Painel de análise de dados de risco

O painel Análise de risco permite visualizar seu ambiente por meio de um com base no risco. A visualização de tendências de risco de entidades ajuda a identificar comportamento da sua empresa e entender o risco potencial que as entidades representam em uma empresa.

O painel Análise de risco lista entidades em risco e detalhes do fator de risco. Em sistemas que usam RBAC de dados, somente usuários com escopo global podem acessar análise de risco. Para mais informações, consulte Impacto do RBAC de dados na análise de risco.

Para acessar o painel Análise de risco, siga estas etapas:

  1. Na barra de navegação, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.
.

Contagem de entidades, pontuação de risco e tabela de entidades

O painel Análise de risco mostra, com base nos filtros escolhidos, apenas os 10.000 entidades com o maior risco da empresa. Todos os gráficos e no painel representam apenas esse conjunto de entidades.

O gráfico Contagem total de entidades no canto superior esquerdo mostra o número de entidades. sendo rastreados na sua empresa com um risco maior que 0. As entidades com um pontuação de risco de 0 ainda estão sendo acompanhadas, mas não serão representados neste gráfico. A contagem total é dividida entre Recursos e Usuários.

Para mais informações sobre entidades, consulte Objetos lógicos: eventos e Entidade. Para mais informações sobre como as pontuações de risco são calculadas, consulte Pontuação de risco cálculo.

Na tabela Entidades, há várias colunas relacionadas à entidade. pontuação de risco:

Coluna Valor
Nome da entidade Nome da entidade.
Tipo de entidade Tipo de entidade (recurso ou usuário).
Normalizado As pontuações normalizadas são calculadas entre as entidades, escalonadas entre 0 e 1.000 usando a normalização mín-máx.
Alteração normalizada Alteração na pontuação de risco normalizada da entidade desde a janela de cálculo de risco anterior.
Tendência normalizada Aumento ou diminuição na mudança percentual da pontuação de risco normalizada em comparação com a janela de risco anterior.
Base A pontuação de risco básica da entidade é igual à pontuação de risco máxima de descoberta mais a ponderação multiplicada pela soma das pontuações de risco das descobertas restantes.

O padrão de ponderação é 0,2 e pode ser alterado em "Configurações".
Mudança de base Alteração na pontuação de risco básica da entidade desde a janela de cálculo de risco anterior.
Tendência básica Aumento ou diminuição na mudança percentual da pontuação de risco básica em comparação com a janela de risco anterior.
Contagem de descobertas O número de descobertas (alertas e detecções) que incluem esta entidade durante a janela de cálculo de risco.
Visto pela primeira vez na janela Carimbo de data/hora em que a entidade foi vista pela primeira vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.
Visto pela última vez na janela Carimbo de data/hora em que a entidade foi vista pela última vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.

Ajustar a janela de cálculo de risco

O risco calculado apresentado por uma entidade muda dependendo do período de tempo em análise. Altere a configuração da Janela de cálculo de risco na parte superior. à direita (selecione Janela de 24 horas ou Janela de sete dias) altera o e a pontuação de risco calculada é exibida aqui. É recomendável mudar essa configuração dependendo do tipo de ataque que você está procurando. Por exemplo, força bruta ataques são mais aparentes definindo a Janela de cálculo de risco como 24 Horário de funcionamento. Prazos mais longos permitem identificar ataques de longo prazo.

As pontuações de risco da entidade mudam de acordo com a janela de cálculo de risco selecionada. As pontuações de risco da entidade são calculadas com base nas descobertas geradas durante o janela de risco.

Restringir a pesquisa com filtros rápidos

Os filtros rápidos permitem restringir a pesquisa mostrando apenas resultados relevantes para às suas necessidades específicas.

Para usar os filtros rápidos no painel Análise de risco, siga estas etapas:

  1. Clique em . filter_alt acima tabela Entidades. A janela Filtros será exibida.
  2. Selecione uma das colunas:
    • Número de descobertas
    • Pontuação de risco normalizada da entidade
    • Tendência normalizada de risco da entidade
    • Tipo
  3. Selecione Mostrar apenas ou Filtrar.
  4. Selecione um valor (é possível selecionar mais de um valor para expandir o intervalo):
    • Número de descobertas: valores de 0 a maiores que 1.000.
    • Pontuação de risco da entidade normalizada: valores de 0 a 1.000.
    • Tendência de risco da entidade normalizada: porcentagens de menos de -99%. para mais de 199%.
    • Tipo: selecione Recursos ou Usuários.
  5. (Opcional) Para adicionar mais filtros, clique em Adicionar filtro e repita o processo desde a etapa 2.
  6. Quando terminar de configurar os filtros, clique em Aplicar.

Por exemplo, se você selecionar a Tendência de risco de entidade normalizada, selecione Mostrar apenas e verificar >199%, apenas as entidades com um risco de entidade normalizado alteração maior que 199% são exibidas.

Investigar uma entidade usando a página dela

Para investigar uma entidade, siga estas etapas:

  1. Role pela coluna Nome da entidade ou use a barra de pesquisa para encontrar uma com uma entidade conhecida.
  2. Clique na entidade que você quer investigar.

Isso abre a página da entidade. Nesta página, você pode examinar apenas as descobertas associados a essa entidade. o gráfico linha do tempo das descobertas na parte de cima; que monitora as pontuações de risco e as descobertas da entidade ao longo do tempo. Este gráfico é composto de métricas pré-computadas exibidas em formato de gráfico de linhas para mostrar tendências ao longo do tempo. As anomalias são identificadas como picos no gráfico de linhas. Abaixo do gráfico está o Tabela Descobertas, que mostra quais eventos e atividades a entidade selecionada tem associados.

No canto inferior direito, no canto inferior direito, haverá um painel Ver detalhes da entidade que pode ser recolhido. contém um resumo de detalhes importantes sobre a entidade selecionada. Para concluir uma análise detalhada da entidade selecionada, clique em View entity details para visualizar a entidade na visualização Recurso ou na visualização Usuário, dependendo se o entidade é um ativo ou um usuário, respectivamente. Para mais informações, consulte Investigar uma entidade do ativo ou Investigar um usuário.

Investigar uma entidade usando a análise de entidades

A análise de entidades oferece aos analistas de SOC e à busca de ameaças uma visualização detalhada do comportamento de uma entidade, incluindo o perfil de referência da entidade, anomalias e aprimoramento contextual.

Na página da entidade, selecione um período de até 90 dias nas Descobertas Linha do tempo e clique em Ver análise de dados da seleção. Essa ação abre uma barra lateral que mostra as análises associadas a essa entidade nos campos período. Cada análise exibe um agregado de todos os valores analíticos no período. Quando detectada, uma análise inclui uma lista de objetos alertas e detecções que podem ser examinados mais detalhadamente clicando em Ver mais para abra a visualização Alertas ou Detecção correspondente. Para mais informações, consulte Investigar um alerta.

As seguintes análises de entidades são fornecidas:

  • Contagem de nomes de eventos de alerta
  • Tentativas de autenticação bem-sucedidas
  • Falha nas tentativas de autenticação
  • Total de tentativas de autenticação
  • Saída de bytes DNS
  • Falha nas consultas DNS
  • Consultas DNS concluídas
  • Total das consultas DNS
  • Execuções de arquivos concluídas
  • Falha nas execuções de arquivo
  • Total de execuções de arquivo
  • Consultas HTTP concluídas
  • Falha nas consultas HTTP
  • Total de consultas HTTP
  • Entrada de bytes de rede
  • Saída de bytes de rede
  • Total de bytes de rede
  • Total de tentativas de autenticação do Workspace
  • Total de e-mails enviados ao Workspace
  • Saída de bytes de rede do Workspace
  • Total de bytes de rede do Workspace
  • Total de ações de mudança do Workspace
  • Total de ações de download do Workspace

Modificar uma pontuação de risco da entidade

Quando informações ou eventos externos afetam o verdadeiro risco de uma entidade, é possível atualizar a pontuação de risco da entidade.

Por exemplo, é possível diminuir temporariamente a pontuação de risco de um funcionário que acabou de concluir um exercício de red team (como teste de penetração) para que os analistas não perder tempo investigando por que esse funcionário teve um aumento de risco. Você também poderia aumentar temporariamente a pontuação de risco de um funcionário envolvido em um processo judicial.

  1. Na tabela Entidades da página Análise de risco, mantenha o o cursor sobre a coluna à direita da linha. Talvez seja necessário rolar exibido à direita. Clique em more_vert.

    e selecione Atualizar pontuação de risco da entidade.

  2. Na caixa de diálogo Atualizar pontuação de risco da entidade, configure os valores para: seguintes:

    • Fator de multiplicação: permite aumentar ou diminuir o risco. de uma entidade com fator de multiplicação de 0,0 - 100,0. Para exemplo, se você descobriu novas evidências sobre uma entidade que faz a entidade duas vezes mais arriscada, atualize o fator de multiplicação para 50 para refletem o verdadeiro fator de risco da entidade.
    • Período: período em que o fator de multiplicação é aplicada. Você pode selecionar Agora ou entre 1 dia e 14 dias. Se você selecionar Agora, o fator de multiplicação será aplicado à entidade pontuação de risco atual para a janela de cálculo de risco atual. Somente atuais os alertas e as detecções são incluídos no cálculo. Quando o período selecionado terminar, a pontuação de risco da entidade será atualizada parar e a pontuação de risco volta ao normal.
    • Motivo: permite fornecer mais contexto sobre o por que essa atualização foi feita. Escolha entre as seguintes opções: Novo evidências, Pontuação de risco incorreta, Perfil de risco alterado Requisitos de compliance ou Outros.

Se você tentar fazer uma alteração que já foi feita (por exemplo, quiser atualizar o fator de multiplicação de uma entidade para 25%, mas outro membro da equipe já fez a alteração), será exibida uma caixa de diálogo informando que a alteração foi já foram feitas, incluindo informações sobre quem fez a alteração e quando.

Conferir atualizações da pontuação de risco nos detalhes da entidade

É possível acessar todas as atualizações da pontuação de risco de uma entidade no Perfil da entidade. página.

  1. Clique na entidade que tem o histórico de atualizações de pontuação de risco que você quer abrir. a página Perfil da entidade.
  2. No gráfico de linha do tempo de eventos, cada vez que alguém altera o risco da entidade. pontuação é indicada pelo Rótulo de modificação da pontuação de risco em texto branco.
  3. Mantenha o ponteiro do mouse sobre o texto para exibir uma caixa de diálogo com a data, o usuário e motivo da mudança.

Listas de interesses

A página Listas de interesses permite monitorar entidades específicas na sua em uma empresa.

  1. Na barra de navegação à esquerda, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.
  3. Clique na guia Listas de interesses.

Adicionar uma lista de interesses

Para adicionar uma lista de interesses à sua conta das Operações de segurança do Google, faça o seguinte: etapas. É possível configurar até 200 listas de interesses.

  1. Clique em Criar lista de sites de interesse.
  2. Especifique o Nome da lista de interesses.
  3. (Opcional) Especifique uma Descrição.
  4. (Opcional) Especifique o Fator de multiplicação entre 0 e 100. O padrão é 1:
  5. (Opcional) Especifique entidades no lado direito da janela depois de Adicione entidades a uma seção de lista de interesses. Você pode adicionar os seguintes tipos de entidade aqui:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Clique em Criar lista de sites de interesse.

Fixar uma lista de interesses

  1. Clique em Editar tela.
  2. Clique na caixa de seleção ao lado da lista de sites de interesse que você quer fixar.
  3. Clique em Salvar.

Liberar uma lista de interesses

  1. No painel Listas de interesses, selecione aquela que você quer liberar. e selecione more_vert .
  2. Clique em Remover da tela.

Editar uma lista de interesses

  1. No painel Listas de interesses, selecione a que você quer editar e Clique no ícone more_vert .
  2. Clique em Editar lista de interesses.

Excluir uma lista de interesses

  1. No painel Listas de interesses, selecione a lista que você quer excluir. e clique em more_vert .
  2. Clique em Excluir lista de sites de interesse.

Adicionar entidades a uma lista de interesses

Para adicionar entidades a uma lista de sites de interesse, especifique o nome da entidade, o tipo e (opcional) namespace linha por linha usando um dos formatos a seguir.

  • NAME,TYPE

  • NAME, TYPE e NAMESPACE

    TYPE pode ser:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    Só é possível especificar NAMESPACE para o recurso tipos de entidade:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Este exemplo representa duas entidades adicionadas à lista de sites de interesse, um endereço IP de recurso 205.148.5.0 e um nome de host website.com no namespace chronicle. Você pode ter até 10.000 entidades em uma lista de sites de interesse.

Remover entidades de uma lista de sites de interesse

Para remover entidades de uma lista de sites de interesse, remova as linhas que representam entidades que você quer remover e clique em Salvar.

Mudar as configurações da pontuação de risco

A página Pontuação de risco da entidade permite definir como as pontuações de risco são calculadas para entidades, alertas e detecções. Nesta página, é possível definir como o risco é calculados com base nas necessidades únicas da sua pesquisa.

Há três campos na página Pontuação de risco da entidade que você pode atualizar:

Para alterar qualquer uma dessas configurações, siga estas etapas:

  1. Na barra de navegação, selecione Configurações > Pontuações de risco da entidade.
  2. Atualizar as pontuações de risco adequadamente.
  3. Clique em Salvar. Quando você retorna à página principal de Análise de risco, verá uma mensagem na parte superior da tela confirmando que uma alteração ocorreu na Pontuação de risco da entidade.
  4. (Opcional) Para redefinir algum desses valores, clique em Redefinir à direita de o valor.

As atualizações só serão aplicadas a novos alertas e detecção. Pode levar até 30 minutos para que as alterações entrem em vigor.

Ponderação da pontuação de risco da entidade

A ponderação define como as pontuações de risco de alerta e detecção contribuem para o risco da entidade cálculos de pontuação. A ponderação é um valor de 0 a 1, e o padrão é 0,2.

Confira alguns exemplos de como números diferentes afetam a pontuação de risco da entidade cálculo:

  • Ponderação da pontuação de risco da entidade 0. A pontuação de risco bruta é a pontuação máxima pontuação de risco de detecção entre todas as detecções da entidade.
  • Ponderação da pontuação de risco da entidade 1. A pontuação de risco bruta é a soma de todas as pontuações de risco de detecção da entidade.
  • Ponderação da pontuação de risco da entidade 0.5. A pontuação de risco dá peso total à detecção com pontuação de risco máxima para a entidade e metade do peso para todas as outras detecções.

Pontuação de risco padrão para detecções

A pontuação de risco padrão para detecções permite atribuir um valor padrão às e as pontuações de risco de detecção. As pontuações de risco de detecção são usadas para calcular o risco da entidade pontuações As pontuações de risco das detecções são definidas quando uma regra é criada. Em caso negativo pontuação de risco for definida na regra, o valor padrão será usado. A pontuação padrão é 15 e o intervalo da pontuação de risco é de 0-100.

Pontuação de risco padrão para alertas

Semelhante à Pontuação de risco padrão para detecções, esse campo permite atribuir uma o valor padrão para pontuações de risco de alerta. Se nenhuma pontuação de risco for definida na regra, será usado o padrão 40. O intervalo da pontuação de risco é de 0 a 1.000.

Para informações sobre como definir a pontuação de risco em uma regra, consulte a Seção de resultados sintaxe.

Coeficiente de alerta fechado

O coeficiente de alerta fechado modifica a pontuação de risco dos alertas marcados como fechados dos analistas. Ele é um modificador de ponto flutuante entre 0 e 1. O o padrão é 1.0, o que significa que todos os alertas abertos e fechados mantêm as configurações originais pontuações Se o coeficiente de alerta fechado tem um valor de 0,0, todos os alertas recebem uma pontuação de risco de 0 e não aumentariam mais a pontuação de risco de toda a entidade.