Risikoanalyse-Dashboard

Im Dashboard Risikoanalyse können Sie Ihre Umgebung risikobasiert betrachten. Durch die Visualisierung von Risikotrends für Entitäten können Sie ungewöhnliches Verhalten erkennen und das potenzielle Risiko verstehen, das Entitäten für Ihr Unternehmen darstellen.

Das Dashboard Risikoanalyse enthält gefährdete Entitäten und Risikofaktordetails. Auf Systemen, die RBAC für Daten verwenden, können nur Nutzer mit globalem Geltungsbereich auf Risikoanalysen zugreifen. Weitere Informationen finden Sie unter Auswirkungen von Daten-RBAC auf Risikoanalysen.

So rufen Sie das Dashboard Risikoanalysen auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.

Tabelle mit Entitätsanzahl, Risikobewertung und Entitäten

Das Dashboard Risikoanalyse zeigt basierend auf den ausgewählten Filtern nur die 10.000 Elemente mit dem höchsten Risiko im Unternehmen an. Alle Grafiken und Tabellen im Dashboard stellen nur diese Gruppe von Entitäten dar.

Die Grafik Gesamtzahl der Entitäten links oben zeigt die Anzahl der in Ihrem Unternehmen erfassten Entitäten mit einem Risiko von über 0. Entitäten mit einem Risikowert von 0 werden weiterhin verfolgt, sind aber in dieser Grafik nicht dargestellt. Die Gesamtzahl wird zwischen Assets und Nutzer geteilt.

Weitere Informationen zu Entitäten finden Sie unter Logische Objekte: Ereignis und Entität. Weitere Informationen zur Berechnung von Risikobewertungen finden Sie unter Berechnung des Risikowerts.

Die Tabelle Entitäten enthält mehrere Spalten, die sich auf die Risikobewertung für Entitäten beziehen:

Spalte Wert
Entitätsname Name der Entität.
Entitätstyp Art der Entität (Inhalt oder Nutzer).
Normalized Normalisierte Punktzahlen werden über Entitäten hinweg berechnet und mithilfe von Min-Max-Normalisierung zwischen 0 und 1.000 skaliert.
Normalisierte Änderung Änderung der normalisierten Risikobewertung für Entitäten seit dem vorherigen Risikoberechnungsfenster.
Normalisierter Trend Erhöhung oder Verringerung der prozentualen Änderung der normalisierten Risikobewertung im Vergleich zum vorherigen Risikofenster.
Basis Der Basisrisikowert für Entitäten entspricht dem maximalen Risikowert für Ergebnisse plus der Gewichtung multipliziert mit der Summe der verbleibenden Risikobewertungen für Ergebnisse.

Der Standardwert für die Gewichtung ist 0,2 und kann in den Einstellungen geändert werden.
Grundänderung Änderung der Basisrisikobewertung für Entitäten seit dem vorherigen Risikoberechnungsfenster.
Basistrend Erhöhung oder Verringerung der prozentualen Änderung der Basisrisikobewertung im Vergleich zum vorherigen Risikofenster.
Anzahl der Ergebnisse Die Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), die diese Entität während des Risikoberechnungsfensters enthalten.
Zuerst im Fenster erfasst Zeitstempel, der angibt, wann die Entität zum ersten Mal in einem Ergebnis (Benachrichtigung oder Erkennung) während des Risikoberechnungsfensters erkannt wurde.
Zuletzt im Fenster erkannt Zeitstempel, zu dem die Entität zuletzt während des Risikoberechnungsfensters in einem Ergebnis (Benachrichtigung oder Erkennung) erkannt wurde.

Risikoberechnungsfenster anpassen

Das berechnete Risiko einer Entität ändert sich je nach Untersuchungszeitraum. Wenn Sie die Einstellung Risikoberechnungsfenster rechts oben ändern (entweder 24-Stunden-Fenster oder 7-Tage-Fenster), ändert sich der hier angezeigte berechnete Risikowert. Je nach Art des Angriffs sollten Sie diese Einstellung ändern. Brute-Force-Angriffe sind beispielsweise deutlicher sichtbar, wenn Sie das Risikoberechnungsfenster auf 24 Hours festlegen. Bei längeren Zeiträumen können Sie langfristige Angriffe erkennen.

Risikobewertungen für Entitäten ändern sich je nach ausgewähltem Risikoberechnungsfenster. Risikobewertungen für Entitäten werden auf Grundlage der Ergebnisse berechnet, die während des Risikofensters generiert wurden.

Suche mit Schnellfiltern eingrenzen

Mit Schnellfiltern können Sie Ihre Suche eingrenzen, indem Sie nur Ergebnisse anzeigen, die für Ihre spezifischen Anforderungen relevant sind.

So verwenden Sie Schnellfilter auf dem Dashboard Risikoanalysen:

  1. Klicken Sie über der Tabelle Entitäten auf filter_alt . Das Fenster Filter wird angezeigt.
  2. Wählen Sie eine der Spalten aus:
    • Anzahl der Ergebnisse
    • Normalisierte Risikobewertung für Entitäten
    • Normalisierte Risikoentwicklung für Entitäten
    • Typ
  3. Wählen Sie Nur anzeigen oder Filtern aus.
  4. Wählen Sie einen Wert aus (Sie können mehrere Werte auswählen, um den Bereich zu erweitern):
    • Anzahl der Ergebnisse: Werte von 0 bis größer als 1.000.
    • Normalisierte Risikobewertung für Entitäten: Werte von 0 bis 1.000.
    • Normalisierte Risikoentwicklung für Entitäten: Prozentsätze von unter -99 % bis zu über 199%.
    • Typ: Wählen Sie Assets oder Nutzer aus.
  5. Optional: Klicken Sie zum Hinzufügen weiterer Filter auf Filter hinzufügen und wiederholen Sie diesen Vorgang ab Schritt 2.
  6. Nachdem Sie die Filter konfiguriert haben, klicken Sie auf Anwenden.

Wenn Sie beispielsweise Normalisierte Risikotrend für Entitäten auswählen, Nur anzeigen auswählen und >199% anklicken, werden nur Entitäten mit einer normalisierten Risikoänderung für Entitäten von mehr als 199% angezeigt.

Entität auf der Seite „Entitäten“ untersuchen

So prüfen Sie eine Entität:

  1. Scrollen Sie durch die Spalte Entitätsname oder verwenden Sie die Suchleiste, um eine Entität zu finden.
  2. Klicken Sie auf die Entität, die Sie untersuchen möchten.

Die Entitätsseite wird geöffnet. Auf dieser Seite können Sie nur die Ergebnisse untersuchen, die mit dieser einen Entität verknüpft sind. Im Zeitachsendiagramm für Ergebnisse ganz oben sehen Sie Risikobewertungen und -ergebnisse für Entitäten im Zeitverlauf. Dieses Diagramm besteht aus vorab berechneten Messwerten, die in einem Liniendiagramm angezeigt werden, um Trends im Zeitverlauf darzustellen. Anomalien können als Ausschläge im Liniendiagramm angezeigt werden. Unter dem Diagramm befindet sich die Tabelle Ergebnisse, aus der hervorgeht, welchen Ereignissen und Aktivitäten die ausgewählte Entität zugeordnet wurde.

Unten rechts befindet sich der minimierbare Bereich Entitätsdetails anzeigen, der eine Zusammenfassung wichtiger Details zur ausgewählten Entität enthält. Für eine detaillierte Untersuchung der ausgewählten Entität klicken Sie auf Entitätsdetails ansehen. Die Entität wird in der Ansicht Asset oder Nutzer angezeigt, je nachdem, ob es sich um ein Asset oder einen Nutzer handelt. Weitere Informationen findest du unter Asset-Entität prüfen und Nutzer untersuchen.

Entität mithilfe der Entitätsanalyse untersuchen

Entitätsanalysen bieten SOC-Analysten und Bedrohungssuchenden einen detaillierten Überblick über das Verhalten einer Entität, einschließlich des Basisprofils der Entität, Anomalien und kontextbezogener Anreicherung.

Wählen Sie auf der Entitätsseite auf der Zeitachse der Ergebnisse einen Zeitraum von bis zu 90 Tagen aus und klicken Sie auf Analysen für Auswahl ansehen. Dadurch wird eine Seitenleiste geöffnet, in der die mit dieser Entität verknüpften Analysen innerhalb des ausgewählten Zeitraums angezeigt werden. Jede Analyse zeigt eine Zusammenfassung aller Analysewerte innerhalb des Zeitraums an. Wenn eine Analyse erkannt wird, enthält sie eine Liste zugehöriger Benachrichtigungen und Erkennungen, die weiter untersucht werden können. Klicken Sie dazu auf Mehr anzeigen, um die entsprechende Ansicht Benachrichtigungen oder Erkennung zu öffnen. Weitere Informationen finden Sie unter Benachrichtigungen untersuchen.

Die folgenden Entitätsanalysen werden bereitgestellt:

  • Anzahl der Ereignisnamen der Benachrichtigung
  • Erfolgreiche Authentifizierungsversuche
  • Authentifizierungsversuche fehlgeschlagen
  • Authentifizierungsversuche insgesamt
  • DNS-Byte ausgehend
  • DNS-Abfragen schlagen fehl
  • DNS-Abfragen erfolgreich
  • DNS-Abfragen insgesamt
  • Dateiausführungen erfolgreich
  • Dateiausführung fehlgeschlagen
  • Dateiausführungen insgesamt
  • HTTP-Abfragen erfolgreich
  • HTTP-Abfragen schlagen fehl
  • HTTP-Abfragen insgesamt
  • Eingehende Netzwerkbyte
  • Ausgehende Netzwerkbyte
  • Netzwerkbyte gesamt
  • Workspace-Authentifizierungsversuche insgesamt
  • Insgesamt gesendete Workspace-E‐Mails
  • Workspace-Netzwerkbyte (ausgehend)
  • Workspace-Netzwerkbyte gesamt
  • Änderungsaktionen insgesamt für Workspace
  • Workspace – Downloadaktionen insgesamt

Risikobewertung für Entitäten ändern

Wenn externe Informationen oder Ereignisse das tatsächliche Risiko einer Entität beeinflussen, können Sie die Risikobewertung der Entität aktualisieren.

Sie können beispielsweise den Risikowert eines Mitarbeiters vorübergehend senken, der gerade eine Red-Team-Übung (z. B. Penetrationstests) abgeschlossen hat, damit Analysten keine Zeit verschwenden müssen, um herauszufinden, warum dieser Mitarbeiter eine Risikoerhöhung hatte. Sie können auch vorübergehend den Risikowert eines an einem Gerichtsverfahren beteiligten Mitarbeiters erhöhen.

  1. Bewegen Sie auf der Seite Risikoanalyse in der Tabelle Entitäten den Mauszeiger auf die Spalte ganz rechts in der Zeile. Möglicherweise müssen Sie das Display nach rechts scrollen. Klicken Sie auf more_vert.

    und wählen Sie Risikobewertung für Entitäten aktualisieren aus.

  2. Konfigurieren Sie im Dialogfeld Risikobewertung für Entitäten aktualisieren Werte für Folgendes:

    • Multiplikationsfaktor: Ermöglicht das Erhöhen oder Verringern des Risikowerts einer Entität mit einem Multiplikationsfaktor von 0,0–100,0. Wenn Sie beispielsweise neue Hinweise auf eine Entität gefunden haben, die die Entität doppelt so riskant macht, aktualisieren Sie den Multiplikationsfaktor auf 50, um den tatsächlichen Risikofaktor der Entität widerzuspiegeln.
    • Zeitraum: Zeitraum, in dem der Multiplikationsfaktor angewendet wird. Sie können Jetzt oder zwischen 1 Tag und 14 Tage auswählen. Wenn Sie Jetzt auswählen, wird der Multiplikationsfaktor auf die Risikobewertung für Entitäten im aktuellen Risikoberechnungsfenster angewendet. Es werden nur vorhandene Benachrichtigungen und Erkennungen in die Berechnung einbezogen. Nach Ablauf des ausgewählten Zeitraums wird die Risikobewertung für Entitäten nicht mehr aktualisiert und die Risikobewertung wird wieder normalisiert.
    • Grund: Hiermit können Sie anderen Nutzern zusätzlichen Kontext zum Grund dieser Aktualisierung hinzufügen. Wählen Sie eine der folgenden Optionen aus: New Evidence (Neue Beweise), Falsche Risikobewertung, Geändertes Risikoprofil, Compliance-Anforderungen oder Sonstiges.

Wenn Sie versuchen, eine Änderung vorzunehmen, die bereits vorgenommen wurde, z. B. wenn Sie den Multiplikationsfaktor einer Entität auf 25 % aktualisieren möchten, aber ein anderes Teammitglied diese Änderung bereits vorgenommen hat, wird ein Dialogfeld mit der Information angezeigt, dass die Änderung bereits vorgenommen wurde und die Angaben dazu enthalten, wer die Änderung wann vorgenommen hat.

Aktualisierungen des Risikowerts in Entitätsdetails ansehen

Sie können alle Aktualisierungen der Risikobewertung für eine Entität auf der Seite Entitätsprofil ansehen.

  1. Klicken Sie auf die Entität, deren Aktualisierungsverlauf für die Risikobewertung Sie aufrufen möchten, um die Seite Entitätsprofil zu öffnen.
  2. Im Zeitleistendiagramm für Ereignisse wird jedes Mal, wenn jemand den Risikowert der Entität geändert hat, durch das Label Änderung des Risikowerts in weißem Text angezeigt.
  3. Bewegen Sie den Mauszeiger über den Text, um ein Dialogfeld mit dem Datum, dem Nutzer und dem Grund für die Änderung aufzurufen.

Beobachtungslisten

Auf der Seite Merklisten können Sie bestimmte Entitäten aus Ihrem gesamten Unternehmen überwachen.

  1. Klicken Sie in der linken Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.
  3. Klicken Sie auf den Tab Merklisten.

Beobachtungsliste hinzufügen

Führen Sie die folgenden Schritte aus, um Ihrem Google Security Operations-Konto eine Beobachtungsliste hinzuzufügen. Sie können bis zu 200 Beobachtungslisten konfigurieren.

  1. Klicken Sie auf Beobachtungsliste erstellen.
  2. Geben Sie einen Namen der Merkliste an.
  3. Optional: Geben Sie eine Beschreibung an.
  4. (Optional) Geben Sie für den Multiplikationsfaktor einen Wert zwischen 0 und 100 an. Der Standardwert ist 1.
  5. (Optional) Geben Sie auf der rechten Seite des Fensters Entitäten gemäß dem Abschnitt Entitäten einer Beobachtungsliste hinzufügen an. Sie können hier die folgenden Entitätstypen hinzufügen:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klicken Sie auf Beobachtungsliste erstellen.

Beobachtungsliste anpinnen

  1. Klicken Sie auf Display bearbeiten.
  2. Klicken Sie auf das Kästchen neben der Beobachtungsliste, die Sie anpinnen möchten.
  3. Klicken Sie auf Speichern.

Beobachtungsliste loslösen

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie loslösen möchten, und wählen Sie more_vert aus.
  2. Klicken Sie auf Aus Anzeige entfernen.

Beobachtungsliste bearbeiten

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol more_vert .
  2. Klicken Sie auf Beobachtungsliste bearbeiten.

Beobachtungsliste löschen

  1. Wählen Sie im Dashboard Merklisten die Beobachtungsliste aus, die Sie löschen möchten, und klicken Sie auf more_vert .
  2. Klicken Sie auf Beobachtungsliste löschen.

Entitäten einer Beobachtungsliste hinzufügen

Wenn Sie einer Beobachtungsliste Entitäten hinzufügen möchten, geben Sie den Entitätsnamen, den Typ und (optionale) Namespace Zeile für Zeile in einem der folgenden Formate an.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE kann eines der Folgenden sein:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE kann nur für die Asset-Entitätstypen angegeben werden:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Beispiel:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Dieses Beispiel stellt zwei Entitäten dar, die in die Beobachtungsliste aufgenommen wurden, eine Asset-IP-Adresse 205.148.5.0 und einen Hostnamen website.com im Namespace chronicle. Eine Beobachtungsliste kann bis zu 10.000 Entitäten enthalten.

Entitäten aus einer Beobachtungsliste entfernen

Wenn Sie Entitäten aus einer Beobachtungsliste entfernen möchten, entfernen Sie die Linien, die die zu entfernenden Entitäten darstellen, und klicken Sie auf Speichern.

Einstellungen für Risikobewertungen ändern

Auf der Seite Risikobewertung für Entitäten können Sie definieren, wie Risikobewertungen für Entitäten, Benachrichtigungen und Erkennungen berechnet werden. Auf dieser Seite können Sie die Risikoberechnung an die individuellen Anforderungen Ihrer Suche anpassen.

Auf der Seite Risikobewertung für Entitäten gibt es drei Felder, die Sie aktualisieren können:

So ändern Sie diese Einstellungen:

  1. Wählen Sie in der Navigationsleiste Einstellungen > Risikobewertungen für Entitäten aus.
  2. Aktualisieren Sie die Risikobewertungen entsprechend.
  3. Klicken Sie auf Speichern. Wenn Sie zur Hauptseite Risikoanalyse zurückkehren, wird oben auf dem Bildschirm eine Meldung angezeigt, die bestätigt, dass eine Änderung an der Risikobewertung für Entitäten vorgenommen wurde.
  4. Optional: Wenn Sie einen dieser Werte neu festlegen möchten, klicken Sie rechts neben dem Wert auf Zurücksetzen.

Aktualisierungen werden nur auf neue Benachrichtigungen und Erkennungen angewendet. Es kann bis zu 30 Minuten dauern, bis die Änderungen wirksam werden.

Risikobewertung für Entitäten

Die Gewichtung definiert, wie Benachrichtigungs- und Erkennungsrisikobewertungen zur Berechnung des Risikowerts von Entitäten beitragen. Für die Gewichtung muss ein Wert zwischen 0 und 1 angegeben werden.Der Standardwert ist 0,2.

Im Folgenden finden Sie einige Beispiele dafür, wie sich unterschiedliche Zahlen auf die Berechnung des Risikobewertungen für Entitäten auswirken:

  • Risikobewertung für Entitäten 0. Die Rohrisikobewertung ist der maximale Erkennungsrisikowert unter allen Erkennungen für die Entität.
  • Risikobewertung für Entitäten 1. Die Rohrisikobewertung ist die Summe aller Erkennungsrisikobewertungen für die Entität.
  • Risikobewertung für Entitäten 0.5. Der Risikowert weist der Erkennung die vollständige Gewichtung mit maximaler Risikobewertung für die Entität und der Hälfte der Gewichtung für alle anderen Erkennungen zu.

Standardrisikobewertung für Erkennungen

Mit Standardrisikobewertung für Erkennungen können Sie einen Standardwert für Erkennungsrisikobewertungen zuweisen. Risikobewertungen für Erkennungen werden verwendet, um Risikobewertungen für Entitäten zu berechnen. Risikobewertungen für Erkennungen werden beim Schreiben einer Regel definiert. Wenn in der Regel keine Risikobewertung definiert ist, wird der Standardwert verwendet. Die Standardbewertung liegt zwischen 15 und der Risikobewertungsbereich zwischen 0 und 100.

Standardrisikobewertung für Benachrichtigungen

Ähnlich wie bei Standardrisikobewertung für Erkennungen können Sie mit diesem Feld einen Standardwert für Benachrichtigungsrisikobewertungen zuweisen. Wenn in der Regel keine Risikobewertung definiert ist, wird der Standardwert von 40 verwendet. Der Bereich der Risikobewertung liegt zwischen 0 und 1.000.

Informationen zum Definieren der Risikobewertung in einer Regel finden Sie unter Syntax des Ergebnisabschnitts.

Geschlossener Alarm-Koeffizient

Der Koeffizient der geschlossenen Benachrichtigung ändert den Risikowert von Benachrichtigungen, die von Analysten als geschlossen gekennzeichnet wurden. Er ist ein Gleitkommamodifikator zwischen 0 und 1 (jeweils einschließlich). Der Standardwert ist 1.0. Das bedeutet, dass alle offenen und geschlossenen Benachrichtigungen ihre ursprünglichen Punktzahlen beibehalten. Wenn der Koeffizient der geschlossenen Benachrichtigung einen Wert von 0,0 hat, erhalten alle geschlossenen Benachrichtigungen einen Risikowert von 0 und erhöhen nicht mehr den Risikowert der Gesamtentität.