リスク分析ダッシュボード

以下でサポートされています。

[リスク分析] ダッシュボードでは、リスクベースの視点から環境を確認できます。エンティティ リスクの傾向を可視化すると、異常な動作を特定し、エンティティが組織に及ぼす潜在的なリスクを把握できます。

[リスク分析] ダッシュボードには、リスクのあるエンティティとリスク要因の詳細が表示されます。データ RBAC を使用するシステムでは、グローバル スコープを持つユーザーのみがリスク分析にアクセスできます。詳細については、データ RBAC がリスク分析に与える影響をご覧ください。

[リスク分析] ダッシュボードを表示する手順は次のとおりです。

  1. ナビゲーション バーで [検出] をクリックします。
  2. [検出] で [リスク分析] をクリックします。

エンティティ数、リスクスコア、エンティティ表

[リスク分析] ダッシュボードには、選択したフィルタに基づいて、企業内でリスクが最も高い上位 10,000 個のエンティティのみが表示されます。ダッシュボード内のグラフとテーブルはすべて、このエンティティ セットのみを表します。

左上の [エンティティの合計数] グラフには、企業で追跡されている、リスクが 0 より大きいエンティティの数が表示されます。リスクスコアが 0 のエンティティは引き続き追跡されますが、このグラフには表示されません。合計数は [アセット] と [ユーザー] に分割されます。

エンティティの詳細については、論理オブジェクト: イベントとエンティティをご覧ください。リスクスコアの計算方法の詳細については、リスクスコアの計算をご覧ください。

[エンティティ] テーブルには、エンティティ リスクスコアに関連する複数の列があります。
エンティティ名 エンティティの名前
エンティティ タイプ エンティティのタイプ(アセットまたはユーザー)。
正規化 正規化: 正規化されたスコアはエンティティ間で計算され、最小 / 最大正規化を使用して 0~1,000 の間でスケーリングされます。
正規化された変化 前のリスク計算ウィンドウからの正規化されたエンティティ リスクスコアの変化。
正規化の傾向 以前のリスク ウィンドウと比較した、正規化されたリスクスコアの変化の増減率。
基本 ベースエンティティのリスクスコアは、最大の検出リスクスコアと、残りの検出リスクスコアの合計に重み付けを掛けた値に等しくなります。

重み付けのデフォルトは .2 ですが、[設定] で変更できます。
基本スコアの変化 前のリスク計算ウィンドウからのベースエンティティのリスクスコアの変化。
基本スコアの傾向 前のリスク ウィンドウと比較した、ベースのリスクスコアの変化の増減率。
検出数 リスク計算期間中にこのエンティティを含む検出結果(アラートと検出)の数。
期間中に初めて検出 リスク計算期間中に、エンティティが検出結果(アラートまたは検出)で最初に確認された時刻のタイムスタンプ。
期間中に最後に検出 リスク計算期間中に、エンティティが検出結果(アラートまたは検出)で最後に確認された時刻のタイムスタンプ。

リスク計算期間を調整する

エンティティによってもたらされる計算されたリスクは、検査期間によって異なります。右上の [リスク計算期間] の設定を変更すると([24 時間の期間] または [7 日間の期間] のいずれかを選択)、ここに表示される計算されたリスクスコアが変更されます。検出する攻撃の種類に応じて、この設定を変更できます。たとえば、[Risk Calculation Window] を [24 Hours] に設定すると、ブルートフォース攻撃がより明確に表示されます。期間を長くすると、長期的な攻撃を検出できます。

エンティティ リスクスコアは、選択したリスク計算ウィンドウに応じて変化します。エンティティ リスクスコアは、リスク期間中に生成された検出結果に基づいて計算されます。

クイック フィルタを使用して検索を絞り込む

クイック フィルタを使用すると、特定のニーズに関連する結果のみを表示して、検索を絞り込むことができます。

[リスク分析] ダッシュボードでクイック フィルタを使用するには、次の手順に従います。

  1. [エンティティ] テーブルの上にある [ filter_alt ] をクリックします。[フィルタ] ウィンドウが表示されます。
  2. いずれかの列を選択します。
    • 結果の数
    • 正規化されたエンティティ リスクスコア
    • 正規化されたエンティティ リスクの傾向
  3. [表示の絞り込み] または [除外] を選択します。
  4. 値を選択します(複数の値を選択して範囲を広げることもできます)。
    • 検出結果の数: 0~1,000 より大きい値。
    • 正規化されたエンティティ リスクスコア: 0~1,000 の値。
    • 正規化されたエンティティ リスクの傾向: -99% 未満から 199% 超までの割合。
    • タイプ: [アセット] または [ユーザー] を選択します。
  5. (省略可)フィルタを追加するには、[フィルタを追加] をクリックして、ステップ 2 のこのプロセスを繰り返します。
  6. フィルタの設定が完了したら、[適用] をクリックします。

たとえば、[正規化されたエンティティ リスクの傾向] を選択して [表示のみ] を選択し、[>199%] をオンにすると、199% を超える正規化されたエンティティ リスクの変化が表示されます。

エンティティ ページを使用してエンティティを調査する

エンティティを調査する手順は次のとおりです。

  1. [エンティティ名] 列をスクロールするか、検索バーを使用してエンティティを検索します。
  2. 調査するエンティティをクリックします。

エンティティ ページが開きます。このページでは、1 つのエンティティに関連付けられた検出結果のみを調査することができます。上部の [検出結果のタイムライン] グラフは、エンティティのリスクスコアと検出結果の推移を示します。このグラフは事前に計算された指標で構成され、時系列の傾向が折れ線グラフで表示されます。 異常値は折れ線グラフで急上昇として確認できます。グラフの下には [検出結果] テーブルが表示されます。ここには、選択したエンティティが関連付けられているイベントとアクティビティが表示されます。

右下に、選択したエンティティに関する重要な詳細の概要を含む、折りたたみ可能な [エンティティの詳細を表示] パネルがあります。選択したエンティティの詳細な検査を完了するには、[エンティティの詳細を表示] をクリックして、エンティティがアセットかユーザーかに応じて、[アセット] ビューまたは [ユーザー] でエンティティを表示します。詳細については、アセット エンティティを調査するまたはユーザーを調査するをご覧ください。

エンティティ分析を使用してエンティティを調査する

エンティティ分析は、SOC アナリストと脅威ハンターに、エンティティのベースライン プロファイル、異常、コンテキストの拡充など、エンティティの動作の詳細なビューを提供します。

エンティティ ページから、[検出結果のタイムライン] で最大 90 日までの期間を選択し、[選択した期間の分析を表示] をクリックします。サイドバーが開き、選択した期間内のこのエンティティに関連付けられたアナリティクスが表示されます。各分析には、期間内のすべての分析値の集計が表示されます。検出された場合、分析には関連するアラートと検出のリストが含まれます。このリストは、さらに表示対応するアラートまたは検出ビューをクリックするとさらに確認できます。詳細については、アセットの調査をご覧ください。

次のエンティティ分析が提供されます。

  • アラートイベント名カウント
  • 認証試行の成功
  • 認証試行の失敗
  • 認証試行の合計回数
  • 送信 DNS バイト数
  • DNS クエリの失敗
  • DNS クエリの成功
  • DNS クエリの合計
  • ファイル実行の成功
  • ファイル実行の失敗
  • ファイル実行の合計数
  • HTTP クエリの成功
  • HTTP クエリの失敗
  • HTTP クエリの合計数
  • 受信ネットワークバイト数
  • 送信ネットワークバイト数
  • 合計ネットワークバイト数
  • ワークスペースの認証試行の合計回数
  • ワークスペースのメール送信数の合計
  • ワークスペースのネットワーク バイトの送信
  • ワークスペースのネットワークの合計バイト数
  • ワークスペースの合計変更アクション数
  • ワークスペースの合計ダウンロード アクション数

エンティティ リスクスコアを変更する

外部情報やイベントがエンティティの真のリスクに影響を及ぼす場合は、エンティティ リスクスコアを更新できます。

たとえば、レッドチーム演習(ペネトレーション テストなど)を完了したばかりの従業員のリスクスコアを一時的に下げることができます。これにより、アナリストは、その従業員のリスクが上昇した理由を調査する時間を節約できます。また、訴訟に関わる従業員のリスクスコアを一時的に引き上げることもできます。

  1. [リスク分析] ページの [エンティティ] 表で、行の右端の列にポインタを置きます。ディスプレイを右にスクロールする必要がある場合があります。[more_vert] をクリックし、

    [エンティティ リスクスコアを更新] を選択します。

  2. [エンティティ リスクスコアを更新] ダイアログで、次の値を構成します。

    • 乗算係数: 乗算係数 0.0~100.0 でエンティティのリスクスコアを増減できます。たとえば、エンティティのリスクを 2 倍にする新しい証拠を発見した場合は、乗算係数を 50 に更新して、エンティティの真のリスク要因を反映します。
    • 期間: 乗算係数が適用される期間。[現在] または [1 日] から [14 日] までの日数を選択できます。[現在] を選択すると、現在のリスク計算期間のエンティティ リスクスコアに乗算係数が適用されます。既存のアラートと検出のみが計算に含まれます。選択した期間が終了すると、エンティティ リスクスコアの更新は停止し、リスクスコアは通常の状態に戻ります。
    • 理由: 他のユーザーに、この更新が行われた理由に関する追加のコンテキストを提供できます。次のオプションから選択します。新しいエビデンス誤ったリスクスコア変更されたリスク プロファイルコンプライアンス要件、または Other

すでに実行済みの変更を行おうとする場合(たとえば、エンティティの乗算係数を 25% に更新したいが、別のチームメンバーがすでにその変更を行っているなど)、変更を行った人や日時に関する情報を含め、変更がすでに反映されていることを示すダイアログが表示されます。

エンティティの詳細でリスクスコアの更新を確認する

エンティティのリスクスコアのすべての更新は、[エンティティ プロフィール] ページで確認できます。

  1. リスクスコアの更新履歴を確認するエンティティをクリックして、[エンティティ プロファイル] ページを開きます。
  2. [イベントのタイムライン グラフ] では、エンティティのリスクスコアが変更されるたびに、[リスクスコアの変更] ラベルが白色のテキストで表示されます。
  3. テキストにポインタを置くと、日付、ユーザー、変更理由を含むダイアログが表示されます。

ウォッチリスト

[ウォッチリスト] ページでは、企業全体の特定のエンティティをモニタリングできます。

  1. 左側のナビゲーション バーで [検出] をクリックします。
  2. [検出] で [リスク分析] をクリックします。
  3. [ウォッチリスト] タブをクリックします。

ウォッチリストを追加する

Google Security Operations アカウントにフィードを追加する手順は次のとおりです。ウォッチリストは最大 200 個設定できます。

  1. [ウォッチリストを作成] をクリックします。
  2. [ウォッチリストの名前] を指定します。
  3. (省略可)[説明] を指定します。
  4. (省略可)[乗算係数] を 0~100 の範囲で指定します。デフォルト値は 1 です。
  5. (省略可)ウィンドウの右側にある [Add entities into a watchlist] セクションでエンティティを指定します。ここに次のエンティティ タイプを追加できます。
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. [ウォッチリストを作成] をクリックします。

ウォッチリストを固定する

  1. [表示を編集] をクリックします。
  2. 固定するウォッチリストの横にあるチェックボックスをオンにします。
  3. [保存] をクリックします。

ウォッチリストの固定を解除する

  1. [ウォッチリスト] ダッシュボードで、固定を解除するウォッチリストを選択し、[ more_vert ] を選択します。
  2. [表示から削除] をクリックします。

ウォッチリストを編集する

  1. [ウォッチリスト] ダッシュボードで、編集するウォッチリストを選択し、[ more_vert ] アイコンをクリックします。
  2. [ウォッチリストを編集] をクリックします。

ウォッチリストを削除する

  1. [ウォッチリスト] ダッシュボードで、削除するウォッチリストを選択し、[ more_vert ] をクリックします。
  2. [ウォッチリストを削除] をクリックします。

エンティティをウォッチリストに追加する

エンティティをウォッチリストに追加するには、次のいずれかの形式を使用して、エンティティ名、タイプ、(省略可)名前空間を 1 行ずつ指定します。

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE は、以下のいずれかになります。

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE は、次のアセット エンティティ タイプにのみ指定できます。

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

例:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

この例は、ウォッチリストに追加された 2 つのエンティティ(chronicle 名前空間のアセット IP アドレス 205.148.5.0 とホスト名 website.com)を表しています。ウォッチリストには最大 10,000 個のエンティティを含めることができます。

ウォッチリストからエンティティを削除する

ウォッチリストからエンティティを削除するには、削除するエンティティを表す線を削除し、[保存] をクリックします。

リスクスコアの設定を変更する

[エンティティ リスクスコア] ページでは、エンティティ、アラート、検出のリスクスコアの計算方法を定義できます。このページでは、検索の固有のニーズに基づいてリスクの計算方法を調整できます。

[エンティティ リスクスコア] ページには、更新可能なフィールドが 3 つあります。

これらの設定を変更する手順は次のとおりです。

  1. ナビゲーション バーで、[設定] > [エンティティリスクスコア] を選択します。
  2. リスクスコアを適宜更新します。
  3. [保存] をクリックします。[リスク分析] のメインページに戻ると、[エンティティ リスクスコア] に変更が行われたことを確認するメッセージが画面の上部に表示されます。
  4. (省略可)これらの値をリセットするには、値の右側にある [リセット] をクリックします。

更新は新しいアラートと検出にのみ適用されます。変更が有効になるまで 30 分ほどかかることがあります。

エンティティ リスクスコアの重み付け

重み付けでは、アラートと検出のリスクスコアがエンティティ リスクスコアの計算にどのように貢献するかを定義します。重み付けは 0~1 の値で、デフォルトは 0.2 です。

数値が異なるとエンティティ リスクスコアの計算にどのような影響があるか、以下に例を示します。

  • エンティティ リスクスコアの重み付け 0: 未加工のリスクスコアは、エンティティのすべての検出結果のうち最大の検出リスクスコアです。
  • エンティティ リスクスコアの重み付け 1: 未加工のリスクスコアは、エンティティに対するすべての検出リスクスコアの合計です。
  • エンティティ リスクスコアの重み付け 0.5: リスクスコアでは、エンティティの最大リスクスコアを持つ検出に最大の重み付けが適用され、他のすべての検出に半分の重み付けが適用されます。

検出のデフォルトのリスクスコア

[Default risk score for detections] では、検出リスクスコアのデフォルト値を割り当てることができます。検出のリスクスコアは、エンティティ リスクスコアの計算に使用されます。検出のリスクスコアはルールの作成時に定義されます。ルールでリスクスコアが定義されていない場合は、デフォルト値が使用されます。デフォルトのスコアは 15、リスクスコアの範囲は 0~100 です。

アラートのデフォルトのリスクスコア

[Default risk score for detections] と同様に、このフィールドでは、アラート リスクスコアのデフォルト値を割り当てることができます。ルールでリスクスコアが定義されていない場合は、デフォルトの 40 が使用されます。リスクスコアの範囲は 0~1,000 です。

ルールでリスクスコアを定義する方法については、結果セクションの構文をご覧ください。

[終了] アラート係数

[終了] アラート係数は、アナリストによって [終了] とマークされたアラートのリスクスコアを変更します。0~1 の範囲内の数値(0 と 1 を含む)の浮動小数点修飾子です。デフォルトは 1.0 です。つまり、[対応待ち] アラートと [終了] アラートはすべて元のスコアを保持します。[終了] アラート係数が 0.0 の場合、[終了] アラートはすべてリスクスコア 0 を受け取り、エンティティ全体のリスクスコアを増加させなくなります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。