Painel de análise de dados de risco

O painel Análise de risco permite que você visualize seu ambiente com base em riscos. A visualização de tendências de risco da entidade ajuda a identificar um comportamento incomum e entender o risco potencial que as entidades representam para sua empresa.

O painel Análise de risco lista entidades em risco e detalhes do fator de risco. Em sistemas que usam o RBAC de dados, somente usuários com escopo global podem acessar a análise de risco. Para mais informações, consulte Impacto do RBAC de dados na análise de risco.

Para acessar o painel Análise de risco, siga estas etapas:

  1. Na barra de navegação, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.

Contagem de entidades, pontuação de risco e tabela de entidades

O painel Análise de risco mostra, com base nos filtros escolhidos, apenas as 10.000 principais entidades com o maior risco na empresa. Todos os gráficos e tabelas no painel representam apenas esse conjunto de entidades.

O gráfico Contagem total de entidades no canto superior esquerdo exibe o número de entidades rastreadas na sua empresa com um risco maior que 0. Entidades com uma pontuação de risco de 0 ainda estão sendo rastreadas, mas não serão representadas neste gráfico. A contagem total é dividida entre Recursos e Usuários.

Para mais informações sobre entidades, consulte Objetos lógicos: evento e entidade. Para mais informações sobre como as pontuações de risco são calculadas, consulte Cálculo da pontuação de risco.

Na tabela Entidades, há várias colunas relacionadas à pontuação de risco da entidade:

Coluna Valor
Nome da entidade Nome da entidade.
Tipo de entidade Tipo de entidade (recurso ou usuário).
Dados normalizados As pontuações normalizadas são calculadas entre as entidades, escalonadas entre 0 e 1.000 usando a normalização mín-máx.
Alteração normalizada Alteração na pontuação de risco normalizada da entidade desde a janela de cálculo de risco anterior.
Tendência normalizada Aumento ou diminuição na mudança percentual da pontuação de risco normalizada em comparação com a janela de risco anterior.
Base A pontuação de risco básica da entidade é igual à pontuação de risco máxima de descoberta mais a ponderação multiplicada pela soma das pontuações de risco das descobertas restantes.

O padrão de ponderação é 0,2 e pode ser alterado em "Configurações".
Mudança de base Alteração na pontuação de risco básica da entidade desde a janela de cálculo de risco anterior.
Tendência básica Aumento ou diminuição na mudança percentual da pontuação de risco básica em comparação com a janela de risco anterior.
Contagem de descobertas O número de descobertas (alertas e detecções) que incluem esta entidade durante a janela de cálculo de risco.
Visto pela primeira vez na janela Carimbo de data/hora em que a entidade foi vista pela primeira vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.
Visto pela última vez na janela Carimbo de data/hora em que a entidade foi vista pela última vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.

Ajustar a janela de cálculo de risco

O risco calculado apresentado por uma entidade muda dependendo do período em análise. Alterar a configuração Janela de cálculo de risco no canto superior direito (selecione Janela de 24 horas ou Janela de sete dias) altera a pontuação de risco calculada exibida aqui. Mude essa configuração dependendo do tipo de ataque que você está procurando. Por exemplo, os ataques de força bruta são mais aparentes ao definir a Janela de cálculo de risco como 24 horas. Prazos mais longos permitem identificar ataques de longo prazo.

As pontuações de risco da entidade mudam de acordo com a janela de cálculo de risco selecionada. As pontuações de risco da entidade são calculadas com base nas descobertas geradas durante a janela de risco.

Restringir a pesquisa com filtros rápidos

Os filtros rápidos permitem restringir a pesquisa mostrando apenas resultados relevantes para suas necessidades específicas.

Para usar os filtros rápidos no painel Análise de risco, siga estas etapas:

  1. Clique em filter_alt acima da tabela Entidades. A janela Filtros será exibida.
  2. Selecione uma das colunas:
    • Número de descobertas
    • Pontuação de risco normalizada da entidade
    • Tendência normalizada de risco da entidade
    • Tipo
  3. Selecione Mostrar apenas ou Filtrar.
  4. Selecione um valor (é possível selecionar mais de um valor para expandir o intervalo):
    • Número de descobertas: valores de 0 a maiores que 1.000.
    • Pontuação de risco da entidade normalizada: valores de 0 a 1.000.
    • Tendência de risco da entidade normalizada: porcentagens de menos de -99% a maiores de 199%.
    • Tipo: selecione Recursos ou Usuários.
  5. (Opcional) Para adicionar mais filtros, clique em Adicionar filtro e repita esse processo a partir da etapa 2.
  6. Quando terminar de configurar os filtros, clique em Aplicar.

Por exemplo, se você selecionar a Tendência de risco da entidade normalizada, selecionar Mostrar apenas e marcar >199%, apenas as entidades com uma mudança de risco de entidade normalizada maior que 199% serão exibidas.

Investigar uma entidade usando a página dela

Para investigar uma entidade, siga estas etapas:

  1. Role pela coluna Nome da entidade ou use a barra de pesquisa para encontrar uma entidade.
  2. Clique na entidade que você quer investigar.

Isso abre a página da entidade. Nesta página, você pode examinar apenas as descobertas associadas a essa entidade. O gráfico da linha do tempo de descobertas na parte superior rastreia as pontuações de risco e as descobertas da entidade ao longo do tempo. Ele é composto por métricas pré-computadas exibidas em formato de gráfico de linhas para mostrar tendências ao longo do tempo. As anomalias são identificadas como picos no gráfico de linhas. Abaixo do gráfico está a tabela Descobertas, que mostra a quais eventos e atividades a entidade selecionada foi associada.

No canto inferior direito, há um painel Visualizar detalhes da entidade que pode ser recolhido com um resumo dos detalhes importantes sobre a entidade selecionada. Para concluir um exame detalhado da entidade selecionada, clique em Visualizar detalhes da entidade para exibi-la na visualização Recurso ou Usuário, dependendo se a entidade é um recurso ou um usuário, respectivamente. Para mais informações, consulte Investigar uma entidade de recurso ou Investigar um usuário.

Investigar uma entidade usando a análise de entidades

A análise de entidades fornece aos analistas de SOC e aos caçadores de ameaças uma visão detalhada do comportamento de uma entidade, incluindo o perfil de referência da entidade, anomalias e enriquecimentos contextuais.

Na página da entidade, selecione um período de até 90 dias na linha do tempo das descobertas e clique em Ver análise da seleção. Isso abre uma barra lateral que mostra as análises associadas a essa entidade no período selecionado. Cada análise exibe um agregado de todos os valores analíticos dentro do período. Quando detectado, uma análise inclui uma lista de alertas e detecções relacionados que pode ser examinado mais detalhadamente clicando em Visualizar mais para abrir a visualização de Alertas ou Detecção correspondente. Para mais informações, consulte Investigar um alerta.

As seguintes análises de entidades são fornecidas:

  • Contagem de nomes de eventos de alerta
  • Tentativas de autenticação bem-sucedidas
  • Falha nas tentativas de autenticação
  • Total de tentativas de autenticação
  • Saída de bytes DNS
  • Falha nas consultas DNS
  • Consultas DNS concluídas
  • Total das consultas DNS
  • Execuções de arquivos concluídas
  • Falha nas execuções de arquivo
  • Total de execuções de arquivo
  • Consultas HTTP concluídas
  • Falha nas consultas HTTP
  • Total de consultas HTTP
  • Entrada de bytes de rede
  • Saída de bytes de rede
  • Total de bytes de rede
  • Total de tentativas de autenticação do Workspace
  • Total de e-mails enviados ao Workspace
  • Saída de bytes de rede do Workspace
  • Total de bytes de rede do Workspace
  • Total de ações de mudança do Workspace
  • Total de ações de download do Workspace

Modificar uma pontuação de risco da entidade

Quando informações ou eventos externos afetam o verdadeiro risco de uma entidade, é possível atualizar a pontuação de risco dela.

Por exemplo, é possível diminuir temporariamente a pontuação de risco de um funcionário que acabou de terminar um exercício de red team (como teste de penetração) para que os analistas não tenham que perder tempo investigando por que esse funcionário teve um aumento de risco. Também é possível aumentar temporariamente a pontuação de risco de um funcionário envolvido em um caso de tribunal.

  1. Na tabela Entidades da página Análise de risco, mantenha o ponteiro do mouse sobre a coluna à direita da linha. Pode ser necessário rolar a tela para a direita. Clique em more_vert.

    e selecione Atualizar pontuação de risco da entidade.

  2. Na caixa de diálogo Atualizar pontuação de risco da entidade, configure os valores para os seguintes:

    • Fator de multiplicação: permite aumentar ou diminuir a pontuação de risco de uma entidade com um fator de multiplicação de 0,0 - 100,0. Por exemplo, se você descobriu novas evidências sobre uma entidade que torna a entidade duas vezes mais arriscada, atualize o fator de multiplicação para 50 para refletir o verdadeiro fator de risco da entidade.
    • Período: período em que o fator de multiplicação é aplicado. Você pode selecionar Agora ou entre 1 dia e 14 dias. Se você selecionar Agora, o fator de multiplicação será aplicado à pontuação de risco da entidade referente à janela de cálculo de risco atual. Apenas os alertas e as detecções atuais são incluídos no cálculo. Quando o período selecionado terminar, as atualizações da pontuação de risco da entidade serão interrompidas e a pontuação de risco voltará ao normal.
    • Motivo: permite deixar mais contexto para outros usuários sobre o motivo da atualização. Escolha uma destas opções: Nova evidência, Pontuação de risco incorreta, Perfil de risco alterado, Requisitos de compliance ou Outros.

Se você tentar fazer uma alteração que já foi feita (por exemplo, se quiser atualizar o fator de multiplicação de uma entidade para 25%, mas outro membro da equipe já tiver feito essa alteração), será exibida uma caixa de diálogo informando que a alteração já foi feita, incluindo informações sobre quem fez a alteração e quando.

Conferir atualizações da pontuação de risco nos detalhes da entidade

Todas as atualizações da pontuação de risco de uma entidade podem ser consultadas na página Perfil da entidade.

  1. Clique na entidade com o histórico de atualizações da pontuação de risco que você quer conferir para abrir a página Perfil da entidade.
  2. No gráfico de linha do tempo de eventos, cada vez que alguém altera a pontuação de risco da entidade é indicada pelo rótulo Modificação da pontuação de risco em branco.
  3. Mantenha o cursor sobre o texto para mostrar uma caixa de diálogo com a data, o usuário e o motivo da mudança.

Listas de interesses

A página Listas de interesses permite monitorar entidades específicas em toda a empresa.

  1. Na barra de navegação à esquerda, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.
  3. Clique na guia Listas de interesses.

Adicionar uma lista de interesses

Para adicionar uma lista de interesses à sua conta do Google Security Operations, siga as etapas a seguir. É possível configurar até 200 listas de interesses.

  1. Clique em Criar lista de sites de interesse.
  2. Especifique o Nome da lista de interesses.
  3. (Opcional) Especifique uma Descrição.
  4. (Opcional) Especifique o Fator de multiplicação entre 0 e 100. O padrão é 1.
  5. Opcional: especifique entidades no lado direito da janela após a seção Adicionar entidades a uma lista de sites de interesse. É possível adicionar os seguintes tipos de entidade aqui:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Clique em Criar lista de sites de interesse.

Fixar uma lista de interesses

  1. Clique em Editar tela.
  2. Clique na caixa de seleção ao lado da lista de sites de interesse que você quer fixar.
  3. Clique em Salvar.

Liberar uma lista de interesses

  1. No painel Listas de interesses, selecione aquela que você quer liberar e clique em more_vert .
  2. Clique em Remover da tela.

Editar uma lista de interesses

  1. No painel Listas de interesses, selecione a que você quer editar e clique no ícone more_vert .
  2. Clique em Editar lista de interesses.

Excluir uma lista de interesses

  1. No painel Listas de interesses, selecione a que você quer excluir e clique em more_vert .
  2. Clique em Excluir lista de sites de interesse.

Adicionar entidades a uma lista de interesses

Para adicionar entidades a uma lista de sites de interesse, especifique o nome da entidade, o tipo e o namespace (opcional) linha por linha usando um dos formatos a seguir.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE pode ser:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE só pode ser especificado para os tipos de entidade do recurso:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Este exemplo representa duas entidades adicionadas à lista de sites de interesse, um endereço IP de recurso 205.148.5.0 e um nome de host website.com no namespace chronicle. É possível ter até 10.000 entidades em uma lista de interesses.

Remover entidades de uma lista de sites de interesse

Para remover entidades de uma lista de sites de interesse, remova as linhas que representam as entidades que você quer remover e clique em Salvar.

Mudar as configurações da pontuação de risco

A página Pontuação de risco da entidade permite definir como as pontuações de risco são calculadas para entidades, alertas e detecções. Nessa página, é possível definir como o risco é calculado com base nas necessidades únicas da sua pesquisa.

Há três campos na página Pontuação de risco da entidade que você pode atualizar:

Para alterar qualquer uma dessas configurações, siga estas etapas:

  1. Na barra de navegação, selecione Settings > Entity Risk Scores.
  2. Atualizar as pontuações de risco adequadamente.
  3. Clique em Salvar. Quando você voltar à página principal de Análise de risco, verá uma mensagem na parte superior da tela confirmando que foi feita uma alteração na Pontuação de risco da entidade.
  4. (Opcional) Para redefinir qualquer um desses valores, clique em Redefinir à direita do valor.

As atualizações só serão aplicadas a novos alertas e detecção. Pode levar até 30 minutos para que as alterações entrem em vigor.

Ponderação da pontuação de risco da entidade

A ponderação define como as pontuações de risco de alerta e detecção contribuem para os cálculos da pontuação de risco da entidade. A ponderação é um valor de 0 a 1, e o padrão é 0,2.

Confira alguns exemplos de como números diferentes afetam o cálculo da pontuação de risco da entidade:

  • Ponderação da pontuação de risco da entidade 0. A pontuação de risco bruta é a pontuação máxima entre todas as detecções da entidade.
  • Ponderação da pontuação de risco da entidade 1. A pontuação de risco bruta é a soma de todas as pontuações de risco de detecção da entidade.
  • Ponderação da pontuação de risco da entidade 0.5. A pontuação de risco atribui todo o peso à detecção com pontuação de risco máxima para a entidade e metade do peso para todas as outras detecções.

Pontuação de risco padrão para detecções

A pontuação de risco padrão para detecções permite atribuir um valor padrão para as pontuações de risco de detecção. As pontuações de risco de detecção são usadas para calcular as pontuações de risco da entidade. As pontuações de risco das detecções são definidas quando uma regra é criada. Se nenhuma pontuação de risco for definida na regra, o valor padrão será usado. A pontuação padrão é 15 e o intervalo da pontuação de risco é de 0 a 100.

Pontuação de risco padrão para alertas

Semelhante a Pontuação de risco padrão para detecções, esse campo permite atribuir um valor padrão para as pontuações de risco de alerta. Se nenhuma pontuação de risco for definida na regra, o padrão 40 será usado. O intervalo da pontuação de risco é de 0 a 1.000.

Para informações sobre como definir a pontuação de risco em uma regra, consulte Sintaxe da seção de resultados.

Coeficiente de alerta fechado

O coeficiente de alerta fechado modifica a pontuação de risco dos alertas marcados como fechados pelos analistas. Ele é um modificador de ponto flutuante entre 0 e 1. O padrão é 1.0, o que significa que todos os alertas abertos e fechados mantêm as pontuações originais. Se o coeficiente de alerta fechado tiver um valor de 0,0, todos os alertas fechados receberão uma pontuação de risco igual a 0 e não aumentariam mais a pontuação de risco da entidade geral.