Painel de análise de dados de risco

Compatível com:

O painel Análise de risco permite visualizar seu ambiente com base em riscos. A visualização das tendências de risco de entidade ajuda a identificar comportamentos incomuns e entender o possível risco que as entidades representam para sua empresa.

O painel Análise de dados de risco lista as entidades em risco e os detalhes do fator de risco. Em sistemas que usam o RBAC de dados, apenas usuários com escopo global podem acessar a Análise de risco. Para mais informações, consulte Impacto do RBAC de dados nas Análises de risco.

Para acessar o painel Análise de risco, siga estas etapas:

  1. Na barra de navegação, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.

Contagem de entidades, pontuação de risco e tabela de entidades

Com base nos filtros escolhidos, o painel Análise de risco mostra apenas as 10.000 entidades com maior risco na empresa. Todos os gráficos e tabelas no painel representam apenas esse conjunto de entidades.

O gráfico Total de entidades no canto superior esquerdo mostra o número de entidades que estão sendo rastreadas na sua empresa com um risco maior que 0. As entidades com uma pontuação de risco de 0 ainda estão sendo rastreadas, mas não serão representadas neste gráfico. A contagem total é dividida entre ativos e usuários.

Para mais informações sobre entidades, consulte Objetos lógicos: evento e entidade. Para mais informações sobre como as pontuações de risco são calculadas, consulte Cálculo da pontuação de risco.

Na tabela Entidades, há várias colunas relacionadas à pontuação de risco da entidade:

Coluna Valor
Nome da entidade Nome da entidade.
Tipo de entidade Tipo de entidade (recurso ou usuário).
Normalizada As pontuações normalizadas são calculadas entre entidades, escalonadas entre 0 e 1.000 usando a normalização mínimo-máximo.
Mudança normalizada Mudança na pontuação de risco normalizada da entidade desde a janela de cálculo de risco anterior.
Tendência normalizada Aumento ou diminuição na mudança percentual da pontuação de risco normalizada em comparação com a janela de risco anterior.
Base A pontuação de risco básica da entidade é igual à pontuação de risco máxima da descoberta mais a ponderação vezes a soma das pontuações de risco das descobertas restantes.

O padrão de ponderação é 0,2 e pode ser alterado nas configurações.
Mudança básica Mudança na pontuação de risco básica da entidade desde a janela de cálculo de risco anterior.
Tendência básica Aumento ou diminuição na mudança percentual da pontuação de risco básica em comparação com a janela de risco anterior.
Número de descobertas O número de descobertas (alertas e detecções) que incluem essa entidade durante a janela de cálculo de risco.
Primeira vez na janela Carimbo de data/hora de quando a entidade apareceu pela primeira vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.
Última vez na janela Carimbo de data/hora de quando a entidade apareceu pela última vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.

Ajustar a janela de cálculo de risco

O risco calculado por uma entidade muda de acordo com o período em análise. Alterar a configuração Janela de cálculo de risco no canto superior direito (selecione Janela de 24 horas ou Janela de 7 dias) muda a pontuação de risco calculada exibida aqui. Talvez seja necessário mudar essa configuração dependendo do tipo de ataque que você está procurando. Por exemplo, ataques de força bruta são mais aparentes ao definir a janela de cálculo de risco como 24 horas. Períodos maiores permitem identificar ataques de longo prazo.

As pontuações de risco da entidade mudam de acordo com a janela de cálculo de risco selecionada. As pontuações de risco da entidade são calculadas com base nas descobertas geradas durante a janela de risco.

Restringir a pesquisa com filtros rápidos

Os filtros rápidos permitem restringir sua pesquisa mostrando apenas resultados relevantes para suas necessidades específicas.

Para usar os filtros rápidos no painel Análise de risco, siga estas etapas:

  1. Clique em filter_alt acima da tabela Entidades. A janela Filtros vai aparecer.
  2. Selecione uma das colunas:
    • Número de descobertas
    • Pontuação de risco normalizada da entidade
    • Tendência de risco normalizado da entidade
    • Tipo
  3. Selecione Mostrar apenas ou Filtrar.
  4. Selecione um valor. É possível selecionar mais de um valor para expandir o intervalo:
    • Número de descobertas: valores de 0 a mais de 1.000.
    • Pontuação de risco normalizada da entidade: valores de 0 a 1.000.
    • Tendência de pontuação de risco normalizada da entidade: porcentagens de menos de -99% a mais de 199%.
    • Tipo: selecione Recursos ou Usuários.
  5. (Opcional) Para adicionar mais filtros, clique em Add filter (Adicionar filtro) e repita o processo a partir da etapa 2.
  6. Quando terminar de configurar os filtros, clique em Aplicar.

Por exemplo, se você selecionar Tendência de pontuação de risco normalizada da entidade, Mostrar somente e marcar >199%, apenas as entidades com uma mudança de pontuação de risco normalizada da entidade maior que 199% vão ser exibidas.

Investigar uma entidade usando a página de entidade

Para investigar uma entidade, siga estas etapas:

  1. Role a coluna Nome da entidade ou use a barra de pesquisa para encontrar uma entidade.
  2. Clique na entidade que você quer investigar.

A página da entidade vai ser aberta. Nesta página, você pode examinar apenas as descobertas associadas a essa entidade. O gráfico Cronologia das descobertas na parte de cima rastreia as pontuações de risco da entidade e as descobertas ao longo do tempo. Esse gráfico é composto por métricas pré-calculadas exibidas em um formato de gráfico de linhas para mostrar tendências ao longo do tempo. As anomalias aparecem como picos no gráfico de linhas. Abaixo do gráfico, há a tabela Findings, que mostra a quais eventos e atividades a entidade selecionada foi associada.

Há um painel View entity details (ver detalhes da entidade) desdobrável no canto inferior direito que contém um resumo de detalhes importantes sobre a entidade selecionada. Para fazer um exame detalhado da entidade selecionada, clique em Ver detalhes da entidade para visualizar a entidade na visualização Recurso ou Usuário, dependendo se a entidade é um recurso ou usuário. Para mais informações, consulte Investigar uma entidade de recurso ou Investigar um usuário.

Investigar uma entidade usando a análise de entidades

A análise de entidades oferece aos analistas de SOC e caçadores de ameaças uma visão detalhada do comportamento de uma entidade, incluindo o perfil de referência, anomalias e enriquecimentos contextuais da entidade.

Na página da entidade, selecione um período de até 90 dias na Linha do tempo de descobertas e clique em Analisar dados da seleção. Isso abre uma barra lateral que mostra as análises associadas a essa entidade no período selecionado. Cada análise mostra um agregado de todos os valores de análise no período. Quando detectada, uma análise inclui uma lista de alertas e detecções relacionadas que podem ser examinados clicando em Ver mais para abrir a visualização Alertas ou Detecção correspondente. Para mais informações, consulte Investigar um alerta.

As seguintes análises de entidade são fornecidas:

  • Contagem de nomes de eventos de alerta
  • Tentativas de autenticação bem-sucedidas
  • Falha nas tentativas de autenticação
  • Total de tentativas de autenticação
  • Bytes de DNS enviados
  • Falha nas consultas DNS
  • Sucesso das consultas DNS
  • Total de consultas DNS
  • Execução de arquivos concluída
  • Falha nas execuções de arquivo
  • Total de execuções de arquivos
  • Sucesso das consultas HTTP
  • Falha nas consultas HTTP
  • Total de consultas HTTP
  • Bytes de entrada da rede
  • Bytes de rede de saída
  • Total de bytes da rede
  • Total de tentativas de autenticação do Workspace
  • Total de e-mails enviados do Workspace
  • Bytes de saída da rede do Workspace
  • Total de bytes da rede do Workspace
  • Ações de mudança no total do espaço de trabalho
  • Total de ações de download do Workspace

Modificar uma pontuação de risco da entidade

Quando informações ou eventos externos afetam o risco real de uma entidade, você pode atualizar a pontuação de risco dela.

Por exemplo, é possível diminuir temporariamente a pontuação de risco de um funcionário que acabou de concluir um exercício de equipe vermelha (como testes de penetração) para que os analistas não precisem perder tempo investigando por que o funcionário teve um aumento de risco. Você também pode aumentar temporariamente a pontuação de risco de um funcionário envolvido em um processo.

  1. Na tabela Entidades da página Análise de risco, mantenha o cursor sobre a coluna à direita da linha. Talvez seja necessário rolar a tela para a direita. Clique em more_vert.

    e selecione Atualizar pontuação de risco da entidade.

  2. Na caixa de diálogo Update entity risk score, configure os valores para o seguinte:

    • Fator de multiplicação: permite aumentar ou diminuir a pontuação de risco de uma entidade com um fator de multiplicação de 0,0 a 100,0. Por exemplo, se você descobrir novas evidências sobre uma entidade que a torna duas vezes mais arriscada, atualize o fator de multiplicação para 50 para refletir o verdadeiro fator de risco da entidade.
    • Período: período em que o fator de multiplicação é aplicado. Você pode selecionar Agora ou entre 1 dia e 14 dias. Se você selecionar Agora, o fator de multiplicação será aplicado à pontuação de risco da entidade para a janela de cálculo de risco atual. O cálculo inclui apenas os alertas e as detecções atuais. Quando esse período terminar, as atualizações da pontuação de risco da entidade vão parar, e a pontuação de risco volta ao normal.
    • Motivo: permite deixar um contexto adicional para outros usuários sobre por que essa atualização foi feita. Escolha uma das seguintes opções: Nova evidência, Pontuação de risco incorreta, Perfil de risco alterado, Requisitos de compliance ou Outro.

Se você tentar fazer uma mudança que já foi feita (por exemplo, se você quiser atualizar o fator de multiplicação de uma entidade para 25%, mas outro membro da equipe já fez essa mudança), uma caixa de diálogo vai aparecer informando que a mudança já foi feita, incluindo informações sobre quem fez a mudança e quando.

Conferir atualizações da pontuação de risco nos detalhes da entidade

É possível conferir todas as atualizações da pontuação de risco de uma entidade na página Perfil da entidade.

  1. Clique na entidade cujo histórico de atualização da pontuação de risco você quer abrir para acessar a página Perfil da entidade.
  2. No gráfico de linha do evento, cada vez que alguém muda a pontuação de risco da entidade, é indicado pelo rótulo Modificação da pontuação de risco em texto branco.
  3. Mantenha o cursor sobre o texto para mostrar uma caixa de diálogo com a data, o usuário e o motivo da alteração.

Listas de interesses

Na página Listas de interesses, você pode monitorar entidades específicas em toda a empresa.

  1. Na barra de navegação à esquerda, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.
  3. Clique na guia Listas de exibição.

Adicionar uma lista de interesses

Para adicionar uma lista de observação à sua conta do Google Security Operations, siga estas etapas. É possível configurar até 200 listas de observação.

  1. Clique em Criar lista de observação.
  2. Especifique um nome da lista de interesses.
  3. (Opcional) Especifique uma descrição.
  4. (Opcional) Especifique o Fator de multiplicação entre 0 e 100. O padrão é 1.
  5. (Opcional) Especifique entidades no lado direito da janela seguindo a seção Adicionar entidades a uma lista de observação. É possível adicionar os seguintes tipos de entidade aqui:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Clique em Criar lista de observação.

Fixar uma lista de interesses

  1. Clique em Editar tela.
  2. Marque a caixa de seleção ao lado da lista de reprodução que você quer fixar.
  3. Clique em Salvar.

Liberar uma lista de interesses

  1. No painel Listas de interesses, selecione a lista que você quer desfixar e clique em more_vert .
  2. Clique em Remover da tela.

Editar uma lista de interesses

  1. No painel Listas de exibição, selecione a lista que você quer editar e clique no ícone more_vert .
  2. Clique em Editar lista de observação.

Excluir uma lista de interesses

  1. No painel Listas de interesses, selecione a lista que você quer excluir e clique em more_vert .
  2. Clique em Excluir lista de observação.

Adicionar entidades a uma lista de interesses

Para adicionar entidades a uma lista de observação, especifique o nome, o tipo e o namespace (opcional) da entidade linha por linha usando um dos formatos a seguir.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE pode ser:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    O NAMESPACE só pode ser especificado para os tipos de entidade de recursos:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Este exemplo representa duas entidades adicionadas à lista de observação: um endereço IP de recurso 205.148.5.0 e um nome de host website.com no namespace chronicle. É possível ter até 10.000 entidades em uma lista de sites de interesse.

Remover entidades de uma lista de interesses

Para remover entidades de uma lista de observação, remova as linhas que representam as entidades que você quer remover e clique em Salvar.

Mudar as configurações da pontuação de risco

Na página Pontuação de risco da entidade, você pode definir como as pontuações de risco são calculadas para entidades, alertas e detecções. Nessa página, você pode personalizar como o risco é calculado com base nas necessidades exclusivas da sua pesquisa.

Há três campos na página Pontuação de risco da entidade que podem ser atualizados:

Para mudar qualquer uma dessas configurações, siga estas etapas:

  1. Na barra de navegação, selecione Configurações > Pontuações de risco de entidade.
  2. Atualize as pontuações de risco de acordo.
  3. Clique em Salvar. Quando você voltar à página principal Análise de risco, uma mensagem vai aparecer na parte de cima da tela confirmando que uma mudança foi feita na pontuação de risco da entidade.
  4. (Opcional) Para redefinir qualquer um desses valores, clique em Redefinir à direita do valor.

As atualizações só serão aplicadas a novos alertas e detecções. Pode levar até 30 minutos para que as mudanças entrem em vigor.

Ponderação da pontuação de risco da entidade

A ponderação define como as pontuações de risco de alerta e de detecção contribuem para os cálculos da pontuação de risco da entidade. O peso é um valor de 0 a 1, e o padrão é 0,2.

Confira alguns exemplos de como números diferentes afetam o cálculo da pontuação de risco da entidade:

  • Ponderação da pontuação de risco da entidade 0. A pontuação de risco bruta é a pontuação de risco de detecção máxima entre todas as detecções da entidade.
  • Ponderação da pontuação de risco da entidade 1. A pontuação de risco bruta é a soma de todas as pontuações de risco de detecção da entidade.
  • Ponderação da pontuação de risco da entidade 0.5. A pontuação de risco dá peso total à detecção com pontuação de risco máxima para a entidade e metade do peso para todas as outras detecções.

Pontuação de risco padrão para detecções

Pontuação de risco padrão para detecções permite atribuir um valor padrão para as pontuações de risco de detecção. As pontuações de risco de detecção são usadas para calcular as pontuações de risco da entidade. As pontuações de risco para detecções são definidas quando uma regra é escrita. Se nenhuma pontuação de risco for definida na regra, o valor padrão será usado. A pontuação padrão é 15, e o intervalo de pontuação de risco é de 0 a 100.

Pontuação de risco padrão para alertas

Assim como a Pontuação de risco padrão para detecções, esse campo permite atribuir um valor padrão para as pontuações de risco de alerta. Se nenhuma pontuação de risco for definida na regra, o padrão de 40 será usado. O intervalo da pontuação de risco é de 0 a 1.000.

Para informações sobre como definir a pontuação de risco em uma regra, consulte a Sintaxe da seção de resultados.

Coeficiente de alerta fechado

O coeficiente de alerta fechado modifica a pontuação de risco dos alertas marcados como fechados pela equipe de análise. Ele é um modificador de ponto flutuante entre 0 e 1 (inclusive). O padrão é 1,0, o que significa que todos os alertas abertos e fechados mantêm as pontuações originais. Se o coeficiente de alerta fechado tiver um valor de 0,0, todos os alertas fechados vão receber uma pontuação de risco de 0 e não vão mais aumentar a pontuação de risco da entidade.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.