Dashboard dell'analisi dei rischi

La dashboard di Analisi del rischio ti consente di visualizzare il tuo ambiente tramite una in base al rischio. La visualizzazione delle tendenze di rischio dell'entità ti aiuta a identificare comportamento e comprendere il rischio potenziale che le entità rappresentano per il tuo per l'azienda.

La dashboard Analisi del rischio elenca le entità a rischio e i dettagli dei fattori di rischio. Sui sistemi che utilizzano RBAC dei dati, solo gli utenti con ambito globale possono accedere e analisi del rischio. Per ulteriori informazioni, consulta la sezione sull'impatto dei dati RBAC sull'analisi del rischio.

Per accedere alla dashboard Analisi del rischio, segui questi passaggi:

1. Nella barra di navigazione, fai clic su Rilevamento.
2. In Rilevamento, fai clic su Analisi del rischio.

Conteggio delle entità, punteggio di rischio e tabella delle entità

La dashboard Risk Analystics mostra, in base ai filtri scelti, solo la le prime 10.000 entità con il rischio più elevato nell’impresa. Tutti i grafici e nella dashboard rappresentano solo questo insieme di entità.

Il grafico Conteggio totale entità in alto a sinistra mostra il numero di entità. tracciati nella tua azienda con un rischio maggiore di 0. Entità con un punteggio di rischio pari a 0 viene ancora monitorato, ma non sarà rappresentato in questo grafico. Il conteggio totale è diviso tra Asset e Utenti.

Per ulteriori informazioni sulle entità, consulta Oggetti logici: eventi e Persona giuridica. Per ulteriori informazioni su come vengono calcolati i punteggi di rischio, consulta Punteggio di rischio calcolo.

Nella tabella Entità sono presenti più colonne correlate all'entità punteggio di rischio:

Colonna	Valore
Nome entità	Nome dell'entità.
Tipo di entità	Tipo di entità (asset o utente).
Normalized	I punteggi normalizzati vengono calcolati per tutte le entità, scalati tra 0 e 1000 utilizzando la normalizzazione min-max.
Modifica normalizzata	Variazione del punteggio di rischio normalizzato dell'entità rispetto alla finestra di calcolo del rischio precedente.
Tendenza normalizzata	Aumento o diminuzione della variazione percentuale del punteggio di rischio normalizzato rispetto alla finestra di rischio precedente.
Livelli	Il punteggio di rischio di base dell'entità equivale al punteggio di rischio massimo dei risultati più la ponderazione moltiplicata per la somma dei punteggi di rischio dei risultati rimanenti. La ponderazione predefinita è 0,2 e può essere modificata in Impostazioni.
Variazione di base	Variazione del punteggio di rischio di base dell'entità rispetto alla finestra di calcolo del rischio precedente.
Tendenza di base	Aumento o diminuzione della variazione percentuale del punteggio di rischio di base rispetto alla finestra di rischio precedente.
Numero di risultati	Il numero di risultati (avvisi e rilevamenti) che includono questa entità durante la finestra di calcolo del rischio.
Prima visualizzazione nella finestra	Timestamp del primo rilevamento dell'entità in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.
Ultimo rilevamento nella finestra	Timestamp dell'ultimo rilevamento dell'entità in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.

Modificare la finestra di calcolo del rischio

Il rischio calcolato di un'entità cambia in base al periodo di tempo in esame. Modifica dell'impostazione Finestra di calcolo del rischio nella parte superiore a destra (seleziona 24 Hour Window o 7 Day Window) modifica la il punteggio di rischio calcolato. Ti consigliamo di modificare questa impostazione a seconda del tipo di attacco che state cercando. Ad esempio, forza bruta gli attacchi sono più evidenti impostando la Risk Calculation Window su 24 Orari. Intervalli di tempo più lunghi ti consentono di individuare gli attacchi a lungo termine.

I punteggi di rischio delle entità cambiano in base alla finestra di calcolo del rischio selezionata. I punteggi di rischio delle entità sono calcolati in base ai risultati generati durante finestra di rischio.

Restringere la ricerca con i filtri rapidi

I filtri rapidi ti consentono di restringere la ricerca mostrando solo i risultati pertinenti a le tue esigenze specifiche.

Per utilizzare i filtri rapidi nella dashboard Analisi dei rischi, segui questi passaggi:

1. Fai clic su filter_alt sopra nella tabella Entità. Viene visualizzata la finestra Filtri.
2. Seleziona una delle colonne:
   • Numero di risultati
   • Punteggio di rischio dell'entità normalizzato
   • Tendenza del rischio dell'entità normalizzato
   • Tipo
3. Seleziona Mostra solo o Filtra.
4. Seleziona un valore (puoi selezionarne più di uno per espandere l'intervallo):
   • Numero di risultati: valori da 0 a maggiori di 1000.
   • Punteggio di rischio dell'entità normalizzato: valori compresi tra 0 e 1000.
   • Tendenza del rischio dell'entità normalizzata: percentuali inferiori a -99% superiore al 199%.
   • Tipo: seleziona Asset o Utenti.
5. (Facoltativo) Per aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questa operazione. procedura dal passaggio 2.
6. Dopo aver completato la configurazione dei filtri, fai clic su Applica.

Ad esempio, se selezioni la Tendenza del rischio dell'entità normalizzata, seleziona Mostra Solo e verifica >199%, solo le entità con un rischio di entità normalizzato una variazione superiore al 199%.

Esaminare un'entità utilizzando la pagina dell'entità

Per esaminare un'entità:

1. Scorri la colonna Nome entità o utilizza la barra di ricerca per trovare una dell'oggetto.
2. Fai clic sull'entità che vuoi esaminare.

Viene visualizzata la pagina dell'entità. Questa pagina ti consente di esaminare solo i risultati associati a quell'entità. Il grafico Cronologia dei risultati in alto tiene traccia dei punteggi di rischio e dei risultati delle entità nel tempo. Questo grafico è composto da metriche precalcolate visualizzate sotto forma di grafico a linee per mostrare le tendenze nel tempo. Le anomalie possono essere viste come picchi nel grafico a linee. Sotto il grafico è presente Tabella dei risultati, che mostra gli eventi e le attività dell'entità selezionata. a cui è stato associato.

In basso a destra è presente un riquadro comprimibile Visualizza dettagli entità che contiene un riepilogo dei dettagli importanti sull'entità selezionata. Per completare un esame dettagliato dell'entità selezionata, fai clic su Visualizza i dettagli dell'entità per visualizzare l'entità nella vista Asset o Utente, a seconda che l'entità è rispettivamente una risorsa o un utente. Per ulteriori informazioni, vedi Indaga un'entità asset o Effettuare un'indagine su un utente.

Esaminare un'entità utilizzando l'analisi delle entità

L’analisi delle entità offre agli analisti dei SOC e ai cacciatori di minacce una visione dettagliata del comportamento di un'entità, tra cui il profilo di riferimento, le anomalie e arricchimenti contestuali.

Nella pagina dell'entità, seleziona un intervallo di tempo di massimo 90 giorni nella sezione Risultati sequenza temporale e fai clic su Visualizza dati e analisi per la selezione. Si apre una barra laterale che mostra i dati e le analisi associati a questa entità nell'ambito delle intervallo di tempo. Ogni analitica visualizza un aggregato di tutti i valori analitici all'interno dell'intervallo di tempo. Quando viene rilevata, un'analitica include un elenco di di avvisi e rilevamenti che possono essere esaminati ulteriormente facendo clic su Visualizza altro per apri la vista Avvisi o Rilevamento corrispondente. Per ulteriori informazioni, consulta Esaminare un avviso.

Vengono fornite le seguenti analisi delle entità:

• Conteggio nomi eventi avviso
• Tentativi di autenticazione riusciti
• Tentativi di autenticazione non riusciti
• Totale tentativi di autenticazione
• Byte DNS in uscita
• Query DNS non riuscite
• Query DNS riuscite
• Totale query DNS
• Esecuzioni file riuscite
• Esecuzioni dei file non riuscite
• Totale esecuzioni del file
• Query HTTP riuscite
• Errore query HTTP
• Totale query HTTP
• Byte di rete in entrata
• Byte di rete in uscita
• Byte di rete totali
• Tentativi di autenticazione Workspace totali
• Totale email inviate Workspace
• Byte di rete Workspace in uscita
• Byte di rete Workspace totali
• Azioni di modifica totali dell'area di lavoro
• Azioni di download totali di Workspace

Modificare un punteggio di rischio dell'entità

Quando informazioni o eventi esterni influiscono sul vero rischio di un'entità, puoi aggiornare il punteggio di rischio dell'entità.

Ad esempio, puoi ridurre temporaneamente il punteggio di rischio di un dipendente terminato un esercizio del red team (come i test di penetrazione) in modo che gli analisti non perdere tempo a indagare sul motivo per cui quel dipendente ha avuto un aumento del rischio. Tu potrebbe anche aumentare temporaneamente il punteggio di rischio di un dipendente un procedimento giudiziario.

1. Nella tabella Entità della pagina Analisi del rischio, inserisci il puntatore sopra la colonna più a destra della riga. Potrebbe essere necessario scorrere visualizzato sulla destra. Fai clic su more_vert.

   e seleziona Aggiorna punteggio di rischio dell'entità.

2. Dalla finestra di dialogo Aggiorna punteggio di rischio dell'entità, configura i valori per seguenti:

   • Fattore di moltiplicazione: consente di aumentare o diminuire il rischio. di un'entità con un fattore di moltiplicazione compreso tra 0,0 e 100,0. Per Ad esempio, se hai scoperto nuove prove relative a un'entità che rende un'entità due volte più rischiosa, aggiorna il fattore di moltiplicazione a 50 in riflettano il reale fattore di rischio dell'entità.
   • Periodo di tempo: il periodo di tempo in cui il fattore di moltiplicazione è applicati. Puoi selezionare Ora o un valore compreso tra 1 giorno e 14 giorni. Se selezioni Ora, il fattore di moltiplicazione viene applicato all'entità per l'attuale periodo di calcolo del rischio. Solo esistenti avvisi e rilevamenti sono inclusi nel calcolo. Al termine del periodo di tempo selezionato, il punteggio di rischio dell'entità viene aggiornato si interrompono e il punteggio di rischio torna alla normalità.
   • Motivo: consente di aggiungere contesto aggiuntivo per gli altri utenti perché è stato effettuato questo aggiornamento. Scegli una delle seguenti opzioni: Nuovo prove, Punteggio di rischio errato, Profilo di rischio modificato, Requisiti di conformità o Altro.

Se tenti di apportare una modifica già apportata (ad esempio, vuoi aggiornare il fattore di moltiplicazione di un'entità al 25%, ma un altro membro del team ha già apportato la modifica), viene visualizzata una finestra di dialogo che indica che la modifica è già apportate, incluse informazioni su chi ha apportato la modifica e quando.

Visualizza gli aggiornamenti del punteggio di rischio nei dettagli dell'entità

Puoi visualizzare tutti gli aggiornamenti del punteggio di rischio per un'entità nel profilo dell'entità .

1. Fai clic sull'entità di cui vuoi visualizzare la cronologia degli aggiornamenti del punteggio di rischio per aprirla la pagina Profilo entità.
2. Nel grafico a cronologia degli eventi, ogni volta che qualcuno modifica il rischio dell'entità. è indicato Etichetta Modifica del punteggio di rischio in testo bianco.
3. Tieni il puntatore sopra il testo per visualizzare una finestra di dialogo con la data, l'utente e motivo del cambiamento.

Elenchi di titoli

La pagina Liste di titoli ti consente di monitorare entità specifiche in per l'azienda.

Vai alla scheda Liste di titoli

1. Nella barra di navigazione a sinistra, fai clic su Rilevamento.
2. In Rilevamento, fai clic su Analisi del rischio.
3. Fai clic sulla scheda Liste di titoli.

Aggiungi una lista di titoli

Per aggiungere un elenco di titoli al tuo account Google Security Operations, completa quanto segue passaggi. Puoi configurare fino a 200 liste di titoli.

1. Fai clic su Crea lista di titoli.
2. Specifica un Nome lista di titoli.
3. (Facoltativo) Specifica una descrizione.
4. (Facoltativo) Specifica un Fattore di moltiplicazione compreso tra 0 e 100. L'impostazione predefinita è 1.
5. (Facoltativo) Specifica le entità sul lato destro della finestra seguendo le Sezione Aggiungi entità a una lista di titoli. Tu puoi aggiungere i seguenti tipi di entità qui:
   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID
6. Fai clic su Crea lista di titoli.

Fissare una lista di titoli

1. Fai clic su Modifica visualizzazione.
2. Fai clic sulla casella di controllo accanto alla lista di titoli che vuoi bloccare.
3. Fai clic su Salva.

Sbloccare una lista di titoli

1. Dalla dashboard Liste di titoli, seleziona quella che vuoi staccare e seleziona more_vert .
2. Fai clic su Rimuovi dalla visualizzazione.

Modificare una lista di titoli

1. Dalla dashboard Liste di titoli, seleziona quella che vuoi modificare e fai clic sull'icona more_vert .
2. Fai clic su Modifica lista di titoli.

Eliminare una lista di titoli

1. Dalla dashboard Liste di titoli, seleziona quella che vuoi eliminare e fai clic su more_vert .
2. Fai clic su Elimina lista di titoli.

Aggiungere entità a un elenco di titoli

Per aggiungere entità a un elenco di titoli, devi specificare il nome, il tipo e (facoltativo) riga per riga lo spazio dei nomi utilizzando uno dei seguenti formati.

• NAME,TYPE

• NAME, TYPE e NAMESPACE

  TYPE può essere uno dei seguenti:

  • ASSET_IP_ADDRESS
  • EMAIL
  • EMPLOYEE_ID
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID
  • USERNAME
  • WINDOWS_SID

  NAMESPACE può essere specificato solo per l'asset tipi di entità:

  • ASSET_IP_ADDRESS
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID

Ad esempio:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Questo esempio rappresenta due entità aggiunte alla lista di titoli: un indirizzo IP di una risorsa. 205.148.5.0 e un nome host website.com nello spazio dei nomi chronicle. Tu può avere fino a 10.000 entità in un elenco di titoli.

Rimuovere entità da una lista di titoli

Per rimuovere entità da un elenco di titoli, rimuovi le linee che rappresentano le entità che vuoi rimuovere e fai clic su Salva.

Modifica le impostazioni del punteggio di rischio

La pagina Punteggio di rischio dell'entità consente di definire il modo in cui vengono calcolati i punteggi di rischio per entità, avvisi e rilevamenti. Questa pagina ti consente di personalizzare il modo in cui il rischio viene calcolati in base alle esigenze specifiche della ricerca.

La pagina Punteggio di rischio dell'entità contiene tre campi che puoi aggiornare:

• Ponderazione del punteggio di rischio delle entità
• Punteggio di rischio predefinito degli avvisi
• Punteggio di rischio del rilevamento predefinito

Per modificare una di queste impostazioni, segui questi passaggi:

1. Nella barra di navigazione, seleziona Impostazioni > Punteggi di rischio delle entità.
2. Aggiorna i punteggi di rischio di conseguenza.
3. Fai clic su Salva. Quando torni alla pagina Analisi del rischio principale, apparirà un messaggio nella parte superiore dello schermo che conferma che la modifica è al punteggio di rischio dell'entità.
4. (Facoltativo) Per reimpostare uno di questi valori, fai clic su Reimposta a destra di il valore.

Gli aggiornamenti verranno applicati solo ai nuovi avvisi e al rilevamento. L'operazione potrebbe richiedere fino a 30 minuti per l'applicazione delle modifiche.

Ponderazione del punteggio di rischio dell'entità

La ponderazione definisce il modo in cui i punteggi di rischio di avviso e rilevamento contribuiscono al rischio dell'entità i calcoli dei punteggi. La ponderazione è un valore compreso tra 0 e 1 e il valore predefinito è 0,2.

Ecco alcuni esempi di come numeri diversi influenzano il punteggio di rischio dell'entità calcolo:

• Ponderazione del punteggio di rischio delle entità 0. Il punteggio di rischio non elaborato è il valore massimo il punteggio di rischio in tutti i rilevamenti per l'entità.
• Ponderazione del punteggio di rischio delle entità 1. Il punteggio di rischio non elaborato è la somma di tutti i punteggi del rischio di rilevamento per l'entità.
• Ponderazione del punteggio di rischio delle entità 0.5. Il punteggio di rischio dà pieno peso il rilevamento con un punteggio di rischio massimo per l'entità e metà del peso per tutti gli altri rilevamenti.

Punteggio di rischio predefinito per i rilevamenti

Punteggio di rischio predefinito per i rilevamenti consente di assegnare un valore predefinito per i punteggi di rischio per il rilevamento. I punteggi di rischio del rilevamento vengono utilizzati per calcolare il rischio dell'entità punteggi di valutazione. I punteggi di rischio per i rilevamenti vengono definiti quando viene scritta una regola. In caso contrario il punteggio di rischio è definito nella regola, viene utilizzato il valore predefinito. Il punteggio predefinito è 15 e il punteggio di rischio è compreso tra 0 e 100.

Punteggio di rischio predefinito per gli avvisi

Analogamente a Punteggio di rischio predefinito per i rilevamenti, questo campo consente di assegnare valore predefinito per i punteggi di rischio degli avvisi. Se nella regola non è definito un punteggio di rischio, il valore predefinito è 40. L'intervallo del punteggio di rischio è compreso tra 0 e 1000.

Per informazioni sulla definizione del punteggio di rischio in una regola, consulta la sezione Risultato a riga di comando.

Coefficiente di avviso chiuso

Il coefficiente di avviso chiuso modifica il punteggio di rischio degli avvisi contrassegnati come chiusi dagli analisti. È un modificatore con virgola mobile compreso tra 0 e 1 inclusi. La il valore predefinito è 1.0, il che significa che tutti gli avvisi aperti e chiusi mantengono la punteggi di valutazione. Se il coefficiente di avviso chiuso ha un valore pari a 0,0, ricevono un punteggio di rischio pari a 0 e non aumenteranno più il punteggio di rischio di l'entità complessiva.