Painel de análise de dados de risco

Compatível com:

O painel Análise de risco permite visualizar seu ambiente com base em riscos. A visualização das tendências de risco de entidade ajuda a identificar comportamentos incomuns e entender o possível risco que as entidades representam para sua empresa.

O painel Análise de risco lista entidades em risco e detalhes do fator de risco. Em sistemas que usam RBAC de dados, somente usuários com escopo global podem acessar análise de risco. Para mais informações, consulte Impacto do RBAC de dados nas Análises de risco.

Para acessar o painel Análise de risco, siga estas etapas:

  1. Na barra de navegação, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.
.

Contagem de entidades, pontuação de risco e tabela de entidades

O painel Análise de risco mostra, com base nos filtros escolhidos, apenas os 10.000 entidades com o maior risco da empresa. Todos os gráficos e tabelas no painel representam apenas esse conjunto de entidades.

O gráfico Total de entidades no canto superior esquerdo mostra o número de entidades que estão sendo rastreadas na sua empresa com um risco maior que 0. As entidades com uma pontuação de risco de 0 ainda estão sendo rastreadas, mas não serão representadas neste gráfico. A contagem total é dividida entre Recursos e Usuários.

Para mais informações sobre entidades, consulte Objetos lógicos: evento e entidade. Para mais informações sobre como as pontuações de risco são calculadas, consulte Cálculo da pontuação de risco.

Na tabela Entidades, há várias colunas relacionadas à entidade. pontuação de risco:

Coluna Valor
Nome da entidade Nome da entidade.
Tipo de entidade Tipo de entidade (recurso ou usuário).
Normalizada As pontuações normalizadas são calculadas entre entidades, escalonadas entre 0 e 1.000 usando a normalização mínimo-máximo.
Mudança normalizada Alteração na pontuação de risco normalizada da entidade desde a janela de cálculo de risco anterior.
Tendência normalizada Aumento ou diminuição na mudança percentual da pontuação de risco normalizada em comparação com a janela de risco anterior.
Base A pontuação de risco básica da entidade é igual à pontuação de risco máxima de descoberta mais a ponderação multiplicada pela soma das pontuações de risco das descobertas restantes.

O padrão de ponderação é 0,2 e pode ser alterado em "Configurações".
Mudança básica Alteração na pontuação de risco básica da entidade desde a janela de cálculo de risco anterior.
Tendência básica Aumento ou diminuição na mudança percentual da pontuação de risco básica em comparação com a janela de risco anterior.
Número de descobertas O número de descobertas (alertas e detecções) que incluem essa entidade durante a janela de cálculo de risco.
Primeira vez na janela Carimbo de data/hora de quando a entidade apareceu pela primeira vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.
Última vez na janela Carimbo de data/hora de quando a entidade apareceu pela última vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.

Ajustar a janela de cálculo de risco

O risco calculado por uma entidade muda de acordo com o período em análise. Alterar a configuração Janela de cálculo de risco no canto superior direito (selecione Janela de 24 horas ou Janela de 7 dias) muda a pontuação de risco calculada exibida aqui. Talvez seja necessário mudar essa configuração dependendo do tipo de ataque que você está procurando. Por exemplo, os ataques de força bruta são mais aparentes ao definir a janela de cálculo de risco como 24 horas. Prazos mais longos permitem identificar ataques de longo prazo.

As pontuações de risco da entidade mudam de acordo com a janela de cálculo de risco selecionada. As pontuações de risco da entidade são calculadas com base nas descobertas geradas durante a janela de risco.

Restringir a pesquisa com filtros rápidos

Os filtros rápidos permitem restringir sua pesquisa mostrando apenas resultados relevantes para suas necessidades específicas.

Para usar os filtros rápidos no painel Análise de risco, siga estas etapas:

  1. Clique em filter_alt acima da tabela Entidades. A janela Filtros será exibida.
  2. Selecione uma das colunas:
    • Número de descobertas
    • Pontuação de risco normalizada da entidade
    • Tendência normalizada de risco da entidade
    • Tipo
  3. Selecione Mostrar apenas ou Filtrar.
  4. Selecione um valor (é possível selecionar mais de um valor para expandir o intervalo):
    • Número de descobertas: valores de 0 a maiores que 1.000.
    • Pontuação de risco normalizada da entidade: valores de 0 a 1.000.
    • Tendência de risco da entidade normalizada: porcentagens de menos de -99%. para mais de 199%.
    • Tipo: selecione Recursos ou Usuários.
  5. (Opcional) Para adicionar mais filtros, clique em Adicionar filtro e repita o processo desde a etapa 2.
  6. Quando terminar de configurar os filtros, clique em Aplicar.

Por exemplo, se você selecionar a Tendência de pontuação de risco normalizada da entidade, Mostrar somente e marcar >199%, apenas as entidades com uma mudança de pontuação de risco normalizada da entidade maior que 199% vão ser exibidas.

Investigar uma entidade usando a página dela

Para investigar uma entidade, siga estas etapas:

  1. Role pela coluna Nome da entidade ou use a barra de pesquisa para encontrar uma com uma entidade conhecida.
  2. Clique na entidade que você quer investigar.

A página da entidade vai ser aberta. Nesta página, você pode examinar apenas as descobertas associados a essa entidade. o gráfico linha do tempo das descobertas na parte de cima; as descobertas e pontuações de risco da entidade ao longo do tempo. Este gráfico é composto de métricas pré-computadas exibidas em formato de gráfico de linhas para mostrar tendências ao longo do tempo. As anomalias são identificadas como picos no gráfico de linhas. Abaixo do gráfico, há a tabela Findings, que mostra a quais eventos e atividades a entidade selecionada foi associada.

No canto inferior direito, no canto inferior direito, haverá um painel Ver detalhes da entidade que pode ser recolhido. contém um resumo de detalhes importantes sobre a entidade selecionada. Para concluir uma análise detalhada da entidade selecionada, clique em View entity details para visualizar a entidade na visualização Recurso ou na visualização Usuário, dependendo se o entidade é um ativo ou um usuário, respectivamente. Para mais informações, consulte Investigar uma entidade de recurso ou Investigar um usuário.

Investigar uma entidade usando a análise de entidades

A análise de entidades oferece aos analistas de SOC e à busca de ameaças uma visualização detalhada do comportamento de uma entidade, incluindo o perfil de referência da entidade, anomalias e aprimoramento contextual.

Na página da entidade, selecione um período de até 90 dias na Linha do tempo de descobertas e clique em Analisar dados da seleção. Essa ação abre uma barra lateral que mostra as análises associadas a essa entidade nos campos período. Cada análise mostra um agregado de todos os valores de análise no período. Quando detectada, uma análise inclui uma lista de alertas e detecções relacionadas que podem ser examinadas clicando em Ver mais para abrir a visualização Alertas ou Deteções correspondentes. Para mais informações, consulte Investigar um alerta.

As seguintes análises de entidades são fornecidas:

  • Contagem de nomes de eventos de alerta
  • Tentativas de autenticação bem-sucedidas
  • Falha nas tentativas de autenticação
  • Total de tentativas de autenticação
  • Bytes de DNS enviados
  • Falha nas consultas DNS
  • Consultas DNS concluídas
  • Total das consultas DNS
  • Execução de arquivos concluída
  • Falha nas execuções de arquivo
  • Total de execuções de arquivo
  • Sucesso das consultas HTTP
  • Falha nas consultas HTTP
  • Total de consultas HTTP
  • Entrada de bytes de rede
  • Saída de bytes de rede
  • Total de bytes da rede
  • Total de tentativas de autenticação do Workspace
  • Total de e-mails enviados do Workspace
  • Bytes de saída da rede do Workspace
  • Total de bytes da rede do Workspace
  • Ações de mudança no total do espaço de trabalho
  • Total de ações de download do Workspace

Modificar uma pontuação de risco da entidade

Quando informações ou eventos externos afetam o risco real de uma entidade, você pode atualizar a pontuação de risco dela.

Por exemplo, é possível diminuir temporariamente a pontuação de risco de um funcionário que acabou de concluir um exercício de red team (como teste de penetração) para que os analistas não perder tempo investigando por que esse funcionário teve um aumento de risco. Você também pode aumentar temporariamente a pontuação de risco de um funcionário envolvido em um processo.

  1. Na tabela Entidades da página Análise de risco, mantenha o o cursor sobre a coluna à direita da linha. Talvez seja necessário rolar exibido à direita. Clique em more_vert.

    e selecione Atualizar pontuação de risco da entidade.

  2. Na caixa de diálogo Atualizar pontuação de risco da entidade, configure os valores para seguintes:

    • Fator de multiplicação: permite aumentar ou diminuir o risco. de uma entidade com fator de multiplicação de 0,0 - 100,0. Para exemplo, se você descobriu novas evidências sobre uma entidade que faz a entidade duas vezes mais arriscada, atualize o fator de multiplicação para 50 para refletem o verdadeiro fator de risco da entidade.
    • Período: período em que o fator de multiplicação é aplicada. Você pode selecionar Agora ou entre 1 dia e 14 dias. Se você selecionar Agora, o fator de multiplicação será aplicado à entidade pontuação de risco atual para a janela de cálculo de risco atual. Somente atuais os alertas e as detecções são incluídos no cálculo. Quando o período selecionado terminar, as atualizações da pontuação de risco da entidade serão atualizadas parar e a pontuação de risco volta ao normal.
    • Motivo: permite deixar um contexto adicional para outros usuários sobre por que essa atualização foi feita. Escolha entre as seguintes opções: Novo evidências, Pontuação de risco incorreta, Perfil de risco alterado Requisitos de compliance ou Outros.

Se você tentar fazer uma mudança que já foi feita (por exemplo, você quer atualizar o fator de multiplicação de uma entidade para 25%, mas outro membro da equipe já fez essa mudança), uma caixa de diálogo vai aparecer informando que a mudança já foi feita, incluindo informações sobre quem fez a mudança e quando.

Conferir atualizações da pontuação de risco nos detalhes da entidade

É possível acessar todas as atualizações da pontuação de risco de uma entidade no Perfil da entidade. página.

  1. Clique na entidade que tem o histórico de atualizações de pontuação de risco que você quer abrir. a página Perfil da entidade.
  2. No gráfico de linha do tempo de eventos, cada vez que alguém muda a pontuação de risco da entidade, é indicado pelo rótulo Modificação da pontuação de risco em texto branco.
  3. Mantenha o ponteiro do mouse sobre o texto para exibir uma caixa de diálogo com a data, o usuário e motivo da mudança.

Listas de interesses

A página Listas de interesses permite monitorar entidades específicas na sua em uma empresa.

  1. Na barra de navegação à esquerda, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.
  3. Clique na guia Listas de exibição.

Adicionar uma lista de interesses

Para adicionar uma lista de observação à sua conta do Google Security Operations, siga estas etapas. É possível configurar até 200 listas de interesses.

  1. Clique em Criar lista de observação.
  2. Especifique um nome da lista de interesses.
  3. (Opcional) Especifique uma descrição.
  4. (Opcional) Especifique o Fator de multiplicação entre 0 e 100. O padrão é 1.
  5. (Opcional) Especifique entidades no lado direito da janela seguindo a seção Adicionar entidades a uma lista de observação. Você pode adicionar os seguintes tipos de entidade aqui:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Clique em Criar lista de observação.

Fixar uma lista de interesses

  1. Clique em Editar tela.
  2. Marque a caixa de seleção ao lado da lista de reprodução que você quer fixar.
  3. Clique em Salvar.

Liberar uma lista de interesses

  1. No painel Listas de interesses, selecione a lista que você quer desfixar e clique em more_vert .
  2. Clique em Remover da tela.

Editar uma lista de interesses

  1. No painel Listas de interesses, selecione a que você quer editar e Clique no ícone more_vert .
  2. Clique em Editar lista de observação.

Excluir uma lista de interesses

  1. No painel Listas de interesses, selecione a lista que você quer excluir e clique em more_vert .
  2. Clique em Excluir lista de sites de interesse.

Adicionar entidades a uma lista de interesses

Para adicionar entidades a uma lista de observação, especifique o nome, o tipo e (opcional) o namespace da entidade linha por linha usando um dos formatos a seguir.

  • NAME,TYPE
  • NAME,TYPE,NAMESPACE

    TYPE pode ser:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    O NAMESPACE só pode ser especificado para os tipos de entidade de recursos:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Este exemplo representa duas entidades adicionadas à lista de observação: um endereço IP de recurso 205.148.5.0 e um nome de host website.com no namespace chronicle. É possível ter até 10.000 entidades em uma lista de sites de interesse.

Remover entidades de uma lista de interesses

Para remover entidades de uma lista de sites de interesse, remova as linhas que representam entidades que você quer remover e clique em Salvar.

Mudar as configurações da pontuação de risco

Na página Pontuação de risco da entidade, você pode definir como as pontuações de risco são calculadas para entidades, alertas e detecções. Nesta página, é possível definir como o risco é calculados com base nas necessidades únicas da sua pesquisa.

Há três campos na página Pontuação de risco da entidade que podem ser atualizados:

Para mudar qualquer uma dessas configurações, siga estas etapas:

  1. Na barra de navegação, selecione Configurações > Pontuações de risco da entidade.
  2. Atualize as pontuações de risco de acordo.
  3. Clique em Salvar. Quando você voltar à página principal Risk Analytics, uma mensagem vai aparecer na parte de cima da tela confirmando que uma mudança foi feita na Entity Risk Score.
  4. (Opcional) Para redefinir qualquer um desses valores, clique em Redefinir à direita do valor.

As atualizações só serão aplicadas a novos alertas e detecções. Pode levar até 30 minutos para que as mudanças entrem em vigor.

Ponderação da pontuação de risco da entidade

A ponderação define como as pontuações de risco de alerta e detecção contribuem para os cálculos da pontuação de risco da entidade. A ponderação é um valor de 0 a 1, e o padrão é 0,2.

Confira alguns exemplos de como números diferentes afetam o cálculo da pontuação de risco da entidade:

  • Ponderação da pontuação de risco da entidade 0. A pontuação de risco bruta é a pontuação máxima pontuação de risco de detecção entre todas as detecções da entidade.
  • Ponderação da pontuação de risco da entidade 1. A pontuação de risco bruta é a soma de todas as pontuações de risco de detecção da entidade.
  • Ponderação da pontuação de risco da entidade 0.5. A pontuação de risco dá peso total à detecção com pontuação de risco máxima para a entidade e metade do peso para todas as outras detecções.

Pontuação de risco padrão para detecções

A pontuação de risco padrão para detecções permite atribuir um valor padrão às e as pontuações de risco de detecção. As pontuações de risco de detecção são usadas para calcular o risco da entidade pontuações As pontuações de risco para detecções são definidas quando uma regra é escrita. Se nenhuma pontuação de risco for definida na regra, o valor padrão será usado. A pontuação padrão é 15 e o intervalo da pontuação de risco é de 0-100.

Pontuação de risco padrão para alertas

Semelhante à Pontuação de risco padrão para detecções, esse campo permite atribuir uma o valor padrão para pontuações de risco de alerta. Se nenhuma pontuação de risco for definida na regra, será usado o padrão 40. O intervalo da pontuação de risco é de 0 a 1.000.

Para informações sobre como definir a pontuação de risco em uma regra, consulte a Sintaxe da seção de resultados.

Coeficiente de alerta fechado

O coeficiente de alerta fechado modifica a pontuação de risco dos alertas marcados como fechados pela equipe de análise. Ele é um modificador de ponto flutuante entre 0 e 1. O padrão é 1,0, o que significa que todos os alertas abertos e fechados mantêm as pontuações originais. Se o coeficiente de alerta fechado tiver um valor de 0,0, todos os alertas fechados vão receber uma pontuação de risco de 0 e não vão mais aumentar a pontuação de risco da entidade.