Tableau de bord d'analyse des risques

Compatible avec:

Le tableau de bord Analyse des risques vous permet de visualiser votre environnement sous l'angle des risques. Visualiser les tendances de risque des entités vous aide à identifier les comportements inhabituels et à comprendre le risque potentiel que les entités représentent pour votre entreprise.

Le tableau de bord Analyse des risques liste les entités à risque et les détails des facteurs de risque. Sur les systèmes qui utilisent le RBAC des données, seuls les utilisateurs ayant un champ d'application global peuvent accéder l'analyse des risques. Pour en savoir plus, consultez la section Impact du RBAC des données sur l'analyse des risques.

Pour accéder au tableau de bord Analyse des risques, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Detection (Détection).
  2. Dans Détection, cliquez sur Analyse des risques.

Nombre d'entités, score de risque et table des entités

Le tableau de bord Analyse des risques n'affiche, en fonction des filtres choisis, que les 10 000 entités présentant le risque le plus élevé dans l'entreprise. Tous les graphiques et ne représentent que cet ensemble d'entités.

En haut à gauche, le graphique Nombre total d'entités indique le nombre d'entités. en cours de suivi dans votre entreprise avec un risque supérieur à 0. Entités avec une un score de risque de 0 sont toujours suivis, mais ils ne seront pas représentés dans ce graphique. Le nombre total est réparti entre les composants et les utilisateurs.

Pour en savoir plus sur les entités, consultez Objets logiques : événement et entité. Pour en savoir plus sur le calcul des scores de risque, consultez Calcul du score de risque.

Dans la table Entities (Entités), plusieurs colonnes sont liées à l'entité. score de risque:

Colonne Valeur
Nom de l'entité Nom de l'entité.
Type d'entité Type d'entité (composant ou utilisateur).
Normalisés Les scores normalisés sont calculés sur toutes les entités et mis à l'échelle entre 0 et 1 000 grâce à la normalisation min-max.
Modification du score normalisé Variation du score de risque normalisé de l'entité depuis la fenêtre précédente de calcul des risques.
Tendance du score normalisé Augmentation ou diminution de la variation en pourcentage du score de risque normalisé par rapport à la période de risque précédente.
Couches Le score de risque de base de l'entité est égal au score de risque de résultat maximal plus la pondération multipliée par la somme des scores de risque des résultats restants.

La pondération est définie par défaut sur 0,2 et peut être modifiée dans les paramètres.
Modification du score de base Variation du score de risque de base de l'entité par rapport à la période précédente de calcul des risques.
Tendance du score de base Augmentation ou diminution de la variation en pourcentage du score de risque de base par rapport à la période de risque précédente.
Nombre de résultats Nombre de résultats (alertes et détections) comprenant cette entité pendant la période de calcul du risque.
Première apparition pendant la période Code temporel du moment où l'entité est apparue pour la première fois dans un résultat (alerte ou détection) pendant la période de calcul du risque.
Dernière apparition pendant la période Code temporel du moment où l'entité est apparue pour la dernière fois dans un résultat (alerte ou détection) pendant la période de calcul du risque.

Ajuster la période de calcul des risques

Le risque calculé que représente une entité change en fonction de la période de temps en cours d'examen. Modifier le paramètre Risk Calculation Window (Fenêtre de calcul des risques) en haut (sélectionnez 24 heures ou 7 jours) pour modifier le score de risque calculé est affiché ici. Vous pouvez modifier ce paramètre en fonction du type d'attaque que vous recherchez. Par exemple, la force brute sont plus évidentes si vous définissez la fenêtre de calcul des risques sur 24 Heures. Des périodes plus longues vous permettent de détecter les attaques à long terme.

Les scores de risque des entités varient en fonction de la période de calcul des risques sélectionnée. Les scores de risque des entités sont calculés en fonction des résultats générés au cours du fenêtre de risque.

Affiner votre recherche avec des filtres rapides

Les filtres rapides vous permettent d'affiner votre recherche en n'affichant que les résultats pertinents pour vos besoins spécifiques.

Pour utiliser les filtres rapides dans le tableau de bord Analyse des risques, procédez comme suit:

  1. Cliquez sur filter_alt au-dessus du tableau Entités. La fenêtre Filtres s'affiche.
  2. Sélectionnez l'une des colonnes :
    • Nombre de résultats
    • Score de risque normalisé de l'entité
    • Tendance de risque normalisé de l'entité
    • Type
  3. Sélectionnez Afficher uniquement ou Filtrer.
  4. Sélectionnez une valeur (vous pouvez sélectionner plusieurs valeurs pour étendre la plage):
    • Nombre de résultats : valeurs comprises entre 0 et plus de 1 000.
    • Score de risque normalisé de l'entité: valeurs comprises entre 0 et 1 000.
    • Tendance de risque normalisé de l'entité : pourcentages compris entre moins de -99 % et plus de 199 %.
    • Type: sélectionnez Composants ou Utilisateurs.
  5. (Facultatif) Pour ajouter d'autres filtres, cliquez sur Ajouter un filtre et répétez cette étape de l'étape 2.
  6. Une fois les filtres configurés, cliquez sur Appliquer.

Par exemple, si vous sélectionnez Tendance normalisée du risque de l'entité, sélectionnez Afficher uniquement et cochez >199% uniquement pour les entités présentant un risque d'entité normalisé. supérieure à 199% sont affichées.

Enquêter sur une entité à l'aide de la page d'entité

Pour examiner une entité, procédez comme suit :

  1. Faites défiler la colonne Nom de l'entité ou utilisez la barre de recherche pour trouver une entité.
  2. Cliquez sur l'entité que vous souhaitez examiner.

La page de l'entité s'ouvre. Cette page vous permet d'examiner uniquement les résultats associées à cette entité unique. Le graphique Chronologie des résultats en haut suit les scores de risque des entités et les résultats au fil du temps. Ce graphique est composé de métriques précalculées affichées sous forme de graphique en courbes pour montrer les tendances au fil du temps. Les anomalies peuvent être considérées comme des pics sur le graphique linéaire. Sous le graphique se trouve le tableau Résultats, qui indique les événements et les activités auxquels l'entité sélectionnée a été associée.

En bas à droite, un panneau réductible Afficher les détails de l'entité contient un résumé des détails importants sur l'entité sélectionnée. Pour effectuer une un examen détaillé de l'entité sélectionnée, cliquez sur Afficher les détails de l'entité pour l'entité dans la vue Asset ou Utilisateur selon que la est respectivement un élément ou un utilisateur. Pour en savoir plus, consultez Examiner une entité d'élément ou Examiner un utilisateur.

Examiner une entité à l'aide de l'analyse des entités

L'analyse des entités fournit aux analystes du SOC et aux chasseurs de menaces une vue détaillée du comportement d'une entité, y compris son profil de référence, ses anomalies et ses enrichissements contextuels.

Sur la page de l'entité, sélectionnez une période pouvant aller jusqu'à 90 jours sur la page Résultats chronologie, puis cliquez sur Afficher les données analytiques de la sélection. Une barre latérale s'ouvre et affiche les données analytiques associées à cette entité au cours de la période sélectionnée. Chaque analytique affiche un agrégat de toutes les valeurs analytiques au cours de la période. Lorsqu'il est détecté, un outil d'analyse inclut une liste les alertes et les détections. Vous pouvez les examiner plus en détail en cliquant sur Afficher plus pour ouvrir la vue Alertes ou Détection correspondante. Pour en savoir plus, consultez Examiner une alerte.

Les analyses d'entités suivantes sont fournies :

  • Nombre d'alertes par nom d'événement
  • Tentatives d'authentification réussies
  • Échec des tentatives d'authentification
  • Nombre total de tentatives d'authentification
  • Octets DNS sortants
  • Échec des requêtes DNS
  • Requêtes DNS réussies
  • Total de requêtes DNS
  • Exécutions de fichiers réussies
  • Échec des exécutions de fichiers
  • Nombre total d'exécutions de fichiers
  • Requêtes HTTP réussies
  • Échec des requêtes HTTP
  • Total des requêtes HTTP
  • Octets réseau entrants
  • Octets réseau sortants
  • Nombre total d'octets réseau
  • Nombre total de tentatives d'authentification Workspace
  • Nombre total d'e-mails Workspace envoyés
  • Octets réseau sortants de l'espace de travail
  • Nombre total d'octets réseau de l'espace de travail
  • Workspace Total Change Actions
  • Nombre total d'actions de téléchargement Workspace

Modifier un score de risque d'entité

Lorsque des informations ou des événements extérieurs ont une incidence sur le risque réel d'une entité, vous pouvez mettre à jour le score de risque de l'entité.

Par exemple, vous pouvez réduire temporairement le score de risque d'un employé qui vient de terminé un exercice Red Team (comme les tests d’intrusion) afin que les analystes perdre du temps à rechercher pourquoi cet employé avait une augmentation des risques. Vous pouvez également augmenter temporairement le score de risque d'un employé impliqué dans une affaire judiciaire.

  1. Dans le tableau Entités de la page Analyse des risques, maintenez le pointeur sur la colonne tout à droite de la ligne. Vous devrez peut-être faire défiler la page à droite. Cliquez sur more_vert.

    et sélectionnez Mettre à jour le score de risque de l'entité.

  2. Dans la boîte de dialogue Mettre à jour le score de risque de l'entité, configurez les valeurs suivantes :

    • Facteur de multiplication : permet d'augmenter ou de diminuer le score de risque d'une entité avec un facteur de multiplication compris entre 0,0 et 100,0. Pour exemple, si vous avez découvert de nouvelles preuves sur une entité qui rend l'entité deux fois plus risquée, remplacez le coefficient multiplicateur par 50, reflètent le véritable facteur de risque de l'entité.
    • Période : période pendant laquelle le facteur de multiplication est appliqué. Vous pouvez sélectionner Maintenant ou entre 1 jour et 14 jours. Si vous sélectionnez Maintenant, le facteur de multiplication est appliqué à l'entité score de risque pour la période actuelle de calcul des risques. Seules les alertes et détections existantes sont incluses dans le calcul. Lorsque la période sélectionnée se termine, le score de risque de l'entité est mis à jour s'arrêter et le score de risque revient à la normale.
    • Motif : permet de laisser un contexte supplémentaire aux autres utilisateurs sur la raison de cette mise à jour. Sélectionnez l'une des options suivantes: Nouveau preuves, score de risque incorrect, profil de risque modifié, Exigences de conformité ou Autre.

Si vous essayez d'apporter une modification qui a déjà été effectuée (par exemple, vous souhaitez définir le facteur de multiplication d'une entité sur 25 %, mais un autre membre de l'équipe a déjà effectué cette modification), une boîte de dialogue s'affiche pour vous indiquer que la modification a déjà été effectuée, y compris des informations sur la personne qui l'a effectuée et le moment où elle l'a fait.

Afficher les mises à jour du score de risque dans les détails de l'entité

Vous pouvez afficher toutes les mises à jour du score de risque pour une entité dans le profil d'entité. .

  1. Cliquez sur l'entité dont vous souhaitez consulter l'historique des mises à jour du score de risque pour ouvrir la page Profil de l'entité.
  2. Dans le graphique de chronologie des événements, chaque fois qu'un utilisateur a modifié le score de risque de l'entité, le libellé Modification du score de risque s'affiche en texte blanc.
  3. Maintenez le pointeur sur le texte pour afficher une boîte de dialogue contenant la date, l'utilisateur et la raison du changement.

Listes de suivi

La page Listes de surveillance vous permet de surveiller des entités spécifiques de votre entreprise.

  1. Dans la barre de navigation de gauche, cliquez sur Détection.
  2. Sous Détection, cliquez sur Analyse des risques.
  3. Cliquez sur l'onglet Listes de lecture.

Ajouter une liste de valeurs suivies

Pour ajouter une liste de surveillance à votre compte Google Security Operations, procédez comme suit : Vous pouvez configurer jusqu'à 200 listes de surveillance.

  1. Cliquez sur Créer une liste.
  2. Spécifiez un nom de liste.
  3. (Facultatif) Spécifiez une description.
  4. (Facultatif) Spécifiez un facteur de multiplication compris entre 0 et 100. La valeur par défaut est 1.
  5. (Facultatif) Spécifiez les entités dans la partie droite de la fenêtre après les Section Ajouter des entités à une liste de surveillance. Toi pouvez ajouter ici les types d'entités suivants:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Cliquez sur Créer une liste.

Épingler une liste

  1. Cliquez sur Modifier l'affichage.
  2. Cochez la case à côté de la liste de lecture que vous souhaitez épingler.
  3. Cliquez sur Enregistrer.

Retirer une liste des valeurs suivies

  1. Dans le tableau de bord Mes listes, sélectionnez la liste que vous souhaitez retirer. et sélectionnez more_vert .
  2. Cliquez sur Supprimer de l'affichage.

Modifier une liste de surveillance

  1. Dans le tableau de bord Mes listes, sélectionnez la liste que vous souhaitez modifier. cliquez sur l'icône more_vert .
  2. Cliquez sur Modifier la liste de lecture.

Supprimer une liste

  1. Dans le tableau de bord Listes, sélectionnez la liste que vous souhaitez supprimer, puis cliquez sur more_vert .
  2. Cliquez sur Supprimer la liste.

Ajouter des entités à une liste de surveillance

Pour ajouter des entités à une liste de surveillance, vous devez spécifier le nom, le type et l'espace de noms (facultatif) de l'entité ligne par ligne à l'aide de l'un des formats suivants.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE peut être :

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE ne peut être spécifié que pour les types d'entités d'éléments suivants :

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemple :

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Cet exemple représente deux entités ajoutées à la liste de surveillance, une adresse IP d'un composant 205.148.5.0 et un nom d'hôte website.com sous l'espace de noms chronicle. Toi peut comporter jusqu'à 10 000 entités dans une liste de surveillance.

Supprimer des entités d'une liste

Pour supprimer des entités d'une liste de surveillance, supprimez les lignes qui représentent les entités que vous souhaitez supprimer, puis cliquez sur Enregistrer.

Modifier les paramètres du score de risque

La page Score de risque des entités vous permet de définir comment les scores de risque sont calculés pour les entités, les alertes et les détections. Cette page vous permet d'adapter la mesure du risque calculé en fonction des besoins uniques de votre recherche.

Sur la page Score de risque de l'entité, vous pouvez modifier trois champs :

Pour modifier ces paramètres, procédez comme suit:

  1. Dans la barre de navigation, sélectionnez Paramètres > Scores de risque des entités.
  2. Mettez à jour les scores de risque en conséquence.
  3. Cliquez sur Enregistrer. Lorsque vous revenez à la page principale Analyse des risques, un message s'affiche en haut de l'écran pour confirmer qu'une modification a été apportée au score de risque de l'entité.
  4. (Facultatif) Pour réinitialiser l'une de ces valeurs, cliquez sur Réinitialiser à droite de la valeur.

Les mises à jour ne s'appliqueront qu'aux nouvelles alertes et détections. Cette opération peut prendre jusqu'à minutes pour que les modifications soient prises en compte.

Pondération du score de risque de l'entité

La pondération définit la manière dont les scores de risque d'alerte et de détection contribuent au risque de l'entité des calculs de scores. La pondération est une valeur comprise entre 0 et 1, et la valeur par défaut est 0,2.

Voici quelques exemples de l'impact de différents chiffres sur le score de risque d'une entité calcul:

  • Pondération du score de risque de l'entité 0. Le score de risque brut correspond au score de risque de détection maximal parmi toutes les détections de l'entité.
  • Pondération des scores de risque des entités : 1. Le score de risque brut correspond à la somme de tous les scores de risque de détection de l'entité.
  • Pondération du score de risque de l'entité : 0.5. Le score de risque attribue une pondération complète à la détection avec un score de risque maximal pour l'entité et la moitié de la pondération pour toutes les autres détections.

Score de risque par défaut pour les détections

Le score de risque par défaut pour les détections vous permet d'attribuer une valeur par défaut aux les scores de risque de détection. Les scores de risque des détections sont utilisés pour calculer les scores de risque des entités. Les scores de risque pour les détections sont définis lorsqu'une règle est écrite. Si non le score de risque est défini dans la règle, la valeur par défaut est utilisée. Score par défaut est de 15 et la plage du score de risque est comprise entre 0 et 100.

Score de risque par défaut pour les alertes

À l'instar du score de risque par défaut pour les détections, ce champ vous permet d'attribuer un valeur par défaut pour les scores de risque des alertes. Si aucun score de risque n'est défini dans la règle, la valeur par défaut de 40 est utilisée. La plage de scores de risque est comprise entre 0 et 1 000.

Pour en savoir plus sur la définition du score de risque dans une règle, consultez la section Syntaxe de la section "Résultat".

Coefficient d'alerte clôturée

Le coefficient d'alerte fermé modifie le score de risque des alertes marquées comme fermées. par les analystes. Il s'agit d'un modificateur à virgule flottante compris entre 0 et 1 inclus. La la valeur par défaut est 1.0, ce qui signifie que toutes les alertes ouvertes et fermées conservent leur scores. Si le coefficient d'alerte de fermeture a une valeur de 0,0, toutes les reçoivent un score de risque de 0 et n'augmentent plus le score de risque l'entité dans son ensemble.