaku yang tidak biasa dan memahami potensi risiko yang ditimbulkan entity terhadap perusahaan Anda.

Dasbor Risk Analytics mencantumkan entitas berisiko dan detail faktor risiko. Pada sistem yang menggunakan RBAC data, hanya pengguna dengan cakupan global yang dapat mengakses analisis risiko. Untuk informasi selengkapnya, lihat dampak RBAC data terhadap Analisis risiko.

Untuk membuka dasbor Risk Analytics, ikuti langkah-langkah berikut:

  1. Di menu navigasi, klik Detection.
  2. Dari Detection, klik Risk Analytics.

Jumlah entity, skor risiko, dan tabel entity

Dasbor Analisis Risiko menampilkan, berdasarkan filter yang dipilih, hanya 10.000 entitas teratas dengan risiko tertinggi di perusahaan. Semua grafik dan tabel di dasbor hanya mewakili kumpulan entitas ini.

Grafik Total jumlah entitas di kiri atas menampilkan jumlah entitas yang dilacak di perusahaan Anda dengan risiko lebih besar dari 0. Entitas dengan skor risiko 0 masih dilacak, tetapi tidak akan ditampilkan dalam grafik ini. Jumlah total dibagi antara Aset dan Pengguna.

Untuk mengetahui informasi selengkapnya tentang entity, lihat Objek logika: Peristiwa dan Entity. Untuk mengetahui informasi selengkapnya tentang cara penghitungan skor risiko, lihat Penghitungan skor risiko.

Dalam tabel Entities, ada beberapa kolom yang terkait dengan skor risiko entity:

Kolom Nilai
Nama entity Nama entitas.
Jenis entitas Jenis entitas (Aset atau Pengguna).
Dinormalisasi Skor yang dinormalisasi dihitung di seluruh entity, dan diskalakan antara 0-1000 menggunakan normalisasi min-maks.
Perubahan skor yang dinormalisasi Perubahan skor risiko entity yang dinormalisasi sejak periode penghitungan risiko sebelumnya.
Tren yang dinormalisasi Peningkatan atau penurunan persentase perubahan skor risiko yang dinormalisasi dibandingkan dengan periode risiko sebelumnya.
Dasar Skor risiko entity dasar sama dengan skor risiko temuan maksimum ditambah pembobotan dikalikan dengan jumlah skor risiko temuan yang tersisa.

Pembobotan default adalah .2 dan dapat diubah di Setelan.
Perubahan dasar Perubahan skor risiko entity dasar sejak periode penghitungan risiko sebelumnya.
Tren dasar Peningkatan atau penurunan persentase perubahan skor risiko dasar dibandingkan dengan periode risiko sebelumnya.
Jumlah temuan Jumlah temuan (pemberitahuan dan deteksi) yang menyertakan entity ini selama periode penghitungan risiko.
Pertama kali terlihat dalam periode Stempel waktu ketika entity pertama kali terlihat dalam temuan (pemberitahuan atau deteksi) selama periode penghitungan risiko.
Terakhir kali terlihat dalam periode Stempel waktu ketika entity terakhir kali terlihat dalam temuan (pemberitahuan atau deteksi) selama periode penghitungan risiko.

Menyesuaikan periode penghitungan risiko

Risiko yang dihitung yang ditimbulkan oleh entity berubah bergantung pada periode waktu yang sedang diperiksa. Mengubah setelan Periode Penghitungan Risiko di kanan atas (pilih Periode 24 Jam atau Periode 7 Hari) akan mengubah skor risiko yang dihitung dan ditampilkan di sini. Anda dapat mengubah setelan ini bergantung pada jenis serangan yang Anda cari. Misalnya, serangan brute force akan lebih terlihat dengan menetapkan Periode Penghitungan Risiko ke 24 Jam. Jangka waktu yang lebih lama memungkinkan Anda mendeteksi serangan jangka panjang.

Skor risiko entity akan berubah bergantung pada periode penghitungan risiko yang dipilih. Skor risiko entity dihitung berdasarkan temuan yang dihasilkan selama periode risiko.

Mempersempit penelusuran dengan filter cepat

Filter cepat memungkinkan Anda mempersempit penelusuran dengan hanya menampilkan hasil yang relevan dengan kebutuhan spesifik Anda.

Untuk menggunakan Filter cepat di dasbor Analisis Risiko, ikuti langkah-langkah berikut:

  1. Klik filter_alt di atas tabel Entities. Jendela Filter akan muncul.
  2. Pilih salah satu kolom:
    • Jumlah temuan
    • Skor risiko entity yang dinormalisasi
    • Tren risiko entity yang dinormalisasi
    • Jenis
  3. Pilih Hanya tampilkan atau Filter.
  4. Pilih nilai (Anda dapat memilih lebih dari satu nilai untuk memperluas rentang):
    • Jumlah temuan: Nilai dari 0 hingga lebih dari 1.000.
    • Skor risiko entity yang dinormalisasi: Nilai dari 0 hingga 1.000.
    • Tren risiko entity yang dinormalisasi: Persentase dari kurang dari -99% hingga lebih dari 199%.
    • Jenis: Pilih Aset atau Pengguna.
  5. (Opsional) Untuk menambahkan filter lain, klik Add filter (Tambahkan filter), lalu ulangi proses ini dari langkah 2.
  6. Setelah selesai mengonfigurasi filter, klik Terapkan.

Misalnya, jika Anda memilih Tren risiko entity yang dinormalisasi, pilih Hanya tampilkan, lalu centang >199%, hanya entity dengan perubahan risiko entity yang dinormalisasi lebih besar dari 199% yang akan ditampilkan.

Menyelidiki entity menggunakan halaman entity

Untuk menyelidiki entitas, ikuti langkah-langkah berikut:

  1. Scroll kolom Nama Entitas atau gunakan kotak penelusuran untuk menemukan entitas.
  2. Klik entitas yang ingin Anda selidiki.

Tindakan ini akan membuka halaman entitas. Halaman ini memungkinkan Anda memeriksa hanya temuan yang terkait dengan satu entitas tersebut. Diagram Linimasa temuan di bagian atas melacak skor risiko entity dan temuan dari waktu ke waktu. Diagram ini dibuat dari metrik yang telah dihitung sebelumnya dan ditampilkan dalam format grafik garis untuk menunjukkan tren dari waktu ke waktu. Anomali dapat dilihat sebagai lonjakan pada grafik garis. Di bawah diagram adalah tabel Temuan, yang menampilkan peristiwa dan aktivitas yang terkait dengan entitas yang dipilih.

Ada panel Lihat detail entitas yang dapat diciutkan di kanan bawah yang berisi ringkasan detail penting tentang entitas yang dipilih. Untuk menyelesaikan pemeriksaan mendetail entitas yang dipilih, klik Lihat detail entitas untuk melihat entitas dalam tampilan Aset atau tampilan Pengguna, bergantung pada apakah entitas tersebut adalah aset atau pengguna. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki entitas aset atau Menyelidiki pengguna.

Menyelidiki entity menggunakan analisis entity

Analisis entitas memberi analis SOC dan pemburu ancaman tampilan mendetail tentang perilaku entitas, termasuk profil dasar pengukuran, anomali, dan pengayaan kontekstual entitas.

Dari halaman entitas, pilih rentang waktu hingga 90 hari di Linimasa temuan, lalu klik Lihat analisis untuk pilihan. Tindakan ini akan membuka sidebar yang menampilkan analisis yang terkait dengan entitas ini dalam rentang waktu yang dipilih. Setiap analisis menampilkan gabungan dari semua nilai analisis dalam rentang waktu. Saat terdeteksi, analisis akan menyertakan daftar pemberitahuan dan deteksi terkait yang dapat diperiksa lebih lanjut dengan mengklik Lihat lainnya untuk membuka tampilan Pemberitahuan atau Deteksi yang sesuai. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki pemberitahuan.

Analisis entitas berikut disediakan:

  • Jumlah Nama Peristiwa Pemberitahuan
  • Upaya Autentikasi Berhasil
  • Upaya Autentikasi Gagal
  • Total Upaya Autentikasi
  • DNS Bytes Outbound
  • Kueri DNS Gagal
  • Keberhasilan Kueri DNS
  • Total Kueri DNS
  • Eksekusi File Berhasil
  • Eksekusi File Gagal
  • Total Eksekusi File
  • Kueri HTTP Berhasil
  • Kueri HTTP Gagal
  • Total Kueri HTTP
  • Byte Jaringan Masuk
  • Byte Jaringan Keluar
  • Total Byte Jaringan
  • Total Upaya Autentikasi Workspace
  • Total Email Workspace yang Dikirim
  • Byte Jaringan Workspace Keluar
  • Total Byte Jaringan Workspace
  • Tindakan Total Perubahan Workspace
  • Total Tindakan Download Workspace

Mengubah skor risiko entity

Jika informasi atau peristiwa di luar memengaruhi risiko sebenarnya dari suatu entity, Anda dapat memperbarui skor risiko entity tersebut.

Misalnya, Anda dapat menurunkan skor risiko karyawan yang baru saja menyelesaikan latihan tim merah (seperti pengujian penetrasi) untuk sementara sehingga analis tidak perlu membuang waktu untuk menyelidiki penyebab peningkatan risiko karyawan tersebut. Anda juga dapat meningkatkan skor risiko karyawan yang terlibat dalam kasus pengadilan untuk sementara.

  1. Dari tabel Entities di halaman Risk Analytics, arahkan kursor ke kolom paling kanan baris. Anda mungkin perlu men-scroll layar ke kanan. Klik more_vert

    dan pilih Perbarui skor risiko entity.

  2. Dari dialog Perbarui skor risiko entity, konfigurasikan nilai untuk hal berikut:

    • Faktor perkalian: Memungkinkan Anda meningkatkan atau menurunkan skor risiko entity dengan faktor perkalian 0,0 - 100,0. Misalnya, jika Anda menemukan bukti baru tentang entity yang membuat entity menjadi dua kali lebih berisiko, perbarui faktor perkalian menjadi 50 untuk mencerminkan faktor risiko entity yang sebenarnya.
    • Periode waktu: Periode waktu saat faktor perkalian diterapkan. Anda dapat memilih Sekarang atau antara 1 hari dan 14 hari. Jika Anda memilih Sekarang, faktor pengali akan diterapkan ke skor risiko entity untuk periode penghitungan risiko saat ini. Hanya pemberitahuan dan deteksi yang sudah ada yang akan disertakan dalam penghitungan. Saat jangka waktu yang dipilih berakhir, pembaruan pada skor risiko entity akan dihentikan dan skor risiko akan kembali normal.
    • Alasan: Memungkinkan Anda memberikan konteks tambahan kepada pengguna lain tentang alasan pembaruan ini dilakukan. Pilih dari opsi berikut: Bukti baru, Skor risiko salah, Profil risiko berubah, Persyaratan kepatuhan, atau Lainnya.

Jika Anda mencoba membuat perubahan yang telah dilakukan (misalnya, Anda ingin memperbarui faktor perkalian entitas menjadi 25%, tetapi anggota tim lain telah melakukan perubahan tersebut), dialog akan muncul yang menyatakan bahwa perubahan telah dilakukan, termasuk informasi tentang siapa yang melakukan perubahan dan kapan.

Melihat pembaruan skor risiko di detail entity

Anda dapat melihat semua pembaruan skor risiko untuk entity di halaman Profil entity.

  1. Klik entitas yang histori pembaruan skor risikonya ingin Anda lihat untuk membuka halaman Profil entitas.
  2. Di Diagram linimasa peristiwa, setiap kali seseorang mengubah skor risiko entitas, akan ditunjukkan dengan label Perubahan Skor Risiko dalam teks putih.
  3. Arahkan kursor ke teks untuk menampilkan dialog dengan tanggal, pengguna, dan alasan perubahan.

Daftar pantauan

Halaman Daftar Pantau memungkinkan Anda memantau entitas tertentu dari seluruh perusahaan.

  1. Di menu navigasi kiri, klik Deteksi.
  2. Dari Detection, klik Risk analytics.
  3. Klik tab Watchlists.

Menambahkan daftar tontonan

Untuk menambahkan daftar pantau ke akun Google Security Operations, selesaikan langkah-langkah berikut. Anda dapat mengonfigurasi hingga 200 daftar tontonan.

  1. Klik Buat daftar tontonan.
  2. Tentukan Nama daftar tontonan.
  3. (Opsional) Tentukan Deskripsi.
  4. (Opsional) Tentukan Faktor pengganda antara 0-100. Defaultnya adalah 1.
  5. (Opsional) Tentukan entitas di sisi kanan jendela setelah bagian Tambahkan entitas ke daftar pantau. Anda dapat menambahkan jenis entity berikut di sini:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klik Buat daftar tontonan.

Menyematkan daftar tontonan

  1. Klik Edit tampilan.
  2. Klik kotak centang di samping daftar tontonan yang ingin disematkan.
  3. Klik Simpan.

Melepas pin daftar tontonan

  1. Dari dasbor Daftar Tontonan, pilih daftar tontonan yang ingin Anda lepas pinnya, lalu pilih more_vert .
  2. Klik Hapus dari tampilan.

Mengedit daftar tontonan

  1. Dari dasbor Watchlist, pilih watchlist yang ingin Anda edit, lalu klik ikon more_vert .
  2. Klik Edit daftar tontonan.

Menghapus daftar tontonan

  1. Dari dasbor Daftar Tontonan, pilih daftar tontonan yang ingin dihapus, lalu klik more_vert .
  2. Klik Hapus daftar tontonan.

Menambahkan entity ke daftar pantauan

Untuk menambahkan entity ke daftar pantau, Anda menentukan nama, jenis, dan namespace entity (opsional) baris demi baris menggunakan salah satu format berikut.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE dapat berupa salah satu dari hal berikut:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE hanya dapat ditentukan untuk jenis entitas aset:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Contoh:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Contoh ini mewakili dua entitas yang ditambahkan ke daftar pantau, alamat IP aset 205.148.5.0 dan nama host website.com di bawah namespace chronicle. Anda dapat memiliki hingga 10.000 entitas dalam daftar pantauan.

Menghapus entitas dari daftar tontonan

Untuk menghapus entitas dari daftar pantauan, hapus baris yang mewakili entitas yang ingin dihapus, lalu klik Simpan.

Mengubah setelan skor risiko

Halaman Skor Risiko Entity memungkinkan Anda menentukan cara penghitungan skor risiko untuk entity, pemberitahuan, dan deteksi. Halaman ini memungkinkan Anda menyesuaikan cara penghitungan risiko berdasarkan kebutuhan unik penelusuran Anda.

Ada tiga kolom di halaman Skor Risiko Entity yang dapat Anda perbarui:

Untuk mengubah salah satu setelan ini, ikuti langkah-langkah berikut:

  1. Dari menu navigasi, pilih Setelan > Skor Risiko Entitas.
  2. Perbarui skor risiko dengan sesuai.
  3. Klik Simpan. Saat kembali ke halaman Risk Analytics utama, Anda akan melihat pesan di bagian atas layar yang mengonfirmasi bahwa perubahan telah dilakukan pada Entity Risk Score.
  4. (Opsional) Untuk menetapkan ulang salah satu nilai ini, klik Reset di sebelah kanan nilai.

Pembaruan hanya akan berlaku untuk pemberitahuan dan deteksi baru. Mungkin diperlukan waktu hingga 30 menit agar perubahan dapat diterapkan.

Pembobotan skor risiko entity

Pembobotan menentukan kontribusi skor risiko pemberitahuan dan deteksi terhadap penghitungan skor risiko entity. Bobot adalah nilai dari 0-1 dan defaultnya adalah 0,2.

Berikut adalah beberapa contoh pengaruh angka yang berbeda terhadap penghitungan skor risiko entity:

  • Pembobotan skor risiko entity 0. Skor risiko mentah adalah skor risiko deteksi maksimum di antara semua deteksi untuk entity.
  • Pembobotan skor risiko entity 1. Skor risiko mentah adalah jumlah semua skor risiko deteksi untuk entity.
  • Pembobotan skor risiko entity 0.5. Skor risiko memberikan bobot penuh ke deteksi dengan skor risiko maksimum untuk entity dan setengah bobot untuk semua deteksi lainnya.

Skor risiko default untuk deteksi

Skor risiko default untuk deteksi memungkinkan Anda menetapkan nilai default untuk skor risiko deteksi. Skor risiko deteksi digunakan untuk menghitung skor risiko entity. Skor risiko untuk deteksi ditetapkan saat aturan ditulis. Jika tidak ada skor risiko yang ditentukan dalam aturan, nilai default akan digunakan. Skor defaultnya adalah 15 dan rentang skor risikonya adalah 0-100.

Skor risiko default untuk pemberitahuan

Serupa dengan Skor risiko default untuk deteksi, kolom ini memungkinkan Anda menetapkan nilai default untuk skor risiko pemberitahuan. Jika tidak ada skor risiko yang ditetapkan dalam aturan, nilai default 40 akan digunakan. Rentang skor risiko adalah 0-1.000.

Untuk informasi tentang cara menentukan skor risiko dalam aturan, lihat Sintaksis bagian Hasil.

Koefisien Pemberitahuan Tertutup

Koefisien pemberitahuan tertutup mengubah skor risiko pemberitahuan yang ditandai sebagai tertutup oleh analis. Ini adalah pengubah floating point antara 0 dan 1 inklusif. Nilai defaultnya adalah 1,0, yang berarti bahwa semua pemberitahuan yang terbuka dan ditutup mempertahankan skor aslinya. Jika koefisien pemberitahuan tertutup memiliki nilai 0,0, semua pemberitahuan tertutup akan menerima skor risiko 0 dan tidak akan lagi meningkatkan skor risiko seluruh entitas.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.