Risikoanalyse-Dashboard

Im Dashboard Risk Analytics können Sie Ihre Umgebung über eine risikoabhängig ist. Durch die Visualisierung von Risikotrends für Entitäten können Sie ungewöhnliche und das potenzielle Risiko zu verstehen, das Entitäten für Ihre Unternehmen.

Das Dashboard Risikoanalyse enthält gefährdete Entitäten und Risikofaktordetails. Auf Systemen mit RBAC für Daten können nur Nutzer mit globalem Geltungsbereich zugreifen Risikoanalyse. Weitere Informationen finden Sie unter Auswirkungen von Daten-RBAC auf Risikoanalysen.

So rufen Sie das Dashboard Risikoanalysen auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.

Tabelle mit Entitätsanzahl, Risikobewertung und Entitäten

Das Dashboard Risk Analystics zeigt basierend auf den ausgewählten Filtern nur die Top-10.000-Unternehmen mit dem höchsten Risiko im Unternehmen. Alle Grafiken und Tabellen im Dashboard stellen nur diese Gruppe von Entitäten dar.

In der Grafik Gesamtzahl der Entitäten links oben wird die Anzahl der Entitäten angezeigt. in Ihrem Unternehmen mit einem Risiko von mehr als 0 erfasst. Entitäten mit einem Risikobewertung von 0 noch verfolgt, aber sie wird in dieser Diagramm. Die Gesamtzahl wird zwischen Assets und Nutzer:

Weitere Informationen zu Entitäten finden Sie unter Logische Objekte: Ereignis- und Entität. Weitere Informationen zur Berechnung von Risikobewertungen finden Sie unter Risikobewertung Berechnung.

Die Tabelle Entitäten enthält mehrere Spalten, die sich auf die Entität beziehen. Risikobewertung:

Spalte Wert
Entitätsname Name der Entität.
Entitätstyp Art der Entität (Inhalt oder Nutzer).
Normalized Normalisierte Punktzahlen werden über Entitäten hinweg berechnet und mithilfe von Min-Max-Normalisierung zwischen 0 und 1.000 skaliert.
Normalisierte Änderung Änderung der normalisierten Risikobewertung für Entitäten seit dem vorherigen Risikoberechnungsfenster.
Normalisierter Trend Erhöhung oder Verringerung der prozentualen Änderung der normalisierten Risikobewertung im Vergleich zum vorherigen Risikofenster.
Basis Der Basisrisikowert für Entitäten entspricht dem maximalen Risikowert für Ergebnisse plus der Gewichtung multipliziert mit der Summe der verbleibenden Risikobewertungen für Ergebnisse.

Der Standardwert für die Gewichtung ist 0,2 und kann in den Einstellungen geändert werden.
Grundänderung Änderung der Basisrisikobewertung für Entitäten seit dem vorherigen Risikoberechnungsfenster.
Basistrend Erhöhung oder Verringerung der prozentualen Änderung der Basisrisikobewertung im Vergleich zum vorherigen Risikofenster.
Anzahl der Ergebnisse Die Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), die diese Entität während des Risikoberechnungsfensters enthalten.
Zuerst im Fenster erfasst Zeitstempel, der angibt, wann die Entität zum ersten Mal in einem Ergebnis (Benachrichtigung oder Erkennung) während des Risikoberechnungsfensters erkannt wurde.
Zuletzt im Fenster erfasst Zeitstempel, zu dem die Entität zuletzt während des Risikoberechnungsfensters in einem Ergebnis (Benachrichtigung oder Erkennung) erkannt wurde.

Risikoberechnungsfenster anpassen

Das berechnete Risiko einer Entität ändert sich je nach Zeitraum wird geprüft. Einstellung für Risikoberechnungsfenster 24-Stunden-Fenster oder 7-Tage-Fenster auswählen, ändert sich wird hier angezeigt. Du kannst diese Einstellung ändern je nach Art des gewünschten Angriffs. Beispiel: Brute-Force Angriffe werden deutlicher, wenn Sie das Risikoberechnungsfenster auf 24 Öffnungszeiten: Bei längeren Zeiträumen können Sie langfristige Angriffe erkennen.

Risikobewertungen für Entitäten ändern sich je nach ausgewähltem Risikoberechnungsfenster. Risikobewertungen für Entitäten werden anhand der Ergebnisse berechnet, die während des folgenden Zeitraums generiert wurden: Risikofenster.

Suche mit Schnellfiltern eingrenzen

Mit Schnellfiltern können Sie Ihre Suche eingrenzen, indem Sie nur Ergebnisse anzeigen, die für Ihren spezifischen Bedürfnissen.

So verwenden Sie Schnellfilter auf dem Dashboard Risikoanalysen:

  1. Klicken Sie auf . filter_alt die Tabelle Entitäten Das Fenster Filter wird angezeigt.
  2. Wählen Sie eine der Spalten aus: <ph type="x-smartling-placeholder">
      </ph>
    • Anzahl der Ergebnisse
    • Normalisierte Risikobewertung für Entitäten
    • Normalisierte Risikoentwicklung für Entitäten
    • Typ
  3. Wählen Sie Nur anzeigen oder Filtern aus.
  4. Wählen Sie einen Wert aus (Sie können mehrere Werte auswählen, um den Bereich zu erweitern): <ph type="x-smartling-placeholder">
      </ph>
    • Anzahl der Ergebnisse: Werte von 0 bis größer als 1.000.
    • Normalisierte Risikobewertung für Entitäten: Werte von 0 bis 1.000.
    • Normalisierte Risikoentwicklung für Entitäten: Prozentsätze von unter -99% auf mehr als 199%.
    • Typ: Wählen Sie Assets oder Nutzer aus.
  5. Optional: Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diese Schritte. aus Schritt 2.
  6. Nachdem Sie die Filter konfiguriert haben, klicken Sie auf Anwenden.

Wenn Sie beispielsweise Risikotrend normalisierter Entitäten auswählen, wählen Sie Anzeigen only (Nur Entitäten mit einem normalisierten Entitätsrisiko) und aktivieren Sie >199%. Änderung, die größer als 199% ist, werden angezeigt.

Entität auf der Seite „Entitäten“ untersuchen

So prüfen Sie eine Entität:

  1. Scrollen Sie durch die Spalte Name der Entität oder verwenden Sie die Suchleiste, um nach einem Entität.
  2. Klicken Sie auf die Entität, die Sie untersuchen möchten.

Die Entitätsseite wird geöffnet. Auf dieser Seite können Sie nur die Ergebnisse auswerten. die mit dieser einen Entität verknüpft sind. Das Zeitachsendiagramm der Ergebnisse im oberen Bereich verfolgt Risikobewertungen und Ergebnisse für Entitäten im Zeitverlauf. Dieses Diagramm besteht aus Vorberechnete Messwerte werden in einem Liniendiagramm angezeigt, um Trends im Zeitverlauf darzustellen. Anomalien können als Ausschläge im Liniendiagramm angezeigt werden. Unter dem Diagramm befindet sich Tabelle Ergebnisse, in der angezeigt wird, welche Ereignisse und Aktivitäten die ausgewählte Entität hat die Sie verknüpft haben.

Unten rechts befindet sich der minimierbare Bereich Entitätsdetails anzeigen. enthält eine Zusammenfassung wichtiger Details zur ausgewählten Entität. Um eine untersucht haben, klicken Sie auf Entitätsdetails ansehen, um Sie können die Entität in der Ansicht Asset oder in der Ansicht Nutzer abrufen. entity ist entsprechend ein Asset oder ein Nutzer. Weitere Informationen finden Sie unter Untersuchen eine Asset-Entität oder Nutzer untersuchen

Entität mithilfe der Entitätsanalyse untersuchen

Entity Analytics bietet SOC-Analysten und Bedrohungssuchenden eine detaillierte Ansicht des Verhaltens einer Entität, einschließlich deren Basisprofil, Anomalien und kontextbezogene Anreicherung.

Wählen Sie auf der Entitätsseite einen Zeitraum von bis zu 90 Tagen in der Spalte Ergebnisse Zeitachse und klicke auf Analysen zur Auswahl ansehen. Dadurch wird eine Seitenleiste geöffnet Hier sehen Sie die mit dieser Entität verknüpften Analysen in der Zeitraum. Jede Analyse zeigt eine Summe aller Analysewerte an. innerhalb des Zeitraums liegen. Wenn ein Analysetool erkannt wird, enthält es eine Liste Benachrichtigungen und Erkennungen, die Sie durch Klicken auf Mehr anzeigen Öffnen Sie die entsprechende Ansicht Alerts (Warnungen) oder Detection (Erkennung). Weitere Informationen Siehe Eine Warnung prüfen.

Die folgenden Entitätsanalysen werden bereitgestellt:

  • Anzahl der Ereignisnamen der Benachrichtigung
  • Erfolgreiche Authentifizierungsversuche
  • Authentifizierungsversuche fehlgeschlagen
  • Authentifizierungsversuche insgesamt
  • DNS-Byte ausgehend
  • DNS-Abfragen schlagen fehl
  • DNS-Abfragen erfolgreich
  • DNS-Abfragen insgesamt
  • Dateiausführungen erfolgreich
  • Dateiausführung fehlgeschlagen
  • Dateiausführungen insgesamt
  • HTTP-Abfragen erfolgreich
  • HTTP-Abfragen schlagen fehl
  • HTTP-Abfragen insgesamt
  • Eingehende Netzwerkbyte
  • Ausgehende Netzwerkbyte
  • Netzwerkbyte gesamt
  • Workspace-Authentifizierungsversuche insgesamt
  • Insgesamt gesendete Workspace-E‐Mails
  • Workspace-Netzwerkbyte (ausgehend)
  • Workspace-Netzwerkbyte gesamt
  • Änderungsaktionen insgesamt für Workspace
  • Workspace – Downloadaktionen insgesamt

Risikobewertung für Entitäten ändern

Wenn fremde Informationen oder Ereignisse das tatsächliche Risiko einer Entität beeinflussen, die Risikobewertung der Entität zu aktualisieren.

Sie können zum Beispiel vorübergehend den Risiko-Score von Mitarbeitenden verringern, die gerade Red-Team-Übung (wie Penetrationstests) durchgeführt, damit Fachkräfte für Datenanalyse Sie müssen Zeit damit verschwenden, herauszufinden, warum dieser Mitarbeiter ein erhöhtes Risiko hatte. Ich auch den Risiko-Score von Mitarbeitenden, die an einem Projekt beteiligt sind, vorübergehend erhöhen bei einem Gerichtsverfahren.

  1. Halten Sie in der Tabelle Entitäten auf der Seite Risikoanalysen auf die Spalte ganz rechts in der Zeile. Eventuell müssen Sie im Display rechts angezeigt. Klicken Sie auf more_vert.

    und wählen Sie Risikobewertung für Entitäten aktualisieren aus.

  2. Konfigurieren Sie im Dialogfeld Risikobewertung für Entitäten aktualisieren Werte für Folgendes:

    • Multiplikationsfaktor: Damit können Sie das Risiko erhöhen oder verringern. Wert einer Entität mit einem Multiplikationsfaktor von 0,0–100,0. Für wenn Sie neue Belege für eine Entität gefunden haben, doppelt so riskant ist, aktualisieren Sie den Multiplikationsfaktor auf 50, den tatsächlichen Risikofaktor des Rechtssubjekts.
    • Time period (Zeitraum): Zeitraum, in dem der Multiplikationsfaktor berechnet wird angewendet. Sie können Jetzt oder zwischen 1 Tag und 14 Tage auswählen. Wenn Sie Now auswählen, wird der Multiplikationsfaktor auf die Entität angewendet Risikobewertung für das aktuelle Risikoberechnungsfenster. Nur vorhandene Warnungen und Erkennungen werden in der Berechnung berücksichtigt. Nach Ablauf des ausgewählten Zeitraums wird die Risikobewertung für Entitäten aktualisiert und der Risiko-Score sich normalisiert.
    • Grund: Hier können Sie anderen Nutzern zusätzlichen Kontext zu den Informationen liefern. warum diese Änderung vorgenommen wurde. Wählen Sie eine der folgenden Optionen aus: Neu Nachweise, Falsche Risikobewertungen, Geändertes Risikoprofil Compliance-Anforderungen oder Sonstiges.

Wenn Sie versuchen, eine Änderung vorzunehmen, die bereits vorgenommen wurde, z. B. den Multiplikationsfaktor einer Entität auf 25 % ändern möchten, diese Änderung bereits vorgenommen hat), wird ein Dialogfeld mit der Mitteilung angezeigt, einschließlich Informationen darüber, wer die Änderung wann vorgenommen hat.

Aktualisierungen des Risikowerts in Entitätsdetails ansehen

Sie können sich alle Aktualisierungen der Risikobewertung für eine Entität im Entitätsprofil ansehen. Seite.

  1. Klicken Sie auf die Entität, deren Aktualisierungsverlauf für die Risikobewertung Sie aufrufen möchten, um sie zu öffnen. auf der Seite Entitätsprofil.
  2. Im Zeitachsendiagramm für Ereignisse jedes Mal, wenn jemand das Risiko der Entität geändert hat wird durch den Wert Label Änderung des Risikowerts in weißem Text
  3. Bewegen Sie den Mauszeiger über den Text, um ein Dialogfeld mit Datum, Nutzer und den Grund für die Änderung.

Beobachtungslisten

Auf der Seite Merklisten können Sie bestimmte Entitäten aus Ihren Unternehmen.

  1. Klicken Sie in der linken Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.
  3. Klicken Sie auf den Tab Merklisten.

Beobachtungsliste hinzufügen

Führen Sie die folgenden Schritte aus, um Ihrem Google Security Operations-Konto eine Beobachtungsliste hinzuzufügen Schritte. Sie können bis zu 200 Beobachtungslisten konfigurieren.

  1. Klicken Sie auf Beobachtungsliste erstellen.
  2. Geben Sie einen Namen der Merkliste an.
  3. Optional: Geben Sie eine Beschreibung an.
  4. (Optional) Geben Sie für den Multiplikationsfaktor einen Wert zwischen 0 und 100 an. Die Standardeinstellung ist 1.
  5. (Optional) Geben Sie Entitäten auf der rechten Seite des Fensters nach Abschnitt Entitäten zu einer Beobachtungsliste hinzufügen Ich können hier die folgenden Entitätstypen hinzufügen: <ph type="x-smartling-placeholder">
      </ph>
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klicken Sie auf Beobachtungsliste erstellen.

Beobachtungsliste anpinnen

  1. Klicken Sie auf Display bearbeiten.
  2. Klicken Sie auf das Kästchen neben der Beobachtungsliste, die Sie anpinnen möchten.
  3. Klicken Sie auf Speichern.

Beobachtungsliste loslösen

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie loslösen möchten. und wählen Sie more_vert aus.
  2. Klicken Sie auf Aus Anzeige entfernen.

Beobachtungsliste bearbeiten

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie bearbeiten möchten, und Klicken Sie auf das Symbol more_vert .
  2. Klicken Sie auf Beobachtungsliste bearbeiten.

Beobachtungsliste löschen

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie löschen möchten. und klicken Sie auf more_vert .
  2. Klicken Sie auf Beobachtungsliste löschen.

Entitäten einer Beobachtungsliste hinzufügen

Wenn Sie Entitäten zu einer Beobachtungsliste hinzufügen möchten, geben Sie den Entitätsnamen, den Typ und Optional: Namespace Zeile für Zeile in einem der folgenden Formate.

  • NAME, TYPE

  • NAME,TYPE,NAMESPACE

    TYPE kann eines der Folgenden sein:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE kann nur für das Asset angegeben werden Entitätstypen:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Beispiel:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Dieses Beispiel stellt zwei in die Beobachtungsliste aufgenommene Entitäten, eine Asset-IP-Adresse 205.148.5.0 und den Hostnamen website.com unter dem Namespace chronicle. Ich eine Beobachtungsliste mit bis zu 10.000 Entitäten enthalten.

Entitäten aus einer Beobachtungsliste entfernen

Wenn Sie Entitäten aus einer Beobachtungsliste entfernen möchten, entfernen Sie die Linien, die Entitäten darstellen Sie entfernen möchten, und klicken Sie auf Speichern.

Einstellungen für Risikobewertungen ändern

Auf der Seite Risikobewertung für Entitäten können Sie festlegen, wie Risikobewertungen berechnet werden für Entitäten, Warnungen und Erkennungen. Auf dieser Seite können Sie festlegen, basierend auf den individuellen Anforderungen Ihrer Suche berechnet.

Auf der Seite Risikobewertung für Entitäten gibt es drei Felder, die Sie aktualisieren können:

So ändern Sie diese Einstellungen:

  1. Wählen Sie in der Navigationsleiste Einstellungen > Risikobewertungen für Entitäten.
  2. Aktualisieren Sie die Risikobewertungen entsprechend.
  3. Klicken Sie auf Speichern. Wenn Sie zur Hauptseite Risikoanalyse zurückkehren, sehen Sie erscheint oben auf dem Bildschirm eine Bestätigung, dass eine Änderung Risikobewertung für Entitäten vorgenommen.
  4. Optional: Wenn Sie einen dieser Werte neu festlegen möchten, klicken Sie rechts neben den Wert.

Aktualisierungen werden nur auf neue Benachrichtigungen und Erkennungen angewendet. Das kann bis zu 30 Minuten, bis die Änderungen wirksam werden.

Risikobewertung für Entitäten

Die Gewichtung definiert, wie Benachrichtigungs- und Erkennungsrisikobewertungen zum Entitätsrisiko beitragen Punktzahlberechnungen. Für die Gewichtung muss ein Wert zwischen 0 und 1 angegeben werden.Der Standardwert ist 0,2.

Hier sind einige Beispiele dafür, wie sich unterschiedliche Zahlen auf die Risikobewertung für Entitäten auswirken Berechnung:

  • Risikobewertung für Entitäten 0. Die unverarbeitete Risikobewertung ist das Maximum Risikobewertung für die Erkennung unter allen Erkennungen für die Entität.
  • Risikobewertung für Entitäten 1. Die rohe Risikobewertung ist die Summe aller Risikobewertungen für die Entität.
  • Risikobewertung für Entitäten 0.5. Der Risiko-Score gewichtet die Erkennung mit maximalem Risikowert für die Entität und halber Gewichtung für alle anderen Erkennungsmechanismen.

Standardrisikobewertung für Erkennungen

Unter Standardrisikobewertung für Erkennungen können Sie einen Standardwert für Risikobewertungen für die Erkennung. Risikobewertungen für Erkennung werden zum Berechnen des Entitätsrisikos verwendet Punktzahlen. Risikobewertungen für Erkennungen werden beim Schreiben einer Regel definiert. Falls nein Risikobewertung in der Regel definiert ist, wird der Standardwert verwendet. Die Standardbewertung und der Risiko-Score-Bereich zwischen 0 und 100 liegt.

Standardrisikobewertung für Benachrichtigungen

Ähnlich wie bei Standardrisikobewertung für Erkennungen können Sie in diesem Feld eine Standardwert für Risikobewertungen für Benachrichtigungen. Wenn in der Regel kein Risikowert definiert ist, der Standardwert 40 verwendet wird. Der Bereich der Risikobewertung liegt zwischen 0 und 1.000.

Informationen zum Definieren der Risikobewertung in einer Regel finden Sie im Abschnitt "Ergebnis" Syntax.

Geschlossener Alarm-Koeffizient

Der Koeffizient der Benachrichtigung „Geschlossen“ ändert den Risikowert von Benachrichtigungen, die als geschlossen gekennzeichnet sind von Analysefachkräften. Er ist ein Gleitkommamodifikator zwischen 0 und 1 (jeweils einschließlich). Die Der Standardwert ist 1.0. Das bedeutet, dass bei allen offenen und geschlossenen Benachrichtigungen das ursprüngliche Punktzahlen. Wenn der Koeffizient für geschlossene Warnungen einen Wert von 0,0 hat, werden alle geschlossenen erhalten Benachrichtigungen einen Risiko-Score von 0 und erhöhen nicht mehr den Risiko-Score von für die gesamte Entität.