Dashboard dell'analisi dei rischi

La dashboard Analisi del rischio ti consente di visualizzare il tuo ambiente attraverso un approccio basato sul rischio. Visualizzare le tendenze del rischio delle entità consente di identificare comportamenti insoliti e comprendere il rischio potenziale che le entità rappresentano per la tua azienda.

La dashboard Analisi del rischio elenca le entità a rischio e i dettagli dei fattori di rischio. Sui sistemi che utilizzano RBAC di dati, solo gli utenti con ambito globale possono accedere all'analisi del rischio. Per ulteriori informazioni, consulta la sezione sull'impatto dei dati RBAC sull'analisi del rischio.

Per accedere alla dashboard Analisi del rischio, segui questi passaggi:

1. Nella barra di navigazione, fai clic su Rilevamento.
2. In Rilevamento, fai clic su Analisi del rischio.

Conteggio delle entità, punteggio di rischio e tabella delle entità

La dashboard Risk Analystics mostra, in base ai filtri scelti, solo le prime 10.000 entità con il rischio più elevato nell'azienda. Tutti i grafici e le tabelle nella dashboard rappresentano solo questo insieme di entità.

Il grafico Conteggio totale delle entità in alto a sinistra mostra il numero di entità monitorate nella tua azienda con un rischio maggiore di 0. Le entità con un punteggio di rischio pari a 0 continuano a essere monitorate, ma non verranno rappresentate in questo grafico. Il numero totale è diviso tra Risorse e Utenti.

Per ulteriori informazioni sulle entità, consulta Oggetti logici: evento ed entità. Per ulteriori informazioni su come vengono calcolati i punteggi di rischio, consulta Calcolo del punteggio di rischio.

Nella tabella Entities sono presenti più colonne correlate al punteggio di rischio dell'entità:

Colonna	Valore
Nome entità	Nome dell'entità.
Tipo di entità	Tipo di entità (asset o utente).
Normalized	I punteggi normalizzati vengono calcolati per tutte le entità, scalati tra 0 e 1000 utilizzando la normalizzazione min-max.
Modifica normalizzata	Variazione del punteggio di rischio normalizzato dell'entità rispetto alla finestra di calcolo del rischio precedente.
Tendenza normalizzata	Aumento o diminuzione della variazione percentuale del punteggio di rischio normalizzato rispetto alla finestra di rischio precedente.
Livelli	Il punteggio di rischio di base dell'entità equivale al punteggio di rischio massimo dei risultati più la ponderazione moltiplicata per la somma dei punteggi di rischio dei risultati rimanenti. La ponderazione predefinita è 0,2 e può essere modificata in Impostazioni.
Variazione di base	Variazione del punteggio di rischio di base dell'entità rispetto alla finestra di calcolo del rischio precedente.
Tendenza di base	Aumento o diminuzione della variazione percentuale del punteggio di rischio di base rispetto alla finestra di rischio precedente.
Numero di risultati	Il numero di risultati (avvisi e rilevamenti) che includono questa entità durante la finestra di calcolo del rischio.
Prima visualizzazione nella finestra	Timestamp del primo rilevamento dell'entità in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.
Ultimo rilevamento nella finestra	Timestamp dell'ultimo rilevamento dell'entità in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.

Modificare la finestra di calcolo del rischio

Il rischio calcolato di un'entità cambia in base al periodo di tempo in esame. La modifica dell'impostazione Finestra di calcolo del rischio in alto a destra (seleziona Finestra di 24 ore o Finestra di 7 giorni) modifica il punteggio di rischio calcolato visualizzato qui. Puoi modificare questa impostazione a seconda del tipo di attacco che stai cercando. Ad esempio, gli attacchi di forza bruta sono più evidenti impostando la Finestra di calcolo del rischio su 24 ore. Intervalli di tempo più lunghi ti consentono di individuare gli attacchi a lungo termine.

I punteggi di rischio delle entità cambiano in base alla finestra di calcolo del rischio selezionata. I punteggi di rischio delle entità sono calcolati in base ai risultati generati durante la finestra di rischio.

Restringere la ricerca con i filtri rapidi

I filtri rapidi ti consentono di restringere la ricerca mostrando solo i risultati pertinenti alle tue esigenze specifiche.

Per utilizzare i filtri rapidi nella dashboard Analisi dei rischi, segui questi passaggi:

1. Fai clic su filter_alt sopra la tabella Entità. Viene visualizzata la finestra Filtri.
2. Seleziona una delle colonne:
   • Numero di risultati
   • Punteggio di rischio dell'entità normalizzato
   • Tendenza del rischio dell'entità normalizzato
   • Tipo
3. Seleziona Mostra solo o Filtra.
4. Seleziona un valore (puoi selezionarne più di uno per espandere l'intervallo):
   • Numero di risultati: valori da 0 a maggiori di 1000.
   • Punteggio di rischio dell'entità normalizzato: valori compresi tra 0 e 1000.
   • Tendenza del rischio dell'entità normalizzata: percentuali da meno di -99% a superiori al 199%.
   • Tipo: seleziona Asset o Utenti.
5. (Facoltativo) Per aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questa procedura dal passaggio 2.
6. Dopo aver completato la configurazione dei filtri, fai clic su Applica.

Ad esempio, se selezioni la Tendenza del rischio dell'entità normalizzata, Mostra solo e selezioni >199%, vengono visualizzate solo le entità con una variazione del rischio dell'entità normalizzata superiore al 199%.

Esaminare un'entità utilizzando la pagina dell'entità

Per esaminare un'entità:

1. Scorri la colonna Nome entità o usa la barra di ricerca per trovare un'entità.
2. Fai clic sull'entità che vuoi esaminare.

Viene visualizzata la pagina dell'entità. Questa pagina ti consente di esaminare solo i risultati associati a quell'entità. Il grafico Cronologia dei risultati in alto traccia i punteggi di rischio delle entità e i risultati nel tempo. Questo grafico è composto da metriche precalcolate visualizzate sotto forma di grafico a linee per mostrare le tendenze nel tempo. Le anomalie possono essere viste come picchi nel grafico a linee. Sotto il grafico c'è la tabella Risultati, che mostra gli eventi e le attività a cui è stata associata l'entità selezionata.

In basso a destra è presente un riquadro comprimibile Visualizza dettagli entità che contiene un riepilogo dei dettagli importanti sull'entità selezionata. Per completare un esame dettagliato dell'entità selezionata, fai clic su Visualizza dettagli entità per visualizzare l'entità nella visualizzazione Risorsa o Utente, a seconda che l'entità sia rispettivamente una risorsa o un utente. Per ulteriori informazioni, consulta Esaminare un'entità risorsa o Effettuare un'indagine su un utente.

Esaminare un'entità utilizzando l'analisi delle entità

L'analisi delle entità fornisce agli analisti dei SOC e ai cacciatori di minacce una visione dettagliata del comportamento di un'entità, compresi profilo di base, anomalie e arricchimenti contestuali dell'entità.

Dalla pagina dell'entità, seleziona un intervallo di tempo di massimo 90 giorni nella cronologia dei risultati e fai clic su Visualizza dati e analisi per la selezione. Si apre una barra laterale che mostra i dati e le analisi associati a questa entità nell'intervallo di tempo selezionato. Ogni analitica visualizza un aggregato di tutti i valori analitici all'interno dell'intervallo di tempo. Una volta rilevata, un'analitica include un elenco di avvisi e rilevamenti correlati che possono essere esaminati ulteriormente facendo clic su Visualizza altro per aprire la vista Avvisi o Rilevamento corrispondente. Per maggiori informazioni, vedi Esaminare un avviso.

Vengono fornite le seguenti analisi delle entità:

• Conteggio nomi eventi avviso
• Tentativi di autenticazione riusciti
• Tentativi di autenticazione non riusciti
• Totale tentativi di autenticazione
• Byte DNS in uscita
• Query DNS non riuscite
• Query DNS riuscite
• Totale query DNS
• Esecuzioni file riuscite
• Esecuzioni dei file non riuscite
• Totale esecuzioni del file
• Query HTTP riuscite
• Errore query HTTP
• Totale query HTTP
• Byte di rete in entrata
• Byte di rete in uscita
• Byte di rete totali
• Tentativi di autenticazione Workspace totali
• Totale email inviate Workspace
• Byte di rete Workspace in uscita
• Byte di rete Workspace totali
• Azioni di modifica totali dell'area di lavoro
• Azioni di download totali di Workspace

Modificare un punteggio di rischio dell'entità

Quando informazioni o eventi esterni influiscono sul vero rischio di un'entità, puoi aggiornare il punteggio di rischio dell'entità.

Ad esempio, puoi ridurre temporaneamente il punteggio di rischio di un dipendente che ha appena terminato un esercizio del red team (come i test di penetrazione), in modo che gli analisti non debbano perdere tempo a indagare sul motivo per cui quel dipendente ha avuto un aumento del rischio. Puoi anche aumentare temporaneamente il punteggio di rischio di un dipendente coinvolto in un procedimento giudiziario.

1. Nella tabella Entità della pagina Analisi del rischio, posiziona il puntatore sopra la colonna più a destra della riga. Potresti dover scorrere il display verso destra. Fai clic su more_vert.

   e seleziona Aggiorna punteggio di rischio dell'entità.

2. Dalla finestra di dialogo Aggiorna punteggio di rischio dell'entità, configura i valori per:

   • Fattore di moltiplicazione: consente di aumentare o diminuire il punteggio di rischio di un'entità con un fattore di moltiplicazione compreso tra 0,0 e 100,0. Ad esempio, se hai scoperto nuove prove relative a un'entità che la rende il doppio più rischiosa, aggiorna il fattore di moltiplicazione a 50 per riflettere il vero fattore di rischio dell'entità.
   • Periodo di tempo: il periodo di tempo in cui viene applicato il fattore di moltiplicazione. Puoi selezionare Ora o un valore compreso tra 1 giorno e 14 giorni. Se selezioni Ora, il fattore di moltiplicazione viene applicato al punteggio di rischio dell'entità per la finestra di calcolo del rischio attuale. Nel calcolo vengono inclusi solo gli avvisi e i rilevamenti esistenti. Al termine del periodo di tempo selezionato, gli aggiornamenti al punteggio di rischio dell'entità vengono interrotti e il punteggio di rischio torna alla normalità.
   • Motivo: consente di fornire ad altri utenti ulteriore contesto sul motivo per cui è stato effettuato questo aggiornamento. Scegli una delle seguenti opzioni: Nuove prove, Punteggio di rischio errato, Profilo di rischio modificato, Requisiti di conformità o Altro.

Se tenti di apportare una modifica già apportata (ad esempio, se vuoi aggiornare il fattore di moltiplicazione di un'entità al 25%, ma un altro membro del team ha già apportato la modifica), viene visualizzata una finestra di dialogo in cui viene indicato che la modifica è già stata apportata, incluse informazioni su chi ha apportato la modifica e quando.

Visualizza gli aggiornamenti del punteggio di rischio nei dettagli dell'entità

Puoi visualizzare tutti gli aggiornamenti del punteggio di rischio per un'entità nella pagina Profilo entità.

1. Fai clic sull'entità di cui vuoi visualizzare la cronologia degli aggiornamenti del punteggio di rischio per aprire la pagina Profilo entità.
2. Nel grafico a cronologia degli eventi, ogni volta che qualcuno modifica il punteggio di rischio dell'entità è indicato dall'etichetta Modifica del punteggio di rischio in testo bianco.
3. Tieni il puntatore sopra il testo per visualizzare una finestra di dialogo con la data, l'utente e il motivo della modifica.

Elenchi di titoli

La pagina Liste di titoli consente di monitorare entità specifiche dell'azienda.

Vai alla scheda Liste di titoli

1. Nella barra di navigazione a sinistra, fai clic su Rilevamento.
2. In Rilevamento, fai clic su Analisi del rischio.
3. Fai clic sulla scheda Liste di titoli.

Aggiungi una lista di titoli

Per aggiungere un elenco di titoli al tuo account Google Security Operations, completa i seguenti passaggi. Puoi configurare fino a 200 liste di titoli.

1. Fai clic su Crea lista di titoli.
2. Specifica un Nome lista di titoli.
3. (Facoltativo) Specifica una descrizione.
4. (Facoltativo) Specifica un Fattore di moltiplicazione compreso tra 0 e 100. Il valore predefinito è 1.
5. (Facoltativo) Specifica le entità sul lato destro della finestra dopo la sezione Aggiungi entità in una lista di titoli. Qui puoi aggiungere i seguenti tipi di entità:
   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID
6. Fai clic su Crea lista di titoli.

Fissare una lista di titoli

1. Fai clic su Modifica visualizzazione.
2. Fai clic sulla casella di controllo accanto alla lista di titoli che vuoi bloccare.
3. Fai clic su Salva.

Sbloccare una lista di titoli

1. Dalla dashboard Liste di titoli, seleziona la lista di titoli che vuoi sbloccare e seleziona more_vert .
2. Fai clic su Rimuovi dalla visualizzazione.

Modificare una lista di titoli

1. Nella dashboard Liste di titoli, seleziona quella che vuoi modificare e fai clic sull'icona more_vert .
2. Fai clic su Modifica lista di titoli.

Eliminare una lista di titoli

1. Nella dashboard Liste di titoli, seleziona quella che vuoi eliminare e fai clic su more_vert .
2. Fai clic su Elimina lista di titoli.

Aggiungere entità a un elenco di titoli

Per aggiungere entità a un elenco di titoli, devi specificare il nome, il tipo e lo spazio dei nomi (facoltativo) dell'entità riga per riga utilizzando uno dei seguenti formati.

• NAME,TYPE

• NAME,TYPE,NAMESPACE

  TYPE può essere uno dei seguenti:

  • ASSET_IP_ADDRESS
  • EMAIL
  • EMPLOYEE_ID
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID
  • USERNAME
  • WINDOWS_SID

  NAMESPACE può essere specificato solo per i tipi di entità asset:

  • ASSET_IP_ADDRESS
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID

Ad esempio:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Questo esempio rappresenta due entità aggiunte alla lista di titoli, un indirizzo IP dell'asset 205.148.5.0 e un nome host website.com nello spazio dei nomi chronicle. Un elenco di titoli può contenere fino a 10.000 entità.

Rimuovere entità da una lista di titoli

Per rimuovere entità da un elenco di titoli, rimuovi le righe che rappresentano le entità che vuoi rimuovere e fai clic su Salva.

Modifica le impostazioni del punteggio di rischio

La pagina Punteggio di rischio delle entità consente di definire il modo in cui vengono calcolati i punteggi di rischio per entità, avvisi e rilevamenti. Questa pagina ti consente di personalizzare il modo in cui viene calcolato il rischio in base alle esigenze specifiche della tua ricerca.

La pagina Punteggio di rischio dell'entità contiene tre campi che puoi aggiornare:

• Ponderazione del punteggio di rischio delle entità
• Punteggio di rischio predefinito degli avvisi
• Punteggio di rischio del rilevamento predefinito

Per modificare una di queste impostazioni, segui questi passaggi:

1. Nella barra di navigazione, seleziona Impostazioni > Punteggi di rischio entità.
2. Aggiorna i punteggi di rischio di conseguenza.
3. Fai clic su Salva. Quando torni alla pagina Analisi del rischio principale, nella parte superiore dello schermo viene visualizzato un messaggio che conferma che è stata apportata una modifica al Punteggio di rischio dell'entità.
4. (Facoltativo) Per reimpostare uno di questi valori, fai clic su Reimposta a destra del valore.

Gli aggiornamenti verranno applicati solo ai nuovi avvisi e al rilevamento. L'applicazione delle modifiche potrebbe richiedere fino a 30 minuti.

Ponderazione del punteggio di rischio dell'entità

La ponderazione definisce il modo in cui i punteggi di rischio di avviso e rilevamento contribuiscono ai calcoli del punteggio di rischio dell'entità. La ponderazione è un valore compreso tra 0 e 1 e il valore predefinito è 0,2.

Ecco alcuni esempi di come numeri diversi influenzano il calcolo del punteggio di rischio dell'entità:

• Ponderazione del punteggio di rischio delle entità 0. Il punteggio di rischio non elaborato è il punteggio di rischio massimo di rilevamento tra tutti i rilevamenti per l'entità.
• Ponderazione del punteggio di rischio delle entità 1. Il punteggio di rischio non elaborato è la somma di tutti i punteggi di rischio di rilevamento
• Ponderazione del punteggio di rischio delle entità 0.5. Il punteggio di rischio dà pieno peso al rilevamento con il punteggio di rischio massimo per l'entità e metà del peso per tutti gli altri rilevamenti.

Punteggio di rischio predefinito per i rilevamenti

Punteggio di rischio predefinito per i rilevamenti consente di assegnare un valore predefinito per i punteggi di rischio di rilevamento. I punteggi di rischio del rilevamento sono usati per calcolare i punteggi di rischio dell'entità. I punteggi di rischio per i rilevamenti vengono definiti quando viene scritta una regola. Se nella regola non viene definito alcun punteggio di rischio, viene utilizzato il valore predefinito. Il punteggio predefinito è 15, mentre l'intervallo del punteggio di rischio è compreso tra 0 e 100.

Punteggio di rischio predefinito per gli avvisi

Simile a Punteggio di rischio predefinito per i rilevamenti, questo campo consente di assegnare un valore predefinito per i punteggi di rischio degli avvisi. Se nella regola non è definito alcun punteggio di rischio, viene usato il punteggio predefinito 40. L'intervallo del punteggio di rischio è compreso tra 0 e 1000.

Per informazioni su come definire il punteggio di rischio in una regola, consulta Sintassi della sezione dei risultati.

Coefficiente di avviso chiuso

Il coefficiente di avviso chiuso modifica il punteggio di rischio degli avvisi contrassegnati come chiusi dagli analisti. È un modificatore con virgola mobile compreso tra 0 e 1 inclusi. Il valore predefinito è 1,0, il che significa che tutti gli avvisi aperti e chiusi mantengono i punteggi originali. Se il coefficiente di avviso chiuso ha un valore pari a 0,0, tutti gli avvisi chiusi ricevono un punteggio di rischio pari a 0 e non aumenteranno più il punteggio di rischio dell'entità complessiva.