Tableau de bord d'analyse des risques

Le tableau de bord Analyse des risques vous permet d'afficher votre environnement du point de vue des risques. La visualisation des tendances des risques pour les entités vous aide à identifier les comportements inhabituels et à comprendre le risque potentiel que ces entités présentent pour votre entreprise.

Le tableau de bord Analyse des risques répertorie les entités à risque et les facteurs de risque en détail. Sur les systèmes qui utilisent le RBAC des données, seuls les utilisateurs disposant d'un champ d'application global peuvent accéder aux analyses des risques. Pour en savoir plus, consultez la section Impact du RBAC des données sur l'analyse des risques.

Pour accéder au tableau de bord Analyse des risques, procédez comme suit:

1. Dans la barre de navigation, cliquez sur Détection.
2. Dans Détection, cliquez sur Analyse des risques.

Nombre d'entités, score de risque et table des entités

Le tableau de bord Risk Analystics (Analystes des risques) affiche uniquement les 10 000 premières entités présentant le risque le plus élevé dans l'entreprise, en fonction des filtres choisis. Tous les graphiques et les tableaux du tableau de bord ne représentent que cet ensemble d'entités.

Le graphique Total entity count (Nombre total d'entités) en haut à gauche affiche le nombre d'entités suivies dans votre entreprise, avec un risque supérieur à 0. Les entités dont le score de risque est de 0 font toujours l'objet d'un suivi, mais elles ne seront pas représentées dans ce graphique. Le nombre total est divisé entre les Éléments et les Utilisateurs.

Pour en savoir plus sur les entités, consultez la page Objets logiques: événement et entité. Pour en savoir plus sur le calcul des scores de risque, consultez la section Calcul du score de risque.

La table Entities (Entités) contient plusieurs colonnes relatives au score de risque des entités:

Colonne	Valeur
Nom de l'entité	Nom de l'entité.
Type d'entité	Type d'entité (élément ou utilisateur).
Normalisés	Les scores normalisés sont calculés sur l'ensemble des entités, sur une échelle de 0 à 1 000 à l'aide de la normalisation min-max.
Variation normalisée	Variation du score de risque normalisé de l'entité depuis la fenêtre précédente de calcul des risques.
Tendance normalisée	Augmentation ou diminution de la variation en pourcentage du score de risque normalisé par rapport à la période de risque précédente.
Couches	Le score de risque de base de l'entité est égal au score de risque de résultat maximal plus la pondération multipliée par la somme des scores de risque des résultats restants. La pondération par défaut est 0,2 et peut être modifiée dans les paramètres.
Variation de base	Variation du score de risque de base de l'entité par rapport à la période précédente de calcul des risques.
Tendance de base	Augmentation ou diminution de la variation en pourcentage du score de risque de base par rapport à la période de risque précédente.
Nombre de résultats	Nombre de résultats (alertes et détections) qui incluent cette entité pendant la fenêtre de calcul des risques.
Première occurrence dans la fenêtre	Code temporel de la première occurrence de l'entité dans un résultat (alerte ou détection) au cours de la fenêtre de calcul des risques.
Dernière occurrence dans la fenêtre	Code temporel de la dernière occurrence de l'entité dans un résultat (alerte ou détection) au cours de la fenêtre de calcul des risques.

Ajuster la période de calcul des risques

Le risque calculé que génère une entité varie en fonction de la période à laquelle est évalué l'entité. Si vous modifiez le paramètre Fenêtre de calcul des risques en haut à droite (sélectionnez Fenêtre de 24 heures ou Fenêtre de calcul des risques), le score de risque calculé affiché ici sera modifié. Vous pouvez modifier ce paramètre en fonction du type d'attaque que vous recherchez. Par exemple, les attaques par force brute sont plus visibles lorsque vous définissez la fenêtre de calcul du risque sur 24 heures. Des périodes plus longues vous permettent de détecter les attaques à long terme.

Les scores de risque des entités varient en fonction de la période de calcul du risque sélectionnée. Les scores de risque des entités sont calculés en fonction des résultats générés pendant la fenêtre de risque.

Affiner la recherche avec des filtres rapides

Les filtres rapides vous permettent d'affiner votre recherche en n'affichant que les résultats pertinents par rapport à vos besoins spécifiques.

Pour utiliser les filtres rapides dans le tableau de bord Analyse des risques, procédez comme suit:

1. Cliquez sur filter_alt au-dessus de la table Entities (Entités). La fenêtre Filtres s'affiche.
2. Sélectionnez l'une des colonnes :
   • Nombre de résultats
   • Score de risque normalisé des entités
   • Tendance normalisée du risque lié aux entités
   • Type
3. Sélectionnez Afficher uniquement ou Filtrer.
4. Sélectionnez une valeur (vous pouvez sélectionner plusieurs valeurs pour étendre la plage) :
   • Nombre de résultats: valeurs comprises entre 0 et 1 000.
   • Score de risque normalisé de l'entité: valeurs comprises entre 0 et 1 000.
   • Tendance normalisée du risque d'entité: pourcentages compris entre -99 % et plus de 199%.
   • Type: sélectionnez Composants ou Utilisateurs.
5. (Facultatif) Pour ajouter d'autres filtres, cliquez sur Add filter (Ajouter un filtre) et répétez la procédure à partir de l'étape 2.
6. Une fois les filtres configurés, cliquez sur Appliquer.

Par exemple, si vous sélectionnez Tendance normalisée du risque pour les entités, que vous sélectionnez Afficher uniquement et que vous cochez >199%, seules les entités dont le risque normalisé est associé à un risque d'entité normalisé supérieur à 199% sont affichées.

Enquêter sur une entité à l'aide de la page d'entité

Pour examiner une entité, procédez comme suit:

1. Faites défiler la colonne Nom de l'entité ou utilisez la barre de recherche pour trouver une entité.
2. Cliquez sur l'entité que vous souhaitez examiner.

La page de l'entité s'ouvre. Cette page vous permet d'examiner uniquement les résultats associés à cette entité. Le graphique Chronologie des résultats situé en haut de la page suit les scores de risque des entités et les résultats au fil du temps. Ce graphique est constitué de métriques précalculées affichées sous forme de graphique linéaire pour indiquer les tendances au fil du temps. Les anomalies peuvent être considérées comme des pics sur le graphique linéaire. Sous le graphique se trouve la table Findings (Résultats), qui indique les événements et les activités auxquels l'entité sélectionnée a été associée.

En bas à droite, un panneau réductible Afficher les détails de l'entité s'affiche. Il contient un résumé des informations importantes sur l'entité sélectionnée. Pour effectuer un examen détaillé de l'entité sélectionnée, cliquez sur Afficher les détails de l'entité afin de l'afficher dans la vue Ressource ou Utilisateur selon qu'il s'agit d'un élément ou d'un utilisateur, respectivement. Pour en savoir plus, consultez Enquêter sur une entité d'élément ou Enquêter sur un utilisateur.

Examiner une entité à l'aide des analyses d'entités

L'analyse des entités fournit aux analystes SOC et aux chasseurs de menaces une vue détaillée du comportement d'une entité, y compris son profil de référence, les anomalies et l'enrichissement contextuel de celle-ci.

Sur la page de l'entité, sélectionnez une période allant jusqu'à 90 jours dans la chronologie des résultats, puis cliquez sur Afficher les analyses pour la sélection. Cela ouvre une barre latérale qui affiche les analyses associées à cette entité au cours de la période sélectionnée. Chaque analyse affiche un agrégat de toutes les valeurs analytiques dans la période. Lorsqu'elle est détectée, une analyse inclut une liste d'alertes et de détections associées. Vous pouvez les examiner plus en détail en cliquant sur Afficher plus pour ouvrir la vue Alertes ou Détection correspondante. Pour en savoir plus, consultez la section Examiner une alerte.

Les données analytiques d'entité suivantes sont fournies:

• Nombre de noms d'événements d'alerte
• Tentatives d'authentification réussies
• Échec des tentatives d'authentification
• Nombre total de tentatives d'authentification
• Octets DNS sortants
• Échec des requêtes DNS
• Requêtes DNS réussies
• Total de requêtes DNS
• Exécutions de fichiers réussies
• Échec des exécutions de fichiers
• Nombre total d'exécutions de fichiers
• Requêtes HTTP réussies
• Échec des requêtes HTTP
• Total des requêtes HTTP
• Octets réseau entrants
• Octets réseau sortants
• Nombre total d'octets réseau
• Nombre total de tentatives d'authentification Workspace
• Total des e-mails Workspace envoyés
• Octets réseau sortants de l'espace de travail
• Nombre total d'octets réseau de l'espace de travail
• Actions de modification totale de l'espace de travail
• Nombre total d'actions de téléchargement Workspace

Modifier un score de risque d'entité

Lorsque des informations ou des événements extérieurs affectent le risque réel d'une entité, vous pouvez mettre à jour le score de risque de l'entité.

Par exemple, vous pouvez réduire temporairement le score de risque d'un employé qui vient de terminer un exercice Red Team (comme un test d'intrusion) afin que les analystes ne perdent pas de temps à rechercher pourquoi cet employé a connu une augmentation des risques. Vous pouvez également augmenter temporairement le score de risque d'un employé impliqué dans une affaire judiciaire.

1. Dans la table Entities (Entités) de la page Risk Analytics (Analyse des risques), placez le pointeur sur la colonne tout à droite de la ligne. Vous devrez peut-être faire défiler l'écran vers la droite. Cliquez sur more_vert.

   et sélectionnez Mettre à jour le score de risque de l'entité.

2. Dans la boîte de dialogue Mettre à jour le score de risque de l'entité, configurez les valeurs suivantes:

   • Facteur de multiplication: permet d'augmenter ou de diminuer le score de risque d'une entité avec un facteur de multiplication compris entre 0,0 - 100,0. Par exemple, si vous avez découvert de nouvelles preuves concernant une entité qui la rend deux fois plus risquée, mettez à jour le facteur de multiplication sur 50 pour refléter le véritable facteur de risque de l'entité.
   • Période: période pendant laquelle le facteur de multiplication est appliqué. Vous pouvez sélectionner Maintenant ou entre 1 jour et 14 jours. Si vous sélectionnez Maintenant, le facteur de multiplication est appliqué au score de risque de l'entité pour la fenêtre actuelle de calcul des risques. Seules les alertes et détections existantes sont incluses dans le calcul. Lorsque la période sélectionnée se termine, les mises à jour du score de risque de l'entité s'arrêtent et le score de risque revient à la normale.
   • Motif: permet de fournir aux autres utilisateurs des informations supplémentaires sur les raisons de cette mise à jour. Sélectionnez l'une des options suivantes: Nouvelle preuve, Score de risque incorrect, Profil de risque modifié, Exigences de conformité ou Autre.

Si vous tentez d'effectuer une modification déjà effectuée (par exemple, si vous souhaitez mettre à jour le facteur de multiplication d'une entité à 25%, mais qu'un autre membre de l'équipe a déjà effectué cette modification), une boîte de dialogue s'affiche pour vous indiquer que la modification a déjà été effectuée, avec des informations sur l'auteur et la date de la modification.

Afficher les mises à jour du score de risque dans les détails de l'entité

Vous pouvez afficher toutes les mises à jour du score de risque pour une entité sur la page Profil d'entité.

1. Cliquez sur l'entité dont vous souhaitez afficher l'historique des mises à jour du score de risque pour ouvrir la page Profil d'entité.
2. Dans le graphique chronologique des événements, chaque fois que quelqu'un modifie le score de risque de l'entité, le libellé Modification du score de risque s'affiche en blanc.
3. Maintenez le pointeur sur le texte pour afficher une boîte de dialogue indiquant la date, l'utilisateur et le motif de la modification.

Listes des valeurs suivies

La page Listes de surveillance vous permet de surveiller des entités spécifiques de l'ensemble de votre entreprise.

Accéder à l'onglet "Listes de surveillance"

1. Dans la barre de navigation de gauche, cliquez sur Détection.
2. Dans Détection, cliquez sur Analyse des risques.
3. Cliquez sur l'onglet Listes.

Ajouter une liste de valeurs suivies

Pour ajouter une liste de surveillance à votre compte Google Security Operations, procédez comme suit. Vous pouvez configurer jusqu'à 200 listes de surveillance.

1. Cliquez sur Créer une liste.
2. Saisissez un nom de liste.
3. (Facultatif) Spécifiez une description.
4. (Facultatif) Spécifiez un facteur de multiplication compris entre 0 et 100. La valeur par défaut est 1.
5. (Facultatif) Spécifiez les entités dans la partie droite de la fenêtre, en suivant la section Ajouter des entités à une liste de surveillance. Vous pouvez ajouter les types d'entités suivants ici :
   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID
6. Cliquez sur Créer une liste.

Épingler une liste

1. Cliquez sur Modifier l'affichage.
2. Cochez la case à côté de la liste que vous souhaitez épingler.
3. Cliquez sur Enregistrer.

Retirer une liste des valeurs suivies

1. Dans le tableau de bord Mes listes, sélectionnez la liste que vous souhaitez retirer, puis sélectionnez more_vert .
2. Cliquez sur Supprimer de l'affichage.

Modifier une liste des valeurs suivies

1. Dans le tableau de bord Watchlists (Listes de surveillance), sélectionnez la liste que vous souhaitez modifier, puis cliquez sur l'icône more_vert .
2. Cliquez sur Modifier la liste.

Supprimer une liste des valeurs suivies

1. Dans le tableau de bord Watchlists (Listes de surveillance), sélectionnez la liste que vous souhaitez supprimer, puis cliquez sur more_vert .
2. Cliquez sur Supprimer la liste.

Ajouter des entités à une liste de surveillance

Pour ajouter des entités à une liste de surveillance, vous devez spécifier, ligne par ligne, le nom, le type et l'espace de noms (facultatif) de l'entité à l'aide de l'un des formats suivants.

• NAME,TYPE

• NAME,TYPE,NAMESPACE

  TYPE peut être :

  • ASSET_IP_ADDRESS
  • EMAIL
  • EMPLOYEE_ID
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID
  • USERNAME
  • WINDOWS_SID

  NAMESPACE ne peut être spécifié que pour les types d'entités de l'élément:

  • ASSET_IP_ADDRESS
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID

Exemple :

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Cet exemple représente deux entités ajoutées à la liste de surveillance, une adresse IP d'élément 205.148.5.0 et un nom d'hôte website.com sous l'espace de noms chronicle. Une liste de surveillance peut contenir jusqu'à 10 000 entités.

Supprimer des entités d'une liste de surveillance

Pour supprimer des entités d'une liste de surveillance, supprimez les lignes qui les représentent, puis cliquez sur Enregistrer.

Modifier les paramètres du score de risque

La page Score de risque de l'entité vous permet de définir le mode de calcul des scores de risque pour les entités, les alertes et les détections. Cette page vous permet d'adapter la façon dont le risque est calculé en fonction des besoins uniques de votre recherche.

Vous pouvez mettre à jour trois champs de la page Score de risque d'entité:

• Pondération du score de risque de l'entité
• Score de risque par défaut des alertes
• Score de risque de détection par défaut

Pour modifier ces paramètres, procédez comme suit:

1. Dans la barre de navigation, sélectionnez Settings > Entity Risk Scores (Paramètres > Scores de risque des entités).
2. Mettez à jour les scores de risque en conséquence.
3. Cliquez sur Enregistrer. Lorsque vous revenez à la page principale Analyse des risques, un message s'affiche en haut de l'écran confirmant qu'une modification a été apportée au score de risque d'entité.
4. (Facultatif) Pour réinitialiser l'une de ces valeurs, cliquez sur Réinitialiser à droite de la valeur.

Les mises à jour ne s'appliqueront qu'aux nouvelles alertes et détections. La prise en compte des modifications peut prendre jusqu'à 30 minutes.

Pondération du score de risque de l'entité

La pondération définit la manière dont les scores de risque liés aux alertes et à la détection contribuent aux calculs du score de risque des entités. La pondération est une valeur comprise entre 0 et 1.La valeur par défaut est 0,2.

Voici quelques exemples de l'impact de différents nombres sur le calcul du score de risque des entités:

• Pondération du score de risque de l'entité 0. Le score de risque brut correspond au score de risque de détection maximal parmi toutes les détections de l'entité.
• Pondération du score de risque de l'entité 1. Le score de risque brut est la somme de tous les scores de risque de détection pour l'entité.
• Pondération du score de risque de l'entité 0.5. Le score de risque attribue une pondération totale à la détection avec un score de risque maximal pour l'entité et la moitié de la pondération pour toutes les autres détections.

Score de risque par défaut pour les détections

Le score de risque par défaut pour les détections vous permet d'attribuer une valeur par défaut aux scores de risque de détection. Les scores de risque de détection sont utilisés pour calculer les scores de risque des entités. Les scores de risque pour les détections sont définis lorsqu'une règle est écrite. Si aucun score de risque n'est défini dans la règle, la valeur par défaut est utilisée. Le score par défaut est de 15, et la plage du score de risque est comprise entre 0 et 100.

Score de risque par défaut pour les alertes

Semblable au Score de risque par défaut pour les détections, ce champ vous permet d'attribuer une valeur par défaut aux scores de risque des alertes. Si aucun score de risque n'est défini dans la règle, la valeur par défaut de 40 est utilisée. La plage du score de risque est comprise entre 0 et 1000.

Pour en savoir plus sur la définition du score de risque dans une règle, consultez la section Syntaxe de la section "Résultats".

Coefficient d'alerte fermé

Le coefficient d'alerte fermée modifie le score de risque des alertes marquées comme fermées par les analystes. Il s'agit d'un modificateur à virgule flottante compris entre 0 et 1 inclus. La valeur par défaut est 1.0, ce qui signifie que toutes les alertes ouvertes et fermées conservent leurs scores d'origine. Si le coefficient d'alerte de fermeture a une valeur de 0,0, toutes les alertes fermées reçoivent un score de risque de 0 et n'augmentent plus le score de risque de l'entité globale.