Dashboard für Risikoanalysen

Unterstützt in:

Im Dashboard Risikoanalyse können Sie Ihre Umgebung aus risikobasierter Sicht betrachten. Wenn Sie Risikotrends für Entitäten visualisieren, können Sie ungewöhnliches Verhalten erkennen und das potenzielle Risiko, das Entitäten für Ihr Unternehmen darstellen, besser nachvollziehen.

Im Dashboard Risikoanalyse sind gefährdete Entitäten und Details zu Risikofaktoren aufgeführt. In Systemen, in denen die datenbasierte RBAC verwendet wird, können nur Nutzer mit globalem Zugriff auf Risikoanalysen zugreifen. Weitere Informationen finden Sie unter Auswirkungen der RBAC für Daten auf die Risikoanalyse.

So rufen Sie das Dashboard Risikoanalyse auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.

Anzahl der Entitäten, Risikobewertung und Entitätentabelle

Im Dashboard Risikoanalyse werden basierend auf den ausgewählten Filtern nur die 10.000 Entitäten mit dem höchsten Risiko im Unternehmen angezeigt. Alle Diagramme und Tabellen im Dashboard stellen nur diese Entitäten dar.

Im Diagramm Entitätsanzahl insgesamt oben links sehen Sie die Anzahl der Entitäten in Ihrem Unternehmen, für die ein Risiko größer als 0 besteht. Entitäten mit einem Risikowert von 0 werden weiterhin erfasst, aber in diesem Diagramm nicht dargestellt. Die Gesamtzahl wird auf Assets und Nutzer aufgeteilt.

Weitere Informationen zu Entitäten finden Sie unter Logische Objekte: Ereignis und Entität. Weitere Informationen zur Berechnung von Risikobewertungen finden Sie unter Berechnung der Risikobewertung.

In der Tabelle Entitäten gibt es mehrere Spalten, die sich auf den Risikowert der Entität beziehen:

Spalte Wert
Entitätsname Name der Entität.
Entitätstyp Entitätstyp (Asset oder Nutzer).
Normalized Normalisierte Werte werden für alle Entitäten berechnet, wobei eine Skala von 0 bis 1.000 unter Verwendung der Min-Max-Normalisierung verwendet wird.
Änderung von „Normalisiert“ Änderung der normalisierten Risikobewertung für die Entität seit dem vorherigen Risikoberechnungsfenster.
Trend von „Normalisiert“ Die prozentuale Änderung der normalisierten Risikobewertung im Vergleich zum vorherigen Risikozeitraum.
Basis Der Basisentitätsrisikowert entspricht der maximalen Risikobewertung für Ergebnisse plus der Gewichtung multipliziert mit der Summe der verbleibenden Risikobewertungen für Ergebnisse.

Die Standardgewichtung ist 0,2 und kann in den Einstellungen geändert werden.
Änderung von „Basis“ Änderung der Basisrisikobewertung für die Entität seit dem vorherigen Risikoberechnungsfenster.
Trend von „Basis“ Die prozentuale Änderung der Basisrisikobewertung im Vergleich zum vorherigen Risikozeitraum.
Anzahl der Ergebnisse Die Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), in denen diese Entität während des Risikoberechnungsfensters vorkommt.
Zuerst im Fenster gefunden Zeitstempel, der angibt, wann die Entität zuerst in einem Ergebnis (Benachrichtigung oder Erkennung) während des Risikoberechnungsfensters gefunden wurde.
Zuletzt im Fenster gefunden Zeitstempel, der angibt, wann die Entität zuletzt in einem Ergebnis (Benachrichtigung oder Erkennung) während des Risikoberechnungsfensters gefunden wurde.

Fenster für Risikoberechnung anpassen

Das berechnete Risiko einer Entität ändert sich je nach untersuchtem Zeitraum. Wenn Sie die Einstellung Risikoberechnungsfenster oben rechts ändern (24-Stunden-Fenster oder 7-Tage-Fenster auswählen), ändert sich die hier angezeigte berechnete Risikobewertung. Je nach Art des Angriffs, nach dem Sie suchen, sollten Sie diese Einstellung ändern. So werden beispielsweise Brute-Force-Angriffe besser erkannt, wenn Sie das Risikoberechnungszeitraum auf 24 Stunden festlegen. Mit längeren Zeiträumen können Sie langfristige Angriffe erkennen.

Risikobewertungen für Entitäten ändern sich je nach ausgewähltem Risikoberechnungsfenster. Risikobewertungen für Entitäten werden anhand der Ergebnisse berechnet, die während des Risikofensters generiert wurden.

Suche mit Schnellfiltern eingrenzen

Mit Schnellfiltern können Sie Ihre Suche eingrenzen, indem nur Ergebnisse angezeigt werden, die für Ihre spezifischen Anforderungen relevant sind.

So verwenden Sie Schnellfilter im Dashboard Risikoanalyse:

  1. Klicken Sie über der Tabelle Entitäten auf filter_alt . Das Fenster Filter wird angezeigt.
  2. Wählen Sie eine der Spalten aus:
    • Anzahl der Ergebnisse
    • Normalisierte Risikobewertung für Entität
    • Normalisierter Risikotrend für Entität
    • Typ
  3. Wählen Sie Nur anzeigen oder Ausfiltern aus.
  4. Wählen Sie einen Wert aus. Sie können auch mehrere Werte auswählen, um den Bereich zu erweitern:
    • Anzahl der Ergebnisse: Werte von 0 bis über 1.000.
    • Normalisierte Risikobewertung für Entität: Werte von 0 bis 1.000.
    • Normalisierter Risikotrend für Entität: Prozentsätze von unter −99 % bis über 199%.
    • Typ: Wählen Sie Assets oder Nutzer aus.
  5. Optional: Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie den Vorgang ab Schritt 2.
  6. Klicken Sie auf Übernehmen, wenn Sie mit der Konfiguration der Filter fertig sind.

Wenn Sie beispielsweise den Normalisierten Risikotrend für Entität auswählen, Nur anzeigen auswählen und > 199% anklicken, werden nur die Entitäten mit einer normalisierten Risikoänderung für Entitäten von mehr als 199% angezeigt.

Entität über die Seite „Entität“ untersuchen

So untersuchen Sie eine Entität:

  1. Scrollen Sie durch die Spalte Entitätsname oder verwenden Sie die Suchleiste, um eine Entität zu finden.
  2. Klicken Sie auf die Entität, die Sie untersuchen möchten.

Dadurch wird die Seite mit den Entitätsdetails geöffnet. Auf dieser Seite können Sie nur die Ergebnisse für diese Entität prüfen. Im Diagramm Zeitachse der Ergebnisse oben werden die Risikobewertungen für Entitäten und die Ergebnisse im Zeitverlauf dargestellt. Dieses Diagramm besteht aus vorab berechneten Messwerten, die in einem Liniendiagramm dargestellt werden, um Trends im Zeitverlauf zu zeigen. Anomalien sind im Liniendiagramm als Spitzen zu erkennen. Unterhalb des Diagramms befindet sich die Tabelle Ergebnisse, in der die Ereignisse und Aktivitäten aufgeführt sind, die der ausgewählten Entität zugeordnet wurden.

Rechts unten befindet sich der minimierbare Bereich Entitätsdetails ansehen mit einer Zusammenfassung wichtiger Details zur ausgewählten Entität. Wenn Sie die ausgewählte Entität genauer untersuchen möchten, klicken Sie auf Entitätsdetails ansehen. Die Entität wird dann in der Asset-Ansicht oder Nutzer-Ansicht angezeigt, je nachdem, ob es sich um ein Asset oder einen Nutzer handelt. Weitere Informationen finden Sie unter Asset-Entität untersuchen oder Nutzer untersuchen.

Entität mithilfe von Entitätsanalysen untersuchen

Mithilfe von Entitätsanalysen erhalten SOC-Analysten und Threat Hunter einen detaillierten Überblick über das Verhalten einer Entität, einschließlich des Referenzprofils, von Anomalien und kontextbezogenen Ergänzungen.

Wählen Sie auf der Seite „Element“ in der Zeitachse der Ergebnisse einen Zeitraum von bis zu 90 Tagen aus und klicken Sie auf Analysen für die Auswahl ansehen. Daraufhin wird eine Seitenleiste geöffnet, in der die zu diesem Rechtssubjekt im ausgewählten Zeitraum gehörenden Analysen angezeigt werden. Für jede Analyse wird eine Zusammenfassung aller Analysewerte im ausgewählten Zeitraum angezeigt. Wenn eine Analyse erkannt wird, enthält sie eine Liste mit zugehörigen Benachrichtigungen und Erkennungen, die Sie durch Klicken auf Mehr anzeigen genauer untersuchen können. Dadurch wird die entsprechende Ansicht Benachrichtigungen oder Erkennungen geöffnet. Weitere Informationen finden Sie unter Benachrichtigungen untersuchen.

Folgende Entitätsanalysen sind verfügbar:

  • Anzahl der Benachrichtigungsereignisnamen
  • Authentifizierungsversuche erfolgreich
  • Authentifizierungsversuche fehlschlagen
  • Authentifizierungsversuche insgesamt
  • DNS-Bytes ausgehend
  • DNS-Abfragen fehlschlagen
  • Erfolgreiche DNS-Abfragen
  • DNS-Abfragen insgesamt
  • Erfolgreiche Dateiausführungen
  • Fehlgeschlagene Dateiausführungen
  • Dateiausführungen insgesamt
  • Erfolgreiche HTTP-Abfragen
  • HTTP-Abfragen fehlschlagen
  • HTTP-Abfragen insgesamt
  • Eingehende Netzwerk-Byte
  • Netzwerk-Byte ausgehend
  • Netzwerk-Byte insgesamt
  • Gesamtzahl der Workspace-Authentifizierungsversuche
  • Gesendete Workspace-E-Mails insgesamt
  • Workspace-Netzwerk-Byte ausgehend
  • Netzwerk-Byte für Workspace insgesamt
  • Gesamtzahl der Änderungsaktionen im Arbeitsbereich
  • Downloadaktionen im Workspace insgesamt

Risikobewertung für eine Entität ändern

Wenn externe Informationen oder Ereignisse sich auf das tatsächliche Risiko einer Entität auswirken, können Sie die Risikobewertung der Entität aktualisieren.

Sie können beispielsweise den Risikowert eines Mitarbeiters vorübergehend senken, der gerade eine Übung des Red-Team-Angriffs (z. B. Penetrationstests) abgeschlossen hat, damit Analysten nicht unnötig Zeit damit verschwenden müssen, herauszufinden, warum das Risiko für diesen Mitarbeiter gestiegen ist. Sie können auch vorübergehend den Risikowert eines Mitarbeiters erhöhen, der in einen Gerichtsfall verwickelt ist.

  1. Bewegen Sie den Mauszeiger auf der Seite Risikoanalyse in der Tabelle Entitäten auf die äußerste rechte Spalte der Zeile. Möglicherweise müssen Sie auf dem Display nach rechts scrollen. Klicken Sie auf das Dreipunkt-Menü more_vert.

    und wählen Sie Risikobewertung für Entität aktualisieren aus.

  2. Konfigurieren Sie im Dialogfeld Risikobewertung für Entität aktualisieren die Werte für Folgendes:

    • Multiplikationsfaktor: Mit diesem Faktor zwischen 0,0 und 100,0 können Sie die Risikobewertung einer Entität erhöhen oder verringern. Wenn Sie beispielsweise neue Informationen zu einer Entität gefunden haben, die das Risiko für diese Entität verdoppelt, aktualisieren Sie den Multiplikationsfaktor auf 50, um den tatsächlichen Risikofaktor der Entität widerzuspiegeln.
    • Zeitraum: Zeitraum, in dem der Multiplikator angewendet wird. Sie können Jetzt oder einen Zeitraum zwischen 1 Tag und 14 Tage auswählen. Wenn Sie Jetzt auswählen, wird der Multiplikationsfaktor auf die Risikobewertung für Entitäten im aktuellen Risikoberechnungsfenster angewendet. Es werden nur vorhandene Benachrichtigungen und Erkennungen in die Berechnung einbezogen. Nach Ablauf des ausgewählten Zeitraums wird die Risikobewertung für Entitäten nicht mehr aktualisiert und die Risikobewertung kehrt zum Normalwert zurück.
    • Grund: Hier können Sie anderen Nutzern mitteilen, warum diese Änderung vorgenommen wurde. Wählen Sie eine der folgenden Optionen aus: Neue Informationen, Falscher Risikowert, Geändertes Risikoprofil, Compliance-Anforderungen oder Sonstiges.

Wenn Sie versuchen, eine bereits vorgenommene Änderung vorzunehmen (z. B. den Multiplikator einer Entität auf 25 % aktualisieren möchten, diese Änderung aber bereits von einem anderen Teammitglied vorgenommen wurde), wird ein Dialogfeld mit der Meldung angezeigt, dass die Änderung bereits vorgenommen wurde. Außerdem werden Informationen dazu angezeigt, wer die Änderung vorgenommen hat und wann.

Aktualisierungen der Risikobewertung in den Entitätsdetails ansehen

Auf der Seite Entitätsprofil können Sie alle Aktualisierungen der Risikobewertung für eine Entität aufrufen.

  1. Klicken Sie auf die Entität, deren Aktualisierungsverlauf für die Risikobewertung Sie aufrufen möchten, um die Seite Entitätsprofil zu öffnen.
  2. Im Diagramm mit der Ereigniszeitachse wird jedes Mal, wenn jemand den Risikowert der Entität geändert hat, das Label Änderung des Risikowerts in weißer Schrift angezeigt.
  3. Bewegen Sie den Mauszeiger auf den Text, um ein Dialogfeld mit dem Datum, dem Nutzer und dem Grund für die Änderung aufzurufen.

Beobachtungslisten

Auf der Seite Beobachtungslisten können Sie bestimmte Entitäten in Ihrem Unternehmen beobachten.

  1. Klicken Sie in der linken Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.
  3. Klicke auf den Tab Merkzettel.

Beobachtungsliste hinzufügen

So fügen Sie Ihrem Google Security Operations-Konto eine Beobachtungsliste hinzu: Sie können bis zu 200 Merkzettel konfigurieren.

  1. Klicke auf Merkzettel erstellen.
  2. Geben Sie einen Namen für die Merkliste an.
  3. Optional: Geben Sie eine Beschreibung an.
  4. Optional: Geben Sie einen Multiplikationsfaktor zwischen 0 und 100 an. Der Standardwert ist 1.
  5. Optional: Geben Sie rechts im Fenster unter Entitäten zu einer Beobachtungsliste hinzufügen Entitäten an. Sie können hier die folgenden Entitätstypen hinzufügen:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klicke auf Merkzettel erstellen.

Beobachtungsliste anpinnen

  1. Klicken Sie auf Display bearbeiten.
  2. Klicke auf das Kästchen neben der Merkliste, die du anpinnen möchtest.
  3. Klicken Sie auf Speichern.

Merkliste loslösen

  1. Wählen Sie auf dem Dashboard Merklisten die Merkliste aus, deren Anpinnen Sie aufheben möchten, und dann more_vert .
  2. Klicken Sie auf Aus Anzeige entfernen.

Beobachtungsliste bearbeiten

  1. Wählen Sie auf dem Dashboard Watchlists die Watchlist aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol more_vert .
  2. Klicke auf Merkzettel bearbeiten.

Merkliste löschen

  1. Wählen Sie auf dem Dashboard Merklisten die Merkliste aus, die Sie löschen möchten, und klicken Sie auf das more_vert .
  2. Klicke auf Merkzettel löschen.

Entitäten zu einer Merkliste hinzufügen

Wenn Sie einer Beobachtungsliste Entitäten hinzufügen möchten, geben Sie den Entitätsnamen, den Typ und (optional) den Namespace zeilenweise in einem der folgenden Formate an.

  • NAME, TYPE

  • NAME,TYPE,NAMESPACE

    TYPE kann eines der Folgenden sein:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE kann nur für die folgenden Asset-Entitätstypen angegeben werden:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Beispiel:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Dieses Beispiel stellt zwei Entitäten dar, die der Beobachtungsliste hinzugefügt wurden: eine Asset-IP-Adresse 205.148.5.0 und ein Hostname website.com im Namespace chronicle. Eine Beobachtungsliste kann bis zu 10.000 Entitäten enthalten.

Entitäten aus einer Merkliste entfernen

Wenn Sie Entitäten aus einer Beobachtungsliste entfernen möchten, entfernen Sie die Linien, die die zu entfernenden Entitäten darstellen, und klicken Sie auf Speichern.

Einstellungen für Risikobewertungen ändern

Auf der Seite Risikobewertung für Entitäten können Sie festlegen, wie Risikobewertungen für Entitäten, Benachrichtigungen und Erkennungen berechnet werden. Auf dieser Seite können Sie die Berechnung des Risikos an die individuellen Anforderungen Ihrer Suche anpassen.

Auf der Seite Risikobewertung für Entität können Sie drei Felder aktualisieren:

So ändern Sie diese Einstellungen:

  1. Wählen Sie in der Navigationsleiste Einstellungen > Risikobewertungen für Rechtssubjekte aus.
  2. Aktualisieren Sie die Risikobewertungen entsprechend.
  3. Klicken Sie auf Speichern. Wenn Sie zur Hauptseite Risikoanalyse zurückkehren, wird oben auf dem Bildschirm eine Meldung angezeigt, dass eine Änderung am Risikowert der Entität vorgenommen wurde.
  4. Optional: Wenn Sie einen dieser Werte zurücksetzen möchten, klicken Sie rechts neben dem Wert auf Zurücksetzen.

Änderungen werden nur auf neue Benachrichtigungen und Erkennungen angewendet. Es kann bis zu 30 Minuten dauern, bis die Änderungen wirksam werden.

Gewichtung der Risikobewertung für Entitäten

Mit der Gewichtung wird festgelegt, wie die Risikobewertungen für Benachrichtigungen und Erkennungen zur Berechnung der Risikobewertung für Entitäten beitragen. Die Gewichtung ist ein Wert zwischen 0 und 1.Der Standardwert ist 0,2.

Hier einige Beispiele dafür, wie sich unterschiedliche Zahlen auf die Berechnung der Risikobewertung für Entitäten auswirken:

  • Gewichtung der Risikobewertung für Entitäten 0. Der Rohrisikowert ist der höchste Risikowert aller Erkennungen für die Entität.
  • Gewichtung der Risikobewertung für Entitäten 1. Der Rohrisikowert ist die Summe aller Risikobewertungen für Erkennungen für die Entität.
  • Gewichtung der Risikobewertung für Entitäten 0.5. Die Risikobewertung hat für die Erkennung mit der maximalen Risikobewertung für die Entität volles Gewicht und für alle anderen Erkennungen die Hälfte des Gewichts.

Standardrisikobewertung für Erkennungen

Mit der Option Standardrisikobewertung für Erkennungen können Sie einen Standardwert für Risikobewertungen für Erkennungen festlegen. Risikobewertungen für Erkennungen werden verwendet, um Risikobewertungen für Entitäten zu berechnen. Risikobewertungen für Erkennungen werden beim Schreiben einer Regel definiert. Wenn in der Regel kein Risikowert definiert ist, wird der Standardwert verwendet. Der Standardwert ist 15 und der Risikobewertungsbereich liegt zwischen 0 und 100.

Standardrisikobewertung für Benachrichtigungen

Ähnlich wie bei der Standardrisikobewertung für Erkennungen können Sie mit diesem Feld einen Standardwert für die Risikobewertung von Warnungen zuweisen. Wenn Sie keine Risikobewertung in der Regel definieren, wird der Standardwert 40 verwendet. Der Bereich der Risikobewertung liegt zwischen 0 und 1.000.

Informationen zum Definieren des Risikowerts in einer Regel finden Sie unter Syntax des Abschnitts „Outcome“.

Koeffizient für geschlossene Benachrichtigungen

Der Koeffizient für geschlossene Benachrichtigungen ändert die Risikobewertung von Benachrichtigungen, die von Analysten als geschlossen markiert wurden. Er ist ein Gleitkomma-Modifikator zwischen 0 und 1 (einschließlich). Der Standardwert ist 1,0.Das bedeutet, dass alle offenen und geschlossenen Benachrichtigungen ihre ursprünglichen Bewertungen behalten. Wenn der Koeffizient für geschlossene Benachrichtigungen den Wert 0,0 hat, erhalten alle geschlossenen Benachrichtigungen eine Risikobewertung von 0 und erhöhen die Risikobewertung der gesamten Entität nicht mehr.