风险分析信息中心

通过风险分析信息中心,您可以通过 风险资本。直观呈现实体风险趋势有助于您发现异常 行为,并了解相应实体给企业带来的潜在风险 企业。

风险分析信息中心列出了存在风险的实体和风险因素详细信息。 在使用数据 RBAC 的系统上,只有具有全局范围的用户才能访问 风险分析。如需了解详情,请参阅数据 RBAC 对风险分析的影响

如需访问风险分析信息中心,请按以下步骤操作:

  1. 在导航栏中,点击检测
  2. 检测中,点击风险分析

实体数量、风险得分和实体表

风险分析信息中心根据所选的过滤条件,仅显示 企业中风险最高的前 10,000 个实体。所有图表和 信息中心里的各个表格仅代表这组实体。

左上角的实体总数图表会显示实体数量 风险大于 0。具有 风险得分 0 仍在跟踪中,但不会在此 图表。总数分为资产用户

如需详细了解实体,请参阅逻辑对象:事件和 Entity。 如需详细了解风险得分的计算方式,请参阅风险得分 计算

Entities 表中,有多个与实体相关的列 风险评分:
实体名称 实体名称。
实体类型 实体类型(资产或用户)。
Normalized 针对各个实体计算标准化分数,使用最小-最大归一化在 0 到 1000 之间。
标准化变化 自上一个风险计算窗口以来,标准化实体风险得分的变化。
标准化趋势 与上一风险期相比,标准化风险得分的百分比变化增加或减少。
基础 基本实体风险得分等于最高发现结果风险得分加上权重与剩余发现结果风险得分总和的乘积。

加权的默认值为 0.2,可在“设置”中更改。
基本变化 基本实体风险得分自上一个风险计算窗口以来的变化。
基本趋势 与上一风险期相比,基本风险得分的变化百分比增加或减少。
发现结果数量 风险计算时间段内包含此实体的发现结果(提醒和检测)数量。
首次出现时间:窗口期 在风险计算时间范围内,实体在发现结果(提醒或检测)中首次出现时的时间戳。
上次在窗口中发现 风险计算时间范围内实体在发现结果(提醒或检测)中最后一次出现时的时间戳。

调整风险计算窗口

计算出的实体带来的风险因时间段而异 。更改顶部的风险计算窗口设置 向右(选择 24 小时时间范围7 天时间范围),更改 计算的风险得分。建议你更改此设置 具体取决于您要查找的攻击类型。例如,暴力破解 将风险计算窗口设置为 24 小时。设置较长的时间范围可发现长期攻击。

实体风险得分因所选风险计算窗口而异。 实体风险得分是根据 风险期。

使用快速过滤器缩小搜索范围

利用快速过滤器,您可以只显示与以下主题相关的结果,从而缩小搜索范围: 您的具体需求。

如需在风险分析信息中心使用快速过滤器,请按以下步骤操作:

  1. 点击 filter_alt 实体表。随即会出现过滤条件窗口。
  2. 选择一列:
    • 发现结果数量
    • 标准化实体风险得分
    • 标准化实体风险趋势
    • 类型
  3. 选择仅显示滤除
  4. 选择一个值(您可以选择多个值来扩展范围):
    • 发现结果数量:从 0 到大于 1000 的值。
    • 标准化实体风险得分:值介于 0 到 1000 之间。
    • 标准化实体风险趋势:低于 -99% 的百分比 高于 199%
    • 类型:选择资产用户
  5. (可选)要添加其他过滤条件,请点击添加过滤条件,然后重复此操作 从第 2 步开始的流程。
  6. 完成过滤器的配置后,点击应用

例如,如果您选择标准化实体风险趋势,请选择显示 仅,并检查 >199%,只有具有标准化实体风险的实体 显示大于 199% 的变化。

使用实体页面调查实体

如需调查实体,请按以下步骤操作:

  1. 滚动浏览实体名称列或使用搜索栏查找 实体。
  2. 点击您要调查的实体。

系统随即会打开实体页面。通过此页面,你可以查看 所有关联。顶部的发现结果时间轴图表 跟踪实体风险得分和发现结果随时间的变化情况。此图表包含 以线形图格式显示的预先计算的指标,以显示一段时间内的趋势。 异常值可以表现为折线图中的峰值。图表下方是 发现结果表,显示了所选实体发生了哪些事件和活动 资源。

右下角有一个可收起的查看实体详细信息面板, 包含有关所选实体的重要详细信息的摘要。要完成 要详细检查所选实体,请点击查看实体详情素材资源视图或用户视图中查看实体,具体取决于 是资产或用户。有关详情,请参阅调查 资产实体调查用户

使用实体分析来调查实体

实体分析为 SOC 分析师和威胁猎手提供了详细的信息 包括该实体的基准概况、异常和 内容相关扩充项。

从实体页面中,选择发现结果最多 90 天的时间范围 时间轴,然后点击查看分析结果。系统会打开一个边栏 此列显示的是所选实体中 时间范围。每项分析都会显示所有分析值的汇总值 特定时间范围内的数据如果检测到,分析会包含一系列相关 提醒和检测,点击查看更多即可进一步检查 打开相应的提醒检测视图。如需更多信息 请参阅调查提醒

提供以下实体分析:

  • 提醒事件名称计数
  • 身份验证尝试成功次数
  • 身份验证尝试失败
  • 身份验证尝试总次数
  • 传出的 DNS 字节数
  • DNS 查询失败
  • DNS 查询成功
  • DNS 查询总数
  • 文件执行成功
  • 文件执行失败
  • 文件执行总数
  • HTTP 查询成功
  • HTTP 查询失败
  • HTTP 查询总数
  • 入站网络字节数
  • 出站网络字节数
  • 网络总字节数
  • Workspace 身份验证尝试总次数
  • Workspace 电子邮件总数
  • Workspace 网络出站字节数
  • Workspace 网络总字节数
  • 工作区总更改操作次数
  • Workspace 下载操作总数

修改实体风险得分

当外部信息或事件影响实体的真实风险时,您可以 更新实体的风险得分。

例如,您可以暂时降低 完成红队判研演练(如渗透测试),以使分析师 我们不得不浪费时间来调查这名员工风险增加的原因。您 还可能会暂时提高参与某项工作的员工的风险得分, 法律诉讼。

  1. 风险分析页面的实体表格中,保留 指针悬停在行的最右侧列上。您可能需要滚动您的 位于右侧点击 more_vert

    然后选择更新实体风险得分

  2. 更新实体风险得分对话框中,配置 以下:

    • 乘法因数:提高或降低风险 乘积为 0.0 - 100.0 的实体的分数。对于 例如,如果您发现了有关 实体的风险倍增,请将乘法因数更新为 50, 反映实体的真正风险因素。
    • 时间段:乘法系数为 。您可以选择现在,也可以选择 1 天14 天。 如果选择现在,放大系数将应用于实体 当前风险计算窗口的风险得分。仅限现有 提醒和检测会纳入计算。 所选时间段结束后,对实体风险得分进行更新 风险得分恢复正常。
    • 原因:可让您为其他用户留下更多背景信息 进行此更新的原因从以下选项中进行选择:新建 证据风险得分不正确风险概况更改合规性要求其他

如果您尝试执行已经做出的更改(例如, 想要将某个实体的乘法系数更新为 25%,但另一位团队成员 已进行了该项更改),则系统会显示一个对话框,说明该更改已 包括更改者和更改时间的相关信息。

在实体详情中查看风险得分更新

您可以在实体资料中查看实体的所有风险得分更新 页面。

  1. 点击要查看其风险得分更新历史记录的实体以打开 实体个人资料页面。
  2. 事件时间轴图表中,每当用户更改实体的风险时 得分用 白色文本中的风险得分修改标签。
  3. 将指针悬停在文本上即可显示一个对话框,其中会显示日期、用户和 更改的原因

监控列表

通过观看列表页面,您可以监控 企业。

  1. 在左侧导航栏中,点击检测
  2. 检测中,点击风险分析
  3. 点击观看列表标签页。

添加监控列表

如需将监控列表添加到您的 Google Security Operations 账号,请完成以下 步骤。您最多可以配置 200 个监控列表。

  1. 点击创建监控列表
  2. 指定观看列表名称
  3. (可选)指定说明
  4. (可选)指定 0-100 之间的乘数因数。默认值为 1.
  5. (可选)在 将实体添加到监控列表部分。您 可以在此处添加以下实体类型:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. 点击创建监控列表

固定监控列表

  1. 点击修改显示设置
  2. 点击要固定的监控列表旁边的复选框。
  3. 点击保存

取消固定监控列表

  1. 观看列表信息中心内,选择要取消固定的观看列表 然后选择 more_vert
  2. 点击 Remove from display

修改监控列表

  1. 监控列表信息中心内,选择要修改的监控列表,然后 点击 more_vert 图标。
  2. 点击修改监控列表

删除监控列表

  1. 监控列表信息中心内,选择要删除的监控列表 然后点击 more_vert
  2. 点击删除监控列表

将实体添加到监控列表

如需将实体添加到监控列表,请指定实体名称、类型和 (可选)使用以下任一格式,逐行添加命名空间。

  • NAMETYPE

  • NAMETYPENAMESPACE

    TYPE 可以是下列选项之一:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    只能为资产指定NAMESPACE 实体类型:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

例如:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

此示例表示添加到监控列表的两个实体,一个资产 IP 地址 205.148.5.0 以及 chronicle 命名空间下的主机名 website.com。您 监控列表中最多可以包含 1 万个实体。

从监控列表中移除实体

如需从监控列表中移除实体,请移除代表实体的行 您想要移除的内容,然后点击保存

更改风险得分设置

实体风险得分页面可让您定义风险得分的计算方式 用于实体、提醒和检测。通过此页面,您可以自定义 根据您的搜索的独特需求计算得出。

您可以更新实体风险得分页面中的三个字段:

要更改以上任意设置,请按以下步骤操作:

  1. 从导航栏中选择设置 >实体风险得分
  2. 相应地更新风险得分。
  3. 点击保存。返回风险分析主页面后,您 系统就会在屏幕顶部显示一条消息 实体风险得分
  4. (可选)要重置以上任何值,请点击右侧的重置 值。

更新只会应用于新的提醒和检测。此过程最多可能需要 30 分钟 分钟以使更改生效。

实体风险得分加权

加权定义了警报和检测风险得分对实体风险的影响 得分计算。权重的值为 0-1,默认值为 0.2。

以下示例说明了不同数字对实体风险得分的影响 计算方式:

  • 实体风险得分加权 0。原始风险得分是 实体所有检测结果中的检测风险得分。
  • 实体风险得分加权 1。原始风险得分是所有 实体的检测风险得分。
  • 实体风险得分加权 0.5。风险评分完全加权 实体具有最高风险得分和权重减半的检测 所有其他检测。

检测的默认风险得分

通过检测的默认风险得分,您可以为以下事件分配默认值: 检测风险得分。检测风险得分用于计算实体风险 得分。检测的风险得分在编写规则时定义。如果拒绝 风险得分,则使用默认值。默认得分 为 15,风险得分范围为 0-100。

提醒的默认风险得分

检测的默认风险得分类似,通过此字段,您可以为指定 提醒风险得分的默认值。如果规则中未定义风险得分 系统将使用默认值 40风险评分范围为 0-1000。

如需了解如何在规则中定义风险得分,请参阅“结果”部分 语法

已关闭警报系数

已关闭提醒系数会修改标记为已关闭的提醒的风险得分 分析。它是介于 0 和 1 之间(包括 0 和 1)的浮点修饰符。通过 默认值为 1.0,表示所有打开和关闭的提醒均保留其原始 得分。如果关闭警报系数的值为 0.0,则所有关闭警报 则提醒的风险得分为 0,因此不会再提高 整体实体。