Dasbor Analisis Risiko

Dasbor Risk Analytics memungkinkan Anda melihat lingkungan melalui sudut pandang berbasis risiko. Memvisualisasikan tren risiko entity membantu Anda mengidentifikasi perilaku yang tidak biasa dan memahami potensi risiko yang ditimbulkan entity kepada perusahaan Anda.

Dasbor Risk Analytics mencantumkan entitas yang berisiko dan detail faktor risiko.

Untuk membuka dasbor Analisis Risiko, ikuti langkah-langkah berikut:

  1. Di menu navigasi, klik Deteksi.
  2. Dari Deteksi, klik Risk Analytics.

Jumlah entitas, skor risiko, dan tabel entitas

Grafik Total jumlah entity di kiri atas menampilkan jumlah entity yang sedang dilacak di perusahaan Anda dengan risiko lebih dari 0. Entitas dengan skor risiko 0 masih dilacak, tetapi tidak akan ditampilkan dalam grafik ini. Jumlah total dibagi antara Aset dan Pengguna.

Untuk mengetahui informasi selengkapnya tentang entity, lihat Objek logis: Peristiwa dan Entity. Untuk informasi selengkapnya tentang cara penghitungan skor risiko, lihat Penghitungan skor risiko.

Dalam tabel Entity, ada beberapa kolom yang terkait dengan skor risiko entity:

Kolom Nilai
Nama entitas Nama entitas.
Jenis entitas Jenis entitas (Aset atau Pengguna).
Normalized Skor yang dinormalkan dihitung di seluruh entitas, diskalakan antara 0-1.000 menggunakan normalisasi min-maks.
Perubahan yang dinormalkan Perubahan skor risiko entitas yang dinormalisasi sejak periode penghitungan risiko sebelumnya.
Tren yang dinormalkan Peningkatan atau penurunan persentase perubahan skor risiko yang dinormalisasi dibandingkan dengan periode risiko sebelumnya.
Base Skor risiko entitas dasar sama dengan skor risiko temuan maksimum ditambah waktu pembobotan jumlah skor risiko temuan yang tersisa.

Default pembobotan adalah 0,2 dan dapat diubah di Setelan.
Perubahan dasar Perubahan skor risiko entity dasar sejak periode penghitungan risiko sebelumnya.
Tren dasar Peningkatan atau penurunan persentase perubahan skor risiko dasar dibandingkan dengan periode risiko sebelumnya.
Jumlah temuan Jumlah temuan (pemberitahuan dan deteksi) yang menyertakan entitas ini selama periode penghitungan risiko.
Pertama terlihat di jendela Stempel waktu saat entitas pertama kali terlihat dalam temuan (pemberitahuan atau deteksi) selama periode penghitungan risiko.
Terakhir terlihat di jendela Stempel waktu saat entitas terakhir terlihat dalam temuan (pemberitahuan atau deteksi) selama periode penghitungan risiko.

Menyesuaikan periode penghitungan risiko

Risiko terhitung yang ditimbulkan oleh suatu entitas berubah, bergantung pada periode waktu pemeriksaan. Mengubah setelan Periode Kalkulasi Risiko di kanan atas (pilih Jendela 24 Jam atau Jendela 7 Hari) akan mengubah skor risiko yang dihitung yang ditampilkan di sini. Anda mungkin ingin mengubah pengaturan ini, tergantung pada jenis serangan yang Anda cari. Misalnya, serangan brute force akan lebih terlihat dengan menetapkan Jendela Penghitungan Risiko ke 24 Jam. Jangka waktu yang lebih lama memungkinkan Anda mendeteksi serangan jangka panjang.

Skor risiko entitas berubah bergantung pada periode penghitungan risiko yang dipilih. Skor risiko entity dihitung berdasarkan temuan yang dihasilkan selama periode risiko.

Mempersempit penelusuran dengan filter cepat

Filter cepat memungkinkan Anda mempersempit penelusuran dengan hanya menampilkan hasil yang relevan dengan kebutuhan spesifik Anda.

Untuk menggunakan Filter cepat di dasbor Analisis Risiko, ikuti langkah-langkah berikut:

  1. Klik filter_alt di atas tabel Entity. Jendela Filters akan muncul.
  2. Pilih salah satu kolom:
    • Jumlah temuan
    • Skor risiko entity normal
    • Tren risiko entity yang dinormalisasi
    • Type
  3. Pilih Hanya tampilkan atau Filter.
  4. Pilih sebuah nilai (Anda dapat memilih beberapa nilai untuk memperluas rentangnya):
    • Jumlah temuan: Nilai dari 0 hingga lebih dari 1.000.
    • Skor risiko entity normal: Nilai dari 0 hingga 1.000.
    • Tren risiko entity normal: Persentase dari kurang dari -99% hingga lebih besar dari 199%.
    • Jenis: Pilih Aset atau Pengguna.
  5. (Opsional) Untuk menambahkan filter lain, klik Add filter, lalu ulangi proses ini dari langkah 2.
  6. Setelah Anda selesai mengonfigurasi filter, klik Terapkan.

Misalnya, jika Anda memilih Normalized entity risk tren, pilih Show only, dan centang >199%, hanya entitas dengan perubahan risiko entity yang dinormalisasi lebih besar dari 199% yang akan ditampilkan.

Menyelidiki entitas menggunakan halaman entitas

Untuk menyelidiki entitas, ikuti langkah-langkah berikut:

  1. Scroll kolom Nama Entitas atau gunakan kotak penelusuran untuk menemukan entity.
  2. Klik entitas yang ingin Anda selidiki.

Tindakan ini akan membuka halaman entitas. Halaman ini memungkinkan Anda memeriksa temuan yang terkait dengan satu entitas tersebut. Diagram Linimasa Findings di bagian atas skor risiko entity dan temuan dari waktu ke waktu. Diagram ini terdiri dari metrik prakomputasi yang ditampilkan dalam format grafik garis untuk menampilkan tren dari waktu ke waktu. Anomali dapat dilihat sebagai lonjakan pada grafik garis. Di bawah diagram terdapat tabel Temuan, yang menampilkan peristiwa dan aktivitas yang terkait dengan entity yang dipilih.

Terdapat panel Lihat detail entity yang dapat diciutkan di kanan bawah, yang berisi ringkasan detail penting tentang entity yang dipilih. Untuk menyelesaikan pemeriksaan mendetail terhadap entitas yang dipilih, klik Lihat detail entitas untuk melihat entitas tersebut dalam tampilan Asset atau tampilan User bergantung pada apakah entitas tersebut masing-masing merupakan aset atau pengguna. Untuk mengetahui informasi selengkapnya, baca artikel Menyelidiki entitas aset atau Menyelidiki pengguna.

Menyelidiki entity menggunakan analisis entity

Analisis entity memberi analis SOC dan pemburu ancaman gambaran mendetail tentang perilaku entity, termasuk profil dasar pengukuran, anomali, dan pengayaan kontekstual entity tersebut.

Dari halaman entitas, pilih rentang waktu hingga 90 hari di Linimasa Finding, lalu klik Lihat analisis untuk pilihan. Tindakan ini akan membuka sidebar yang menampilkan analisis terkait entity ini dalam rentang waktu yang dipilih. Setiap analisis menampilkan agregat semua nilai analisis dalam rentang waktu. Ketika terdeteksi, analisis akan menyertakan daftar pemberitahuan dan deteksi terkait yang dapat diperiksa lebih lanjut dengan mengklik Lihat lainnya untuk membuka tampilan Alerts atau Deteksi yang sesuai. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki pemberitahuan.

Berikut adalah analisis entity yang disediakan:

  • Jumlah Nama Peristiwa Notifikasi
  • Upaya Autentikasi Berhasil
  • Upaya Autentikasi Gagal
  • Total Upaya Autentikasi
  • Byte DNS Keluar
  • Kueri DNS Gagal
  • Kueri DNS Berhasil
  • Total Kueri DNS
  • Eksekusi File Berhasil
  • Eksekusi File Gagal
  • Total Eksekusi File
  • Kueri HTTP Berhasil
  • Kueri HTTP Gagal
  • Total Kueri HTTP
  • Byte Jaringan Masuk
  • Byte Jaringan Keluar
  • Total Byte Jaringan
  • Total Upaya Autentikasi Workspace
  • Total Email Terkirim Workspace
  • Byte Jaringan Workspace Keluar
  • Total Byte Jaringan Workspace
  • Tindakan Perubahan Total Workspace
  • Tindakan Download Total Workspace

Mengubah skor risiko entitas

Jika informasi atau peristiwa luar memengaruhi risiko sebenarnya terhadap suatu entitas, Anda dapat memperbarui skor risiko entitas.

Misalnya, Anda dapat menurunkan sementara skor risiko karyawan yang baru saja menyelesaikan latihan tim merah (seperti uji penetrasi) sehingga analis tidak perlu membuang waktu untuk mencari tahu mengapa karyawan tersebut mengalami peningkatan risiko. Anda juga dapat meningkatkan skor risiko seorang karyawan yang terlibat dalam kasus pengadilan untuk sementara.

  1. Dari tabel Entity di halaman Analisis Risiko, arahkan pointer ke kolom paling kanan baris. Anda mungkin perlu men-scroll layar ke kanan. Klik more_vert

    lalu pilih Perbarui skor risiko entitas.

  2. Dari dialog Update entity risk Score, konfigurasikan nilai untuk berikut:

    • Faktor perkalian: Memungkinkan Anda meningkatkan atau mengurangi skor risiko entity dengan faktor pengali 0,0 - 100,0. Misalnya, jika Anda telah menemukan bukti baru tentang entity yang membuat entity dua kali lebih berisiko, perbarui faktor perkalian menjadi 50 untuk mencerminkan faktor risiko entitas yang sebenarnya.
    • Jangka waktu: Periode waktu saat faktor perkalian diterapkan. Anda dapat memilih Sekarang atau antara 1 hari dan 14 hari. Saat jangka waktu yang dipilih berakhir, pembaruan pada skor risiko entity akan berhenti. Setelah jangka waktu ini, skor risiko akan kembali normal.
    • Alasan: Memungkinkan Anda memberikan konteks tambahan untuk pengguna lain tentang alasan perubahan ini dilakukan. Pilih dari opsi berikut: Bukti baru, Skor risiko salah, Profil risiko yang diubah, Persyaratan kepatuhan, atau Lainnya.

Jika Anda mencoba melakukan perubahan yang telah dilakukan (misalnya, Anda ingin memperbarui faktor perkalian entitas ke 25%, tetapi anggota tim lain telah melakukan perubahan tersebut), dialog akan muncul yang menyatakan bahwa perubahan telah dilakukan, termasuk informasi tentang siapa yang melakukan perubahan dan kapan.

Lihat info terbaru skor risiko dalam detail entity

Anda dapat melihat semua pembaruan skor risiko untuk entitas di halaman Profil entitas.

  1. Klik entitas yang histori pembaruan skor risikonya ingin Anda lihat untuk membuka halaman Profil entitas.
  2. Dalam Diagram linimasa peristiwa, setiap kali seseorang mengubah skor risiko entitas ditunjukkan dengan label Modifikasi Skor Risiko dalam teks putih.
  3. Tahan kursor ke teks untuk menampilkan dialog yang berisi tanggal, pengguna, dan alasan perubahan.

Daftar pantauan

Halaman Daftar pantauan memungkinkan Anda memantau entity tertentu dari seluruh perusahaan.

  1. Di menu navigasi kiri, klik Deteksi.
  2. Dari Deteksi, klik Analisis risiko.
  3. Klik tab Daftar tontonan.

Menambahkan daftar pantauan

Untuk menambahkan daftar tontonan ke akun Chronicle, selesaikan langkah-langkah berikut. Anda dapat mengonfigurasi hingga 200 daftar tontonan.

  1. Klik Buat daftar tontonan.
  2. Tentukan Nama daftar tontonan.
  3. (Opsional) Tentukan Deskripsi.
  4. (Opsional) Tentukan Faktor pengalian antara 0-100. Defaultnya adalah 1.
  5. (Opsional) Tentukan entity di sisi kanan jendela dengan mengikuti bagian Menambahkan entity ke dalam daftar tontonan. Anda dapat menambahkan jenis entity berikut di sini:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klik Buat daftar tontonan.

Menyematkan daftar tontonan

  1. Klik Edit tampilan.
  2. Klik kotak centang di samping daftar tontonan yang ingin disematkan.
  3. Klik Save.

Melepaskan sematan dari daftar tontonan

  1. Dari dasbor Daftar tontonan, pilih daftar tontonan yang ingin dilepaskan dan pilih more_vert .
  2. Klik Hapus dari tampilan.

Mengedit daftar pantauan

  1. Dari dasbor Daftar pantauan, pilih daftar tontonan yang ingin Anda edit, lalu klik ikon more_vert .
  2. Klik Edit daftar tontonan.

Menghapus daftar pantauan

  1. Dari dasbor Daftar pantauan, pilih daftar tontonan yang ingin Anda hapus, lalu klik more_vert .
  2. Klik Hapus daftar tontonan.

Menambahkan entitas ke daftar pantauan

Untuk menambahkan entity ke daftar tontonan, tentukan nama entity, jenis, dan namespace (opsional) baris demi baris menggunakan salah satu format berikut.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE dapat berupa salah satu dari hal berikut:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE hanya dapat ditentukan untuk jenis entitas aset:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Contoh:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Contoh ini mewakili dua entitas yang ditambahkan ke daftar tontonan, yaitu alamat IP aset 205.148.5.0 dan nama host website.com pada namespace chronicle. Anda dapat memiliki hingga 10.000 entity dalam daftar pantauan.

Menghapus entitas dari daftar tontonan

Untuk menghapus entitas dari daftar tontonan, hapus baris yang mewakili entitas yang ingin Anda hapus, lalu klik Simpan.

Mengubah setelan skor risiko

Halaman Skor Risiko Entitas memungkinkan Anda menentukan cara skor risiko dihitung untuk entitas, pemberitahuan, dan deteksi. Halaman ini memungkinkan Anda menyesuaikan cara risiko dihitung berdasarkan kebutuhan unik penelusuran Anda.

Ada tiga kolom di halaman Skor Risiko Entitas yang dapat Anda perbarui:

Untuk mengubah salah satu setelan ini, ikuti langkah-langkah berikut:

  1. Dari menu navigasi, pilih Settings > Entity Risk Score.
  2. Perbarui skor risiko sebagaimana mestinya.
  3. Klik Save. Saat kembali ke halaman utama Analisis Risiko, Anda akan melihat pesan di bagian atas layar yang mengonfirmasi bahwa telah dilakukan perubahan pada Skor Risiko Entitas.
  4. (Opsional) Untuk menetapkan ulang salah satu nilai ini, klik Reset di sebelah kanan nilai.

Pembaruan hanya akan diterapkan pada notifikasi dan deteksi baru. Diperlukan waktu hingga 30 menit agar perubahan diterapkan.

Pembobotan skor risiko entitas

Pembobotan menentukan bagaimana skor risiko peringatan dan deteksi berkontribusi pada penghitungan skor risiko entity. Bobot nilai adalah 0-1 dan default-nya adalah 0,2.

Berikut beberapa contoh pengaruh angka yang berbeda terhadap penghitungan skor risiko entity:

  • Pembobotan skor risiko entitas 0. Skor risiko mentah adalah skor risiko deteksi maksimum di antara semua deteksi untuk entity.
  • Pembobotan skor risiko entitas 1. Skor risiko mentah adalah jumlah dari semua skor risiko deteksi untuk entitas.
  • Pembobotan skor risiko entitas 0.5. Skor risiko memberikan bobot penuh pada deteksi dengan skor risiko maksimum untuk entitas dan setengah bobot untuk semua deteksi lainnya.

Skor risiko default untuk deteksi

Skor risiko default untuk deteksi memungkinkan Anda menetapkan nilai default untuk skor risiko deteksi. Skor risiko deteksi digunakan untuk menghitung skor risiko entity. Skor risiko untuk deteksi ditentukan saat aturan ditulis. Jika tidak ada skor risiko yang ditentukan dalam aturan, nilai default akan digunakan. Skor default-nya adalah 15 dan rentang skor risikonya adalah 0-100.

Skor risiko default untuk pemberitahuan

Mirip dengan Skor risiko default untuk deteksi, kolom ini memungkinkan Anda menetapkan nilai default untuk skor risiko pemberitahuan. Jika tidak ada skor risiko yang ditentukan dalam aturan, nilai default 40 akan digunakan. Rentang skor risiko adalah 0-1000.

Untuk informasi tentang cara menentukan skor risiko dalam aturan, lihat Sintaksis bagian hasil.

Koefisien Peringatan Tertutup

Koefisien pemberitahuan tertutup mengubah skor risiko pemberitahuan yang ditandai sebagai ditutup oleh analis. Ini adalah pengubah floating point antara 0 dan 1 inklusif. Defaultnya adalah 1.0, yang berarti bahwa semua pemberitahuan terbuka dan tertutup akan mempertahankan skor aslinya. Jika koefisien pemberitahuan tertutup memiliki nilai 0,0, semua pemberitahuan tertutup menerima skor risiko 0 dan tidak akan lagi meningkatkan skor risiko entitas secara keseluruhan.