Dashboard dell'analisi dei rischi

Supportato in:

La dashboard Analisi del rischio ti consente di visualizzare il tuo ambiente tramite una in base al rischio. La visualizzazione delle tendenze di rischio delle entità ti aiuta a identificare comportamenti insoliti e a comprendere il potenziale rischio che le entità rappresentano per la tua azienda.

La dashboard Analisi del rischio elenca le entità a rischio e i dettagli dei fattori di rischio. Sui sistemi che utilizzano RBAC dei dati, solo gli utenti con ambito globale possono accedere e analisi del rischio. Per ulteriori informazioni, consulta l'impatto del RBAC dei dati su Dati e analisi dei rischi.

Per accedere alla dashboard Risk Analytics:

  1. Nella barra di navigazione, fai clic su Rilevamento.
  2. In Rilevamento, fai clic su Analisi del rischio.

Conteggio entità, punteggio di rischio e tabella delle entità

La dashboard Risk Analytics mostra, in base ai filtri scelti, solo le 10.000 entità con il rischio più elevato nell'azienda. Tutti i grafici e nella dashboard rappresentano solo questo insieme di entità.

Il grafico Conteggio totale entità in alto a sinistra mostra il numero di entità. tracciati nella tua azienda con un rischio maggiore di 0. Entità con un punteggio di rischio pari a 0 viene ancora monitorato, ma non sarà rappresentato in questo grafico. Il conteggio totale è diviso tra Asset e Utenti.

Per saperne di più sulle entità, consulta Oggetti logici: Event ed Entity. Per ulteriori informazioni su come vengono calcolati i punteggi di rischio, consulta la sezione Calcolo del punteggio di rischio.

Nella tabella Entità sono presenti più colonne relative al punteggio di rischio dell'entità:

Colonna Valore
Nome entità Nome dell'entità.
Tipo di entità Tipo di entità (asset o utente).
Normalizzato I punteggi normalizzati vengono calcolati tra le entità e scalati tra 0 e 1000 utilizzando la normalizzazione min-max.
Variazione punteggio normalizzato Variazione del punteggio di rischio normalizzato dell'entità rispetto alla finestra di calcolo del rischio precedente.
Tendenza punteggio normalizzato Aumento o diminuzione della variazione percentuale del punteggio di rischio normalizzato rispetto alla finestra di rischio precedente.
Livelli Il punteggio di rischio di base dell'entità equivale al punteggio di rischio massimo dei risultati più la ponderazione moltiplicata per la somma dei punteggi di rischio dei risultati rimanenti.

La ponderazione predefinita è 0,2 e può essere modificata in Impostazioni.
Variazione punteggio di base Variazione del punteggio di rischio dell'entità di base rispetto alla finestra di calcolo del rischio precedente.
Tendenza punteggio di base Aumento o diminuzione della variazione percentuale del punteggio di rischio di base rispetto alla finestra di rischio precedente.
Conteggio risultati Il numero di risultati (avvisi e rilevamenti) che includono questa entità durante la finestra di calcolo del rischio.
Pima apparizione nella finestra Timestamp in cui l'entità è stata rilevata per la prima volta in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.
Ultima apparizione nella finestra Timestamp dell'ultima volta che l'entità è stata vista in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.

Modificare la finestra di calcolo del rischio

Il rischio calcolato di un'entità cambia in base al periodo di tempo in esame. Modifica dell'impostazione Finestra di calcolo del rischio nella parte superiore a destra (seleziona 24 Hour Window o 7 Day Window) modifica la il punteggio di rischio calcolato. Ti consigliamo di modificare questa impostazione a seconda del tipo di attacco che state cercando. Ad esempio, gli attacchi di forza bruta sono più evidenti impostando la Finestra di calcolo del rischio su 24 ore. Periodi di tempo più lunghi ti consentono di rilevare gli attacchi a lungo termine.

I punteggi di rischio dell'entità cambiano a seconda della finestra di calcolo del rischio selezionata. I punteggi di rischio delle entità sono calcolati in base ai risultati generati durante finestra di rischio.

Restringere la ricerca con i filtri rapidi

I filtri rapidi ti consentono di restringere la ricerca mostrando solo i risultati pertinenti alle tue esigenze specifiche.

Per utilizzare i filtri rapidi nella dashboard Risk Analytics:

  1. Fai clic su filter_alt sopra nella tabella Entità. Viene visualizzata la finestra Filtri.
  2. Seleziona una delle colonne:
    • Numero di risultati
    • Punteggio di rischio dell'entità normalizzato
    • Tendenza di rischio normalizzata dell'entità
    • Tipo
  3. Seleziona Mostra solo o Escludi.
  4. Seleziona un valore (puoi selezionare più di un valore per espandere l'intervallo):
    • Numero di risultati: valori da 0 a più di 1000.
    • Punteggio di rischio dell'entità normalizzato: valori compresi tra 0 e 1000.
    • Tendenza di rischio normalizzata dell'entità: percentuali da meno del -99% a più del 199%.
    • Tipo: seleziona Risorse o Utenti.
  5. (Facoltativo) Per aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questa operazione. procedura dal passaggio 2.
  6. Dopo aver completato la configurazione dei filtri, fai clic su Applica.

Ad esempio, se selezioni la Tendenza del rischio dell'entità normalizzata, seleziona Mostra Solo e verifica >199%, solo le entità con un rischio di entità normalizzato una variazione superiore al 199%.

Esaminare un'entità utilizzando la pagina dell'entità

Per esaminare un'entità:

  1. Scorri la colonna Nome entità o utilizza la barra di ricerca per trovare una dell'oggetto.
  2. Fai clic sull'entità che vuoi esaminare.

Viene visualizzata la pagina dell'entità. Questa pagina ti consente di esaminare solo i risultati associati a quella singola entità. Il grafico Cronologia dei risultati in alto tiene traccia dei punteggi di rischio e dei risultati delle entità nel tempo. Questo grafico è composto da metriche precalcolate visualizzate sotto forma di grafico a linee per mostrare le tendenze nel tempo. Le anomalie possono essere viste come picchi nel grafico a linee. Sotto il grafico è presente la tabella Risultati, che mostra a quali eventi e attività è stata associata l'entità selezionata.

In basso a destra è presente un riquadro comprimibile Visualizza i dettagli dell'entità che contiene un riepilogo dei dettagli importanti dell'entità selezionata. Per completare un esame dettagliato dell'entità selezionata, fai clic su Visualizza i dettagli dell'entità per visualizzare l'entità nella vista Asset o Utente, a seconda che l'entità è rispettivamente una risorsa o un utente. Per ulteriori informazioni, vedi Indaga un'entità asset Effettuare un'indagine su un utente.

Esaminare un'entità utilizzando l'analisi delle entità

L’analisi delle entità offre agli analisti dei SOC e ai cacciatori di minacce una visione dettagliata del comportamento di un'entità, tra cui il profilo di riferimento, le anomalie e arricchimenti contestuali.

Nella pagina dell'entità, seleziona un intervallo di tempo massimo di 90 giorni nella Sequenza temporale dei risultati e fai clic su Visualizza analisi per la selezione. Si apre una barra laterale che mostra i dati e le analisi associati a questa entità nell'intervallo di tempo selezionato. Ogni analisi mostra un insieme di tutti i valori dell'analisi all'interno dell'intervallo di tempo. Quando viene rilevata, un'analitica include un elenco di di avvisi e rilevamenti che possono essere esaminati ulteriormente facendo clic su Visualizza altro per apri la vista Avvisi o Rilevamento corrispondente. Per ulteriori informazioni, consulta Esaminare un avviso.

Vengono forniti i seguenti dati e analisi delle entità:

  • Conteggio nomi eventi di avviso
  • Tentativi di autenticazione riusciti
  • I tentativi di autenticazione non vanno a buon fine
  • Totale tentativi di autenticazione
  • Byte DNS in uscita
  • Query DNS non riuscite
  • Query DNS riuscite
  • Totale query DNS
  • Esecuzioni file riuscite
  • Esecuzioni del file non riuscite
  • Totale esecuzioni file
  • Richieste HTTP andate a buon fine
  • Richieste HTTP non riuscite
  • Totale query HTTP
  • Byte di rete in entrata
  • Byte di rete in uscita
  • Byte di rete totali
  • Tentativi di autenticazione Workspace totali
  • Totale email di Workspace inviate
  • Byte di rete Workspace in uscita
  • Totale byte di rete di Workspace
  • Azioni di modifica totale dello spazio di lavoro
  • Azioni di download totali di Workspace

Modificare un punteggio di rischio dell'entità

Quando informazioni o eventi esterni influiscono sul vero rischio di un'entità, puoi aggiornare il punteggio di rischio dell'entità.

Ad esempio, puoi diminuire temporaneamente il punteggio di rischio di un dipendente che ha appena completato un'esercitazione del team di red team (ad esempio un test di penetrazione) in modo che gli analisti non debbano perdere tempo a indagare sul motivo per cui il rischio è aumentato per quel dipendente. Tu potrebbe anche aumentare temporaneamente il punteggio di rischio di un dipendente un procedimento giudiziario.

  1. Nella tabella Entità della pagina Analisi dei rischi, tieni premuto il cursore sulla colonna all'estrema destra della riga. Potresti dover scorrere il display verso destra. Fai clic su more_vert.

    e seleziona Aggiorna punteggio di rischio dell'entità.

  2. Nella finestra di dialogo Aggiorna punteggio di rischio dell'entità, configura i valori per quanto segue:

    • Fattore di moltiplicazione: consente di aumentare o diminuire il punteggio di rischio di un'entità con un fattore di moltiplicazione compreso tra 0,0 e 100,0. Per Ad esempio, se hai scoperto nuove prove relative a un'entità che rende un'entità due volte più rischiosa, aggiorna il fattore di moltiplicazione a 50 in riflettono il vero fattore di rischio dell'entità.
    • Periodo di tempo: periodo di tempo in cui viene applicato il coefficiente di moltiplicazione. Puoi selezionare Ora o un valore compreso tra 1 giorno e 14 giorni. Se selezioni Adesso, il fattore di moltiplicazione viene applicato al punteggio di rischio dell'entità per la finestra di calcolo del rischio attuale. Nel calcolo vengono inclusi solo gli avvisi e i rilevamenti esistenti. Al termine del periodo di tempo selezionato, gli aggiornamenti al punteggio di rischio dell'entità vengono interrotti e il punteggio di rischio torna alla normalità.
    • Motivo: consente di aggiungere contesto aggiuntivo per gli altri utenti perché è stato effettuato questo aggiornamento. Scegli una delle seguenti opzioni: Nuovo prove, Punteggio di rischio errato, Profilo di rischio modificato, Requisiti di conformità o Altro.

Se provi a apportare una modifica che è già stata apportata (ad esempio, vuoi aggiornare il fattore di moltiplicazione di un'entità al 25%, ma un altro membro del team ha già apportato la modifica), viene visualizzata una finestra di dialogo che indica che la modifica è stata già apportata, incluse informazioni su chi ha apportato la modifica e quando.

Visualizza gli aggiornamenti del punteggio di rischio nei dettagli dell'entità

Puoi visualizzare tutti gli aggiornamenti del punteggio di rischio per un'entità nel profilo dell'entità .

  1. Fai clic sull'entità di cui vuoi visualizzare la cronologia degli aggiornamenti del punteggio di rischio per aprirla la pagina Profilo entità.
  2. Nel grafico a cronologia degli eventi, ogni volta che qualcuno modifica il rischio dell'entità. è indicato Etichetta Modifica del punteggio di rischio in testo bianco.
  3. Tieni il cursore sopra il testo per visualizzare una finestra di dialogo con la data, l'utente e il motivo della modifica.

Liste di titoli

La pagina Liste di titoli ti consente di monitorare entità specifiche in per l'azienda.

  1. Nella barra di navigazione a sinistra, fai clic su Rilevamento.
  2. In Rilevamento, fai clic su Analisi dei rischi.
  3. Fai clic sulla scheda Liste di titoli.

Aggiungi una lista di titoli

Per aggiungere un elenco di titoli al tuo account Google Security Operations, completa quanto segue passaggi. Puoi configurare fino a 200 liste di titoli.

  1. Fai clic su Crea lista di titoli.
  2. Specifica un nome per la lista di titoli.
  3. (Facoltativo) Specifica una descrizione.
  4. (Facoltativo) Specifica un Fattore di moltiplicazione compreso tra 0 e 100. L'impostazione predefinita è 1.
  5. (Facoltativo) Specifica le entità sul lato destro della finestra seguendo le Sezione Aggiungere entità a una lista di titoli. Qui puoi aggiungere i seguenti tipi di entità:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Fai clic su Crea una lista di titoli.

Mettere in primo piano una lista di titoli

  1. Fai clic su Modifica visualizzazione.
  2. Fai clic sulla casella di controllo accanto alla lista di titoli che vuoi bloccare.
  3. Fai clic su Salva.

Sbloccare una lista di titoli

  1. Nella dashboard Elenchi di titoli, seleziona l'elenco di titoli che vuoi staccare e seleziona more_vert .
  2. Fai clic su Rimuovi dalla visualizzazione.

Modificare una lista di titoli

  1. Nella dashboard Elenchi di titoli, seleziona l'elenco di titoli che vuoi modificare e fai clic sull'icona more_vert .
  2. Fai clic su Modifica lista di titoli.

Eliminare una lista di titoli

  1. Nella dashboard Elenchi di titoli, seleziona l'elenco di titoli che vuoi eliminare e fai clic su more_vert .
  2. Fai clic su Elimina lista di titoli.

Aggiungere entità a una lista di titoli

Per aggiungere entità a una lista di controllo, specifica il nome, il tipo e lo spazio dei nomi (facoltativo) delle entità riga per riga utilizzando uno dei seguenti formati.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE può essere uno dei seguenti:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE può essere specificato solo per i tipi di entità asset:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Ad esempio:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Questo esempio rappresenta due entità aggiunte alla lista di titoli: un indirizzo IP di una risorsa. 205.148.5.0 e un nome host website.com nello spazio dei nomi chronicle. Puoi avere fino a 10.000 entità in una lista di titoli.

Rimuovere entità da una lista di titoli

Per rimuovere entità da un elenco di titoli, rimuovi le righe che rappresentano le entità che vuoi rimuovere e fai clic su Salva.

Modificare le impostazioni del punteggio di rischio

La pagina Punteggio di rischio dell'entità ti consente di definire la modalità di calcolo dei punteggi di rischio per entità, avvisi e rilevamenti. Questa pagina ti consente di personalizzare il modo in cui il rischio viene calcolati in base alle esigenze specifiche della ricerca.

La pagina Punteggio di rischio dell'entità contiene tre campi che puoi aggiornare:

Per modificare una di queste impostazioni, segui questi passaggi:

  1. Nella barra di navigazione, seleziona Impostazioni > Punteggi di rischio delle entità.
  2. Aggiorna i punteggi di rischio di conseguenza.
  3. Fai clic su Salva. Quando torni alla pagina Analisi del rischio principale, apparirà un messaggio nella parte superiore dello schermo che conferma che la modifica è al punteggio di rischio dell'entità.
  4. (Facoltativo) Per reimpostare uno di questi valori, fai clic su Reimposta a destra del valore.

Gli aggiornamenti verranno applicati solo ai nuovi avvisi e rilevamenti. L'operazione potrebbe richiedere fino a 30 minuti per rendere effettive le modifiche.

Ponderazione del punteggio di rischio dell'entità

La ponderazione definisce il modo in cui i punteggi di rischio di avviso e rilevamento contribuiscono al rischio dell'entità i calcoli dei punteggi. Il peso è un valore compreso tra 0 e 1 e il valore predefinito è 0,2.

Ecco alcuni esempi di come numeri diversi influenzano il punteggio di rischio dell'entità calcolo:

  • Ponderazione del punteggio di rischio delle entità 0. Il punteggio di rischio non elaborato è il valore massimo il punteggio di rischio in tutti i rilevamenti per l'entità.
  • Ponderazione del punteggio di rischio dell'entità 1. Il punteggio di rischio non elaborato è la somma di tutti i punteggi del rischio di rilevamento per l'entità.
  • Ponderazione del punteggio di rischio dell'entità 0.5. Il punteggio di rischio attribuisce la massima importanza al rilevamento con il punteggio di rischio massimo per l'entità e la metà del peso per tutti gli altri rilevamenti.

Punteggio di rischio predefinito per i rilevamenti

Punteggio di rischio predefinito per i rilevamenti consente di assegnare un valore predefinito per i punteggi di rischio per il rilevamento. I punteggi di rischio del rilevamento vengono utilizzati per calcolare il rischio dell'entità punteggi di valutazione. I punteggi di rischio per i rilevamenti vengono definiti quando viene scritta una regola. Se nella regola non è definito alcun voto di rischio, viene utilizzato il valore predefinito. Il punteggio predefinito è 15, con il punteggio di rischio compreso tra 0 e 100.

Punteggio di rischio predefinito per gli avvisi

Come per il Punteggio di rischio predefinito per i rilevamenti, questo campo ti consente di assegnare un valore predefinito per i punteggi di rischio degli avvisi. Se nella regola non è definito un punteggio di rischio, il valore predefinito è 40. L'intervallo del punteggio di rischio è 0-1000.

Per informazioni sulla definizione del punteggio di rischio in una regola, consulta la Sintassi della sezione Risultato.

Coefficiente di avviso chiuso

Il coefficiente di avviso chiuso modifica il punteggio di rischio degli avvisi contrassegnati come chiusi dagli analisti. È un modificatore con virgola mobile compreso tra 0 e 1 inclusi. La il valore predefinito è 1.0, il che significa che tutti gli avvisi aperti e chiusi mantengono la punteggi di valutazione. Se il coefficiente di avviso chiuso ha un valore pari a 0,0, ricevono un punteggio di rischio pari a 0 e non aumenteranno più il punteggio di rischio di l'entità complessiva.