Risikoanalyse-Dashboard

Unterstützt in:

Im Dashboard Risk Analytics können Sie Ihre Umgebung über eine risikoabhängig ist. Wenn Sie Risikotrends für Entitäten visualisieren, können Sie ungewöhnliches Verhalten erkennen und das potenzielle Risiko, das Entitäten für Ihr Unternehmen darstellen, besser nachvollziehen.

Im Dashboard Risikoanalyse sind gefährdete Entitäten und Details zu Risikofaktoren aufgeführt. Auf Systemen mit RBAC für Daten können nur Nutzer mit globalem Geltungsbereich zugreifen Risikoanalyse. Weitere Informationen finden Sie unter Auswirkungen von Daten-RBAC auf Risikoanalysen.

So rufen Sie das Dashboard Risikoanalyse auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.

Tabelle mit Entitätsanzahl, Risikobewertung und Entitäten

Im Dashboard Risikoanalyse werden basierend auf den ausgewählten Filtern nur die 10.000 Entitäten mit dem höchsten Risiko im Unternehmen angezeigt. Alle Grafiken und Tabellen im Dashboard stellen nur diesen Satz von Entitäten dar.

In der Grafik Gesamtzahl der Entitäten links oben wird die Anzahl der Entitäten angezeigt. in Ihrem Unternehmen mit einem Risiko von mehr als 0 erfasst. Entitäten mit einem Risikowert von 0 werden weiterhin erfasst, aber in diesem Diagramm nicht dargestellt. Die Gesamtzahl wird zwischen Assets und Nutzer:

Weitere Informationen zu Entitäten finden Sie unter Logische Objekte: Ereignis und Entität. Weitere Informationen zur Berechnung von Risikobewertungen finden Sie unter Berechnung der Risikobewertung.

Die Tabelle Entitäten enthält mehrere Spalten, die sich auf die Entität beziehen. Risikobewertung:

Spalte Wert
Entitätsname Name der Entität.
Entitätstyp Entitätstyp (Asset oder Nutzer).
Normalized Normalisierte Punktzahlen werden über Entitäten hinweg berechnet und mithilfe von Min-Max-Normalisierung zwischen 0 und 1.000 skaliert.
Änderung von „Normalisiert“ Änderung der normalisierten Risikobewertung für Entitäten seit dem vorherigen Risikoberechnungsfenster.
Trend von „Normalisiert“ Erhöhung oder Verringerung der prozentualen Änderung der normalisierten Risikobewertung im Vergleich zum vorherigen Risikofenster.
Basis Der Basisrisikowert für Entitäten entspricht dem maximalen Risikowert für Ergebnisse plus der Gewichtung multipliziert mit der Summe der verbleibenden Risikobewertungen für Ergebnisse.

Die Standardgewichtung ist 0,2 und kann in den Einstellungen geändert werden.
Änderung von „Basis“ Änderung der Basisrisikobewertung für Entitäten seit dem vorherigen Risikoberechnungsfenster.
Trend von „Basis“ Erhöhung oder Verringerung der prozentualen Änderung der Basisrisikobewertung im Vergleich zum vorherigen Risikofenster.
Anzahl der Ergebnisse Die Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), in denen diese Entität während des Risikoberechnungsfensters vorkommt.
Zuerst im Fenster gefunden Zeitstempel, der angibt, wann die Entität zuerst in einem Ergebnis (Benachrichtigung oder Erkennung) während des Risikoberechnungsfensters gefunden wurde.
Zuletzt im Fenster gefunden Zeitstempel, der angibt, wann die Entität zuletzt in einem Ergebnis (Benachrichtigung oder Erkennung) während des Risikoberechnungsfensters gefunden wurde.

Fenster für Risikoberechnung anpassen

Das berechnete Risiko einer Entität ändert sich je nach Zeitraum wird geprüft. Einstellung für Risikoberechnungsfenster 24-Stunden-Fenster oder 7-Tage-Fenster auswählen, ändert sich wird hier angezeigt. Du kannst diese Einstellung ändern je nach Art des gewünschten Angriffs. Beispiel: Brute-Force Angriffe werden deutlicher, wenn Sie das Risikoberechnungsfenster auf 24 Öffnungszeiten: Bei längeren Zeiträumen können Sie langfristige Angriffe erkennen.

Risikobewertungen für Entitäten ändern sich je nach ausgewähltem Risikoberechnungsfenster. Risikobewertungen für Entitäten werden anhand der Ergebnisse berechnet, die während des folgenden Zeitraums generiert wurden: Risikofenster.

Suche mit Schnellfiltern eingrenzen

Mit Schnellfiltern können Sie Ihre Suche eingrenzen, indem nur Ergebnisse angezeigt werden, die für Ihre spezifischen Anforderungen relevant sind.

So verwenden Sie Schnellfilter auf dem Dashboard Risikoanalysen:

  1. Klicken Sie auf . filter_alt die Tabelle Entitäten Das Fenster Filter wird angezeigt.
  2. Wählen Sie eine der Spalten aus:
    • Anzahl der Ergebnisse
    • Normalisierte Risikobewertung für Entitäten
    • Normalisierte Risikoentwicklung für Entitäten
    • Typ
  3. Wählen Sie Nur anzeigen oder Ausfiltern aus.
  4. Wählen Sie einen Wert aus (Sie können mehrere Werte auswählen, um den Bereich zu erweitern):
    • Anzahl der Ergebnisse: Werte von 0 bis größer als 1.000.
    • Normalisierte Risikobewertung für Entität: Werte von 0 bis 1.000.
    • Normalisierte Risikoentwicklung für Entitäten: Prozentsätze von unter -99% auf mehr als 199%.
    • Typ: Wählen Sie Assets oder Nutzer aus.
  5. Optional: Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diese Schritte. aus Schritt 2.
  6. Nachdem Sie die Filter konfiguriert haben, klicken Sie auf Anwenden.

Wenn Sie beispielsweise Risikotrend normalisierter Entitäten auswählen, wählen Sie Anzeigen only (Nur Entitäten mit einem normalisierten Entitätsrisiko) und aktivieren Sie >199%. Änderung, die größer als 199% ist, werden angezeigt.

Entität auf der Seite „Entitäten“ untersuchen

So prüfen Sie eine Entität:

  1. Scrollen Sie durch die Spalte Entitätsname oder verwenden Sie die Suchleiste, um eine Entität zu finden.
  2. Klicken Sie auf die Entität, die Sie untersuchen möchten.

Die Entitätsseite wird geöffnet. Auf dieser Seite können Sie nur die Ergebnisse auswerten. die mit dieser einen Entität verknüpft sind. Das Zeitachsendiagramm der Ergebnisse im oberen Bereich verfolgt Risikobewertungen und Ergebnisse für Entitäten im Zeitverlauf. Dieses Diagramm besteht aus Vorberechnete Messwerte werden in einem Liniendiagramm angezeigt, um Trends im Zeitverlauf darzustellen. Anomalien können als Ausschläge im Liniendiagramm angezeigt werden. Unter dem Diagramm befindet sich Tabelle Ergebnisse, in der angezeigt wird, welche Ereignisse und Aktivitäten die ausgewählte Entität hat die Sie verknüpft haben.

Unten rechts befindet sich der minimierbare Bereich Entitätsdetails anzeigen. enthält eine Zusammenfassung wichtiger Details zur ausgewählten Entität. Wenn Sie die ausgewählte Entität genauer untersuchen möchten, klicken Sie auf Entitätsdetails ansehen. Die Entität wird dann in der Asset-Ansicht oder Nutzer-Ansicht angezeigt, je nachdem, ob es sich um ein Asset oder einen Nutzer handelt. Weitere Informationen finden Sie unter Untersuchen eine Asset-Entität oder Nutzer untersuchen

Entität mithilfe der Entitätsanalyse untersuchen

Entity Analytics bietet SOC-Analysten und Bedrohungssuchenden eine detaillierte Ansicht des Verhaltens einer Entität, einschließlich deren Basisprofil, Anomalien und kontextbezogene Anreicherung.

Wählen Sie auf der Entitätsseite einen Zeitraum von bis zu 90 Tagen in der Spalte Ergebnisse Zeitachse und klicke auf Analysen zur Auswahl ansehen. Dadurch wird eine Seitenleiste geöffnet Hier sehen Sie die mit dieser Entität verknüpften Analysen in der Zeitraum. Jede Analyse zeigt eine Summe aller Analysewerte an. innerhalb des Zeitraums liegen. Wenn eine Analyse erkannt wird, enthält sie eine Liste der zugehörigen Benachrichtigungen und Erkennungen, die Sie durch Klicken auf Mehr anzeigen genauer untersuchen können. Dadurch wird die entsprechende Ansicht Benachrichtigungen oder Erkennungen geöffnet. Weitere Informationen finden Sie unter Benachrichtigungen untersuchen.

Die folgenden Entitätsanalysen werden bereitgestellt:

  • Anzahl der Benachrichtigungsereignisnamen
  • Erfolgreiche Authentifizierungsversuche
  • Authentifizierungsversuche fehlgeschlagen
  • Authentifizierungsversuche insgesamt
  • DNS-Bytes ausgehend
  • DNS-Abfragen schlagen fehl
  • DNS-Abfragen erfolgreich
  • DNS-Abfragen insgesamt
  • Erfolgreiche Dateiausführungen
  • Fehlgeschlagene Dateiausführungen
  • Dateiausführungen insgesamt
  • HTTP-Abfragen erfolgreich
  • HTTP-Abfragen schlagen fehl
  • HTTP-Abfragen insgesamt
  • Eingehende Netzwerkbyte
  • Netzwerk-Byte ausgehend
  • Netzwerkbyte gesamt
  • Workspace-Authentifizierungsversuche insgesamt
  • Von Workspace gesendete E-Mails insgesamt
  • Workspace-Netzwerk-Byte ausgehend
  • Workspace-Netzwerkbyte gesamt
  • Gesamtzahl der Änderungsaktionen im Arbeitsbereich
  • Workspace – Downloadaktionen insgesamt

Risikobewertung für Entitäten ändern

Wenn externe Informationen oder Ereignisse sich auf das tatsächliche Risiko einer Entität auswirken, können Sie die Risikobewertung der Entität aktualisieren.

Sie können zum Beispiel vorübergehend den Risiko-Score von Mitarbeitenden verringern, die gerade Red-Team-Übung (wie Penetrationstests) abgeschlossen, damit Fachkräfte für Datenanalyse Sie müssen Zeit damit verschwenden, herauszufinden, warum dieser Mitarbeiter ein erhöhtes Risiko hatte. Ich auch den Risiko-Score von Mitarbeitenden, die an einem Projekt beteiligt sind, vorübergehend erhöhen bei einem Gerichtsverfahren.

  1. Bewegen Sie den Mauszeiger auf der Seite Risikoanalyse in der Tabelle Entitäten auf die äußerste rechte Spalte der Zeile. Eventuell müssen Sie im Display rechts angezeigt. Klicken Sie auf more_vert.

    und wählen Sie Risikobewertung für Entität aktualisieren aus.

  2. Konfigurieren Sie im Dialogfeld Risikobewertung für Entitäten aktualisieren Werte für Folgendes:

    • Multiplikationsfaktor: Mit diesem Faktor zwischen 0,0 und 100,0 können Sie die Risikobewertung einer Entität erhöhen oder verringern. Für wenn Sie neue Belege für eine Entität gefunden haben, doppelt so riskant ist, aktualisieren Sie den Multiplikationsfaktor auf 50, den tatsächlichen Risikofaktor des Rechtssubjekts.
    • Time period (Zeitraum): Zeitraum, in dem der Multiplikationsfaktor berechnet wird angewendet. Sie können Jetzt oder zwischen 1 Tag und 14 Tage auswählen. Wenn Sie Now auswählen, wird der Multiplikationsfaktor auf die Entität angewendet Risikobewertung für das aktuelle Risikoberechnungsfenster. Es werden nur vorhandene Benachrichtigungen und Erkennungen in die Berechnung einbezogen. Nach Ablauf des ausgewählten Zeitraums wird die Risikobewertung für Entitäten aktualisiert und der Risiko-Score sich normalisiert.
    • Grund: Hier können Sie anderen Nutzern zusätzlichen Kontext zu den Informationen liefern. warum diese Änderung vorgenommen wurde. Wählen Sie eine der folgenden Optionen aus: Neu Nachweise, Falsche Risikobewertungen, Geändertes Risikoprofil Compliance-Anforderungen oder Sonstiges.

Wenn Sie versuchen, eine Änderung vorzunehmen, die bereits vorgenommen wurde, z. B. den Multiplikationsfaktor einer Entität auf 25 % ändern möchten, diese Änderung bereits vorgenommen hat), wird ein Dialogfeld mit der Mitteilung angezeigt, einschließlich Informationen darüber, wer die Änderung wann vorgenommen hat.

Aktualisierungen des Risikowerts in Entitätsdetails ansehen

Sie können sich alle Aktualisierungen der Risikobewertung für eine Entität im Entitätsprofil ansehen. Seite.

  1. Klicken Sie auf die Entität, deren Aktualisierungsverlauf für die Risikobewertung Sie aufrufen möchten, um sie zu öffnen. auf der Seite Entitätsprofil.
  2. Im Zeitachsendiagramm für Ereignisse jedes Mal, wenn jemand das Risiko der Entität geändert hat wird durch den Wert Label Änderung des Risikowerts in weißem Text
  3. Bewegen Sie den Mauszeiger über den Text, um ein Dialogfeld mit Datum, Nutzer und den Grund für die Änderung.

Beobachtungslisten

Auf der Seite Merklisten können Sie bestimmte Entitäten aus Ihren Unternehmen.

  1. Klicken Sie in der linken Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.
  3. Klicken Sie auf den Tab Merklisten.

Beobachtungsliste hinzufügen

So fügen Sie Ihrem Google Security Operations-Konto eine Beobachtungsliste hinzu: Sie können bis zu 200 Merkzettel konfigurieren.

  1. Klicken Sie auf Beobachtungsliste erstellen.
  2. Geben Sie einen Namen der Merkliste an.
  3. Optional: Geben Sie eine Beschreibung an.
  4. (Optional) Geben Sie für den Multiplikationsfaktor einen Wert zwischen 0 und 100 an. Die Standardeinstellung ist 1.
  5. (Optional) Geben Sie Entitäten auf der rechten Seite des Fensters nach Abschnitt Entitäten zu einer Beobachtungsliste hinzufügen Sie können hier die folgenden Entitätstypen hinzufügen:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klicken Sie auf Beobachtungsliste erstellen.

Beobachtungsliste anpinnen

  1. Klicken Sie auf Display bearbeiten.
  2. Klicken Sie auf das Kästchen neben der Beobachtungsliste, die Sie anpinnen möchten.
  3. Klicken Sie auf Speichern.

Beobachtungsliste loslösen

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie loslösen möchten. und wählen Sie more_vert aus.
  2. Klicken Sie auf Aus Anzeige entfernen.

Beobachtungsliste bearbeiten

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie bearbeiten möchten, und Klicken Sie auf das Symbol more_vert .
  2. Klicken Sie auf Beobachtungsliste bearbeiten.

Beobachtungsliste löschen

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie löschen möchten. und klicken Sie auf more_vert .
  2. Klicken Sie auf Beobachtungsliste löschen.

Entitäten einer Beobachtungsliste hinzufügen

Wenn Sie Entitäten zu einer Beobachtungsliste hinzufügen möchten, geben Sie den Entitätsnamen, den Typ und Optional: Namespace Zeile für Zeile in einem der folgenden Formate.

  • NAME, TYPE
  • NAME,TYPE,NAMESPACE

    TYPE kann eines der Folgenden sein:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE kann nur für das Asset angegeben werden Entitätstypen:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Beispiel:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Dieses Beispiel stellt zwei Entitäten dar, die zur Beobachtungsliste hinzugefügt wurden, eine Asset-IP-Adresse 205.148.5.0 und den Hostnamen website.com unter dem Namespace chronicle. Ich eine Beobachtungsliste mit bis zu 10.000 Entitäten enthalten.

Entitäten aus einer Merkliste entfernen

Wenn Sie Entitäten aus einer Beobachtungsliste entfernen möchten, entfernen Sie die Linien, die Entitäten darstellen Sie entfernen möchten, und klicken Sie auf Speichern.

Einstellungen für Risikobewertungen ändern

Auf der Seite Risikobewertung für Entitäten können Sie festlegen, wie Risikobewertungen berechnet werden für Entitäten, Warnungen und Erkennungen. Auf dieser Seite können Sie festlegen, basierend auf den individuellen Anforderungen Ihrer Suche berechnet.

Auf der Seite Risikobewertung für Entitäten gibt es drei Felder, die Sie aktualisieren können:

So ändern Sie diese Einstellungen:

  1. Wählen Sie in der Navigationsleiste Einstellungen > Risikobewertungen für Entitäten.
  2. Aktualisieren Sie die Risikobewertungen entsprechend.
  3. Klicken Sie auf Speichern. Wenn Sie zur Hauptseite Risikoanalyse zurückkehren, wird oben auf dem Bildschirm eine Meldung angezeigt, dass eine Änderung am Risikowert der Entität vorgenommen wurde.
  4. Optional: Wenn Sie einen dieser Werte neu festlegen möchten, klicken Sie rechts neben den Wert.

Aktualisierungen werden nur auf neue Benachrichtigungen und Erkennungen angewendet. Das kann bis zu 30 Minuten, bis die Änderungen wirksam werden.

Risikobewertung für Entitäten

Mit der Gewichtung wird festgelegt, wie die Risikobewertungen für Benachrichtigungen und Erkennungen zur Berechnung der Risikobewertung für Entitäten beitragen. Für die Gewichtung muss ein Wert zwischen 0 und 1 angegeben werden.Der Standardwert ist 0,2.

Hier sind einige Beispiele dafür, wie sich unterschiedliche Zahlen auf die Risikobewertung für Entitäten auswirken Berechnung:

  • Risikobewertung für Entitäten 0. Die unverarbeitete Risikobewertung ist das Maximum Risikobewertung für die Erkennung unter allen Erkennungen für die Entität.
  • Risikobewertung für Entitäten 1. Die rohe Risikobewertung ist die Summe aller Risikobewertungen für die Entität.
  • Risikobewertung für Entitäten 0.5. Der Risiko-Score gewichtet die Erkennung mit maximalem Risikowert für die Entität und halber Gewichtung für alle anderen Erkennungsmechanismen.

Standardrisikobewertung für Erkennungen

Mit der Option Standardrisikobewertung für Erkennungen können Sie einen Standardwert für Risikobewertungen für Erkennungen festlegen. Risikobewertungen für Erkennung werden zum Berechnen des Entitätsrisikos verwendet Punktzahlen. Risikobewertungen für Erkennungen werden beim Schreiben einer Regel definiert. Wenn in der Regel kein Risikowert definiert ist, wird der Standardwert verwendet. Die Standardbewertung und der Risikobewertungsbereich zwischen 0 und 100 liegt.

Standardrisikobewertung für Benachrichtigungen

Ähnlich wie bei Standardrisikobewertung für Erkennungen können Sie in diesem Feld eine Standardwert für Risikobewertungen für Benachrichtigungen. Wenn in der Regel kein Risikowert definiert ist, der Standardwert 40 verwendet wird. Der Bereich der Risikobewertung liegt zwischen 0 und 1.000.

Informationen zum Definieren der Risikobewertung in einer Regel finden Sie im Abschnitt "Ergebnis" Syntax.

Koeffizient für geschlossene Benachrichtigungen

Der Koeffizient für geschlossene Benachrichtigungen ändert die Risikobewertung von Benachrichtigungen, die von Analysten als geschlossen markiert wurden. Er ist ein Gleitkommamodifikator zwischen 0 und 1 (jeweils einschließlich). Der Standardwert ist 1,0. Das bedeutet, dass alle offenen und geschlossenen Benachrichtigungen ihre ursprünglichen Bewertungen behalten. Wenn der Koeffizient für geschlossene Warnungen einen Wert von 0,0 hat, werden alle geschlossenen erhalten Benachrichtigungen einen Risiko-Score von 0 und erhöhen nicht mehr den Risiko-Score von für die gesamte Entität.