風險分析資訊主頁

支援的國家/地區:

您可以在「風險分析」資訊主頁中,從風險的角度查看環境。實體風險趨勢的視覺化呈現方式,有助於您找出異常行為,並瞭解實體對企業造成的潛在風險。

「風險分析」資訊主頁會列出有風險的實體和風險因素詳細資料。 在採用資料 RBAC 的系統中,只有具備全域範圍的使用者才能存取風險分析。詳情請參閱「資料 RBAC 對風險分析的影響」。

如要前往「風險分析」資訊主頁,請按照下列步驟操作:

  1. 點按導覽列中的「偵測」
  2. 在「偵測」中,按一下「風險分析」

實體數量、風險分數和實體資料表

「風險分析」資訊主頁會根據所選篩選條件,只顯示企業中風險最高的 10,000 個實體。資訊主頁中的所有圖表和表格,都只代表這組實體。

左上方的「實體總數」圖表會顯示企業中追蹤的實體數量,且風險大於 0。系統仍會追蹤風險評分為 0 的實體,但不會顯示在這個圖表中。總數會分為「資產」和「使用者」

如要進一步瞭解實體,請參閱「邏輯物件:事件和實體」。如要進一步瞭解風險分數的計算方式,請參閱風險分數計算

「實體」資料表包含多個與實體風險評分相關的資料欄:
實體名稱 實體名稱。
實體類型 實體類型 (資產或使用者)。
正規化分數 正規化分數的計算會在所有實體之間進行,並使用最小值與最大值正規化法,範圍落在 0 到 1000。
正規化分數變化 正規化實體風險分數從上一個風險計算期間至今的變化。
正規化分數趨勢 與上一個風險計算期間相比,正規化風險分數的變動百分比增減幅度。
基本 基本實體風險分數等於發現項目的風險分數上限,加上權重乘以剩餘發現項目的風險分數總和。

權重預設為 .2,您可以在「設定」中變更這個數字。
基本分數變化 基本實體風險分數從上一個風險計算期間至今的變化。
基本分數趨勢 與上一個風險計算期間相比,基本風險分數的百分比變化幅度。
發現項目數量 在風險計算期間,含有這個實體的發現項目 (警告和偵測項目) 數量。
期間內首次出現時間 在風險計算期間,發現項目 (警告或偵測項目) 首次出現該實體的時間戳記。
期間內上次出現時間 在風險計算期間,發現項目 (警告或偵測項目) 上次出現該實體的時間戳記。

調整風險計算時間範圍

實體造成的風險會因檢查期間而異。變更右上方的「風險計算期間」設定 (選取「24 小時期間」或「7 天期間」),即可變更這裡顯示的計算風險分數。視要尋找的攻擊類型而定,您可能需要變更這項設定。舉例來說,將「風險計算時間範圍」設為「24 小時」,有助於更清楚地掌握暴力攻擊。時間範圍越長,就越容易發現長期攻擊。實體風險分數會因所選風險計算期間而異。

系統會根據 24 小時和 7 天回溯期內產生的發現項目,每天多次重新計算實體風險分數。風險資訊主頁會顯示最近計算出的風險分數。您也可以在「風險計算期間」設定旁的日期選取器中選取特定日期和時間,查看過往的風險分數。系統會顯示在所選日期和時間結束的 24 小時或 7 天期間內,計算出的實體風險。

使用快速篩選器縮小搜尋範圍

快速篩選器可縮小搜尋範圍,只顯示符合特定需求的結果。

如要在「風險分析」資訊主頁上使用快速篩選器,請按照下列步驟操作:

  1. 按一下「實體」表格上方的「篩選器」圖示 filter_alt 。系統會隨即顯示「篩選器」視窗。
  2. 選取其中一個欄:
    • 發現項目數量
    • 正規化實體風險分數
    • 正規化實體風險趨勢
    • 類型
  3. 選取「只顯示」或「篩除」。
  4. 選取值 (可選取多個值來擴大範圍):
    • 發現次數:值介於 0 到大於 1000 之間。
    • 正規化的實體風險分數:值介於 0 到 1000 之間。
    • 正規化的實體風險趨勢:百分比範圍從低於 -99% 到高於 199%。
    • 類型:選取「資產」或「使用者」
  5. (選用) 如要新增其他篩選器,請按一下「新增篩選器」,然後從步驟 2 開始重複這個程序。
  6. 設定完篩選器後,按一下「套用」

舉例來說,如果選取「正規化的實體風險趨勢」,然後選取「僅顯示」並勾選「>199%」,系統就只會顯示正規化實體風險變化大於 199% 的實體。

使用實體頁面調查實體

如要調查實體,請按照下列步驟操作:

  1. 捲動瀏覽「實體名稱」欄,或使用搜尋列尋找實體。
  2. 按一下要調查的實體。

系統會開啟實體頁面。這個頁面只會顯示與該實體相關的發現。頂端的「發現項目時間軸」圖表會追蹤實體風險分數和發現項目隨時間的變化。這張圖表由預先計算的指標組成,以折線圖格式顯示,呈現一段時間內的趨勢。折線圖上的尖峰即為異常狀況。圖表下方是「發現」表格,顯示所選實體與哪些事件和活動相關聯。

右下角有一個可收合的「查看實體詳細資料」面板,其中包含所選實體的重要詳細資料摘要。如要詳細檢查所選實體,請按一下「查看實體詳細資料」,然後根據實體是資產還是使用者,分別在「資產」檢視畫面或「使用者」檢視畫面中查看實體。詳情請參閱「調查資產實體」或「調查使用者」。

使用實體分析功能調查實體

實體分析可為資安營運中心分析師和威脅搜索人員提供實體行為的詳細檢視畫面,包括實體的基準設定檔、異常狀況和情境強化功能。

在實體頁面的「發現事項時間軸」中,選取最多 90 天的時間範圍,然後按一下「查看所選範圍的數據分析」。隨即開啟側欄,顯示所選時間範圍內與這個實體相關聯的數據分析。每項數據分析都會顯示時間範圍內所有數據分析值的匯總。系統偵測到後,分析結果會列出相關的快訊和偵測結果,點選「查看更多」即可開啟對應的「快訊」或「偵測結果」檢視畫面,進一步查看。詳情請參閱「調查快訊」。

系統會提供下列實體分析資料:

  • 快訊事件名稱計數
  • 驗證嘗試成功
  • 驗證嘗試失敗
  • 驗證嘗試總次數
  • DNS 輸出位元組
  • DNS 查詢失敗
  • DNS 查詢成功次數
  • DNS 查詢總數
  • 檔案執行成功
  • 檔案執行失敗
  • 檔案執行總數
  • HTTP 查詢成功
  • HTTP 查詢失敗
  • HTTP 查詢總數
  • 網路傳入位元組
  • 傳出網路位元組
  • 網路位元組總數
  • Workspace 驗證嘗試總次數
  • Workspace 電子郵件傳送總數
  • Workspace 傳出網路位元組數
  • Workspace 網路位元組總計
  • Workspace 變更動作總數
  • 工作區總下載動作次數

修改實體風險分數

當外部資訊或事件影響實體的實際風險時,您可以更新實體的風險分數。

舉例來說,您可以暫時降低剛完成紅隊演練 (例如滲透測試) 的員工風險分數,這樣分析師就不必浪費時間調查該員工風險增加的原因。您也可以暫時提高涉及訴訟案件的員工風險分數。

  1. 在「風險分析」頁面的「實體」表格中,將指標懸停在資料列最右側的欄上。你可能需要向右捲動螢幕,按一下 more_vert

    然後選取「更新實體風險分數」

  2. 在「Update entity risk score」(更新實體風險分數) 對話方塊中,設定下列值:

    • 乘數:可使用 0.0 至 100.0 的乘數,調高或調低實體的風險分數。舉例來說,如果您發現某實體的新證據,導致該實體的風險提高一倍,請將乘數更新為 50,以反映該實體的真實風險因素。
    • 時間範圍:套用乘數的時間範圍。你可以選取「立即」或介於「1 天」和「14 天」之間的時間。如果選取「現在」,乘數會套用至目前風險計算期間的實體風險分數。計算作業只會納入現有的快訊和偵測項目。所選時間範圍結束後,實體風險分數就會停止更新,風險分數也會恢復正常。
    • 原因:您可以為其他使用者提供額外情境資訊,說明更新原因。從下列選項中選擇:新證據風險評分有誤風險設定檔已變更法規遵循規定其他

如果您嘗試進行的變更已完成 (例如您想將實體的乘數更新為 25%,但其他團隊成員已完成這項變更),系統會顯示對話方塊,說明變更已完成,並提供變更者和變更時間等資訊。

在實體詳細資料中查看風險分數更新

如要查看實體的所有風險分數更新,請前往「實體設定檔」頁面。

  1. 按一下要查看風險分數更新記錄的實體,開啟「實體設定檔」頁面。
  2. 在「事件時間軸圖表」中,每當有人變更實體的風險分數,系統就會以白色文字顯示「風險分數修改」標籤。
  3. 將指標懸停在文字上,即可顯示對話方塊,內含變更日期、使用者和原因。

觀察清單

「觀察清單」頁面可讓您監控整個企業的特定實體。

  1. 在左側導覽列中,按一下「偵測」
  2. 在「偵測」中,按一下「風險分析」
  3. 按一下「追蹤清單」分頁標籤。

新增觀察清單

如要在 Google Security Operations 帳戶中新增監控清單,請完成下列步驟。最多可設定 200 個追蹤清單。

  1. 按一下「建立追蹤清單」
  2. 指定待觀看影劇清單名稱
  3. (選用) 指定「Description」(說明)
  4. (選用) 指定介於 0 至 100 的乘數。預設值為 1。
  5. (選用) 按照「將實體新增至監控清單」部分,在視窗右側指定實體。您可以在這裡新增下列實體類型:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. 按一下「建立追蹤清單」

釘選觀察清單

  1. 按一下「編輯顯示」。
  2. 找出要釘選的我的片單,然後勾選旁邊的核取方塊。
  3. 按一下 [儲存]

取消置頂待觀看影劇清單

  1. 在「觀察清單」資訊主頁中,選取要取消釘選的觀察清單,然後選取 more_vert
  2. 按一下「從顯示畫面中移除」

編輯觀察清單

  1. 在「監控清單」資訊主頁中,選取要編輯的監控清單,然後按一下 more_vert 圖示。
  2. 按一下「編輯追蹤清單」

刪除觀察清單

  1. 在「觀察清單」資訊主頁中,選取要刪除的觀察清單,然後按一下 more_vert
  2. 按一下「刪除追蹤清單」

將實體加入觀察清單

如要將實體加入監控清單,請使用下列其中一種格式,逐行指定實體名稱、類型和 (選用) 命名空間。

  • NAMETYPE

  • NAMETYPENAMESPACE

    TYPE 可以是下列其中一項:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE 只能為下列素材資源實體類型指定:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

例如:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

這個範例代表新增至監控清單的兩個實體,分別是 chronicle 命名空間下的資產 IP 位址 205.148.5.0 和主機名稱 website.com。觀察清單最多可包含 10,000 個實體。

從待觀看影劇清單中移除實體

如要從觀察清單中移除實體,請移除代表要移除實體的行,然後按一下「儲存」

變更風險分數設定

您可以在「實體風險分數」頁面中,定義實體、快訊和偵測項目的風險分數計算方式。這個頁面可讓您根據搜尋的獨特需求,自訂風險的計算方式。

「實體風險分數」頁面有三個可更新的欄位:

如要變更上述任一設定,請按照下列步驟操作:

  1. 在導覽列中,依序選取「設定」>「實體風險分數」
  2. 請據此更新風險分數。
  3. 按一下 [儲存]。返回主要的「風險分析」頁面時,畫面頂端會顯示訊息,確認「實體風險評分」已變更。
  4. (選用) 如要重新設定任何值,請按一下值右側的「重設」

更新只會套用至新的快訊和偵測項目。變更最多可能需要 30 分鐘才會生效。

實體風險分數權重

權重會決定警告和偵測項目風險分數在實體風險分數計算中的影響力。權重值介於 0 到 1 之間,預設值為 0.2。

以下舉例說明不同數字如何影響實體風險分數的計算:

  • 實體風險分數權重 0。原始風險分數是實體所有偵測項目的偵測風險分數上限。
  • 實體風險分數權重 1。原始風險分數是實體所有偵測項目風險分數的總和。
  • 實體風險分數權重 0.5。風險分數會將實體風險分數最高的偵測結果視為最高權重,其他所有偵測結果則為一半權重。

偵測項目的預設風險分數

偵測項目預設風險分數:您可以為偵測項目風險分數指派預設值。偵測項目風險分數可用於計算實體風險分數。撰寫規則即可定義偵測項目風險分數。如果規則中未定義風險分數,系統會使用預設值。預設分數為 15 分,風險分數範圍為 0 到 100 分。

預設警告風險分數

與「偵測項目的預設風險分數」類似,這個欄位可讓您指派警示風險分數的預設值。如果規則中未定義風險分數,則會使用預設值 40。風險分數範圍為 0 到 1000。

如要瞭解如何在規則中定義風險分數,請參閱結果區段語法

已結案警告係數

對於由分析人員結案的快訊,已結案快訊係數可以調整其風險分數。這個調整用浮點數值必須介於 0 至 1 之間 (包含 1)。預設值為 1.0,表示所有未解決和已解決的警告都會保留原始分數。如果已結案快訊係數的值為 0.0,所有已結案快訊都會獲得 0 分的風險分數,且不會再提高實體的整體風險分數。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。