リスク分析ダッシュボード

[リスク分析] ダッシュボードでは、リスクベースの視点から環境を確認できます。エンティティ リスクの傾向を可視化すると、異常な動作を特定し、エンティティが企業にもたらす潜在的なリスクを理解できます。

[リスク分析] ダッシュボードには、リスクのあるエンティティとリスク要因の詳細が一覧表示されます。データ RBAC を使用するシステムでは、グローバル スコープを持つユーザーのみがリスク分析にアクセスできます。詳細については、データ RBAC がリスク分析に与える影響をご覧ください。

[リスク分析] ダッシュボードを表示する手順は次のとおりです。

1. ナビゲーション バーで、[検出] をクリックします。
2. [検出] から [リスク分析] をクリックします。

エンティティ数、リスクスコア、エンティティ テーブル

[リスク分析] ダッシュボードには、選択したフィルタに基づいて、企業内で最もリスクの高い上位 10,000 個のエンティティのみが表示されます。ダッシュボード内のすべてのグラフとテーブルは、このエンティティ セットのみを表します。

左上の [エンティティの合計数] グラフには、企業で追跡されている、リスクが 0 より大きいエンティティの数が表示されます。リスクスコアが 0 のエンティティは引き続き追跡されますが、このグラフには表示されません。合計数は、アセットとユーザーに分類されます。

エンティティの詳細については、論理オブジェクト: イベントとエンティティをご覧ください。リスクスコアの計算方法の詳細については、リスクスコアの計算をご覧ください。

[エンティティ] テーブルには、エンティティ リスクスコアに関連する複数の列があります。

列	値
エンティティ名	エンティティの名前
エンティティ タイプ	エンティティのタイプ（アセットまたはユーザー）。
正規化	正規化: 正規化されたスコアはエンティティ間で計算され、最小 / 最大正規化を使用して 0～1,000 の間でスケーリングされます。
正規化された変化	前のリスク計算ウィンドウからの正規化されたエンティティ リスクスコアの変化。
正規化されたトレンド	以前のリスク ウィンドウと比較した、正規化されたリスクスコアの変化の増減率。
ベース	ベースエンティティのリスクスコアは、最大の検出リスクスコアと、残りの検出リスクスコアの合計に重み付けを掛けた値に等しくなります。 重み付けのデフォルトは 0.2 です。設定で変更できます。
基本スコアの変化	前のリスク計算ウィンドウからのベースエンティティのリスクスコアの変化。
基本スコアの傾向	前のリスク ウィンドウと比較した、ベースのリスクスコアの変化の増減率。
検出数	リスク計算期間中にこのエンティティを含む検出結果（アラートと検出）の数。
期間中に初めて検出	リスク計算期間中に、エンティティが検出結果（アラートまたは検出）で最初に確認された時刻のタイムスタンプ。
期間中に最後に検出	リスク計算期間中に、エンティティが検出結果（アラートまたは検出）で最後に確認された時刻のタイムスタンプ。

リスク計算期間を調整する

エンティティによってもたらされる計算されたリスクは、検査期間によって異なります。右上の [リスク計算期間] の設定を変更すると（[24 時間の期間] または [7 日間の期間] のいずれかを選択）、ここに表示される計算されたリスクスコアが変更されます。検出する攻撃の種類に応じて、この設定を変更することをおすすめします。たとえば、[リスク計算期間] を [24 時間] に設定すると、ブルート フォース攻撃がより明確になります。期間が長いほど、長期的な攻撃を発見できます。

エンティティ リスクスコアは、選択したリスク計算ウィンドウに応じて変化します。エンティティ リスクスコアは、リスク期間中に生成された検出結果に基づいて計算されます。

クイック フィルタで検索を絞り込む

クイック フィルタを使用すると、特定のニーズに関連する検索結果のみを表示して、検索結果を絞り込むことができます。

[リスク分析] ダッシュボードでクイック フィルタを使用するには、次の手順に従います。

1. [エンティティ] テーブルの上にある [ filter_alt ] をクリックします。[フィルタ] ウィンドウが表示されます。
2. いずれかの列を選択します。
   • 結果の数。
   • 正規化されたエンティティ リスクスコア
   • 正規化されたエンティティ リスクの傾向
   • 型
3. [表示のみ] または [除外] を選択します。
4. 値を選択します（複数の値を選択して範囲を拡大することもできます）。
   • 検出結果の数: 0～1,000 より大きい値。
   • 正規化されたエンティティ リスクスコア: 0～1,000 の値。
   • 正規化されたエンティティ リスクの傾向: -99% 未満から 199% 超までの割合。
   • タイプ: [アセット] または [ユーザー] を選択します。
5. （省略可）フィルタを追加するには、[フィルタを追加] をクリックして、ステップ 2 のこのプロセスを繰り返します。
6. フィルタの設定が完了したら、[適用] をクリックします。

たとえば、[正規化されたエンティティ リスクの傾向] を選択して [表示のみ] を選択し、[>199%] をオンにすると、199% を超える正規化されたエンティティ リスクの変化が表示されます。

エンティティ ページを使用してエンティティを調査する

エンティティを調査する手順は次のとおりです。

1. [エンティティ名] 列をスクロールするか、検索バーを使用してエンティティを検索します。
2. 調査するエンティティをクリックします。

エンティティ ページが開きます。このページでは、1 つのエンティティに関連付けられた検出結果のみを調査することができます。上部の [検出結果のタイムライン] グラフは、エンティティのリスクスコアと検出結果の推移を示します。このグラフは事前に計算された指標で構成され、時系列の傾向が折れ線グラフで表示されます。 異常値は折れ線グラフで急上昇として確認できます。グラフの下には [検出結果] テーブルが表示されます。ここには、選択したエンティティが関連付けられているイベントとアクティビティが表示されます。

右下には折りたたみ可能な [エンティティの詳細を表示] パネルがあり、選択したエンティティに関する重要な情報の要約が表示されます。選択したエンティティの詳細な検査を完了するには、[エンティティの詳細を表示] をクリックして、エンティティがアセットかユーザーかに応じて、[アセット] ビューまたは [ユーザー] でエンティティを表示します。詳細については、アセット エンティティの調査またはユーザーの調査をご覧ください。

エンティティ分析を使用してエンティティを調査する

エンティティ分析により、SOC アナリストと脅威ハンターは、エンティティのベースライン プロファイル、異常、コンテキストの拡張など、エンティティの動作を詳細に把握できます。

エンティティ ページから、[検出結果のタイムライン] で最大 90 日までの期間を選択し、[選択した期間の分析を表示] をクリックします。サイドバーが開き、選択した期間内のこのエンティティに関連付けられた分析が表示されます。各分析には、期間内のすべての分析値の集計が表示されます。検出された場合、分析には関連するアラートと検出のリストが含まれます。このリストは、さらに表示対応するアラートまたは検出ビューをクリックするとさらに確認できます。詳細については、アセットの調査をご覧ください。

次のエンティティ分析が提供されます。

• アラートイベント名カウント
• 認証試行の成功
• 認証試行の失敗
• 認証試行の合計回数
• 送信 DNS バイト数
• DNS クエリの失敗
• DNS クエリの成功
• DNS クエリの合計数
• ファイル実行の成功
• ファイル実行の失敗
• ファイル実行の合計数
• HTTP クエリの成功
• HTTP クエリの失敗
• HTTP クエリの合計数
• 受信ネットワークバイト数
• 送信ネットワークバイト数
• 合計ネットワークバイト数
• ワークスペースの認証試行の合計回数
• ワークスペースのメール送信数の合計
• ワークスペースのネットワーク バイトの送信
• ワークスペースのネットワークの合計バイト数
• ワークスペースの合計変更アクション数
• ワークスペースの合計ダウンロード アクション数

エンティティ リスクスコアを変更する

外部情報やイベントがエンティティの真のリスクに影響を及ぼす場合は、エンティティ リスクスコアを更新できます。

たとえば、レッドチーム演習（ペネトレーション テストなど）を完了したばかりの従業員のリスクスコアを一時的に下げることができます。これにより、アナリストは、その従業員のリスクが上昇した理由を調査する時間を節約できます。また、訴訟に関わる従業員のリスクスコアを一時的に引き上げることもできます。

1. [リスク分析] ページの [エンティティ] テーブルで、行の右端の列にポインタを合わせます。ディスプレイを右にスクロールしなければならない場合があります。[more_vert] をクリックし、

   [エンティティ リスクスコアの更新] を選択します。

2. [エンティティ リスクスコアの更新] ダイアログで、次の値を構成します。

   • 乗算係数: 乗算係数 0.0～100.0 でエンティティのリスクスコアを増減できます。たとえば、エンティティのリスクを 2 倍にする新しい証拠を発見した場合は、乗算係数を 50 に更新して、エンティティの真のリスク要因を反映します。
   • 期間: 乗算係数が適用される期間。[現在] または [1 日] から [14 日] までの日数を選択できます。[現在] を選択すると、現在のリスク計算期間のエンティティ リスクスコアに乗算係数が適用されます。既存のアラートと検出のみが計算に含まれます。選択した期間が終了すると、エンティティ リスクスコアの更新は停止し、リスクスコアは通常の状態に戻ります。
   • 理由: 他のユーザーに、この更新が行われた理由に関する追加のコンテキストを提供できます。次のオプションから選択します。新しいエビデンス、誤ったリスクスコア、変更されたリスク プロファイル、コンプライアンス要件、または Other）

すでに実行済みの変更を行おうとする場合（たとえば、エンティティの乗算係数を 25% に更新したいが、別のチームメンバーがすでにその変更を行っているなど）、変更を行った人や日時に関する情報を含め、変更がすでに反映されていることを示すダイアログが表示されます。

エンティティの詳細でリスクスコアの更新を表示する

エンティティのすべてのリスクスコアの更新は、[エンティティ プロファイル] ページで確認できます。

1. リスクスコアの更新履歴を表示するエンティティをクリックして、[エンティティ プロファイル] ページを開きます。
2. [イベントのタイムライン グラフ] では、エンティティのリスクスコアが変更されるたびに、[リスクスコアの変更] ラベルが白色のテキストで表示されます。
3. テキストにポインタを置くと、日付、ユーザー、変更理由を含むダイアログが表示されます。

ウォッチリスト

[ウォッチリスト] ページでは、企業全体の特定のエンティティをモニタリングできます。

[ウォッチリスト] タブに移動する

1. 左側のナビゲーション バーで [検出] をクリックします。
2. [検出] から [リスク分析] をクリックします。
3. [ウォッチリスト] タブをクリックします。

ウォッチリストを追加する

Google Security Operations アカウントにフィードを追加する手順は次のとおりです。最大 200 個のウォッチリストを設定できます。

1. [ウォッチリストを作成] をクリックします。
2. [ウォッチリストの名前] を指定します。
3. （省略可）[説明] を指定します。
4. （省略可）[乗算係数] を 0～100 の範囲で指定します。デフォルト値は 1 です。
5. （省略可）[ウォッチリストにエンティティを追加] セクションの下にあるウィンドウの右側でエンティティを指定します。ここに次のエンティティ タイプを追加できます。
   • ASSET_IP_ADDRESS
   • EMAIL
   • EMPLOYEE_ID
   • HOSTNAME
   • MAC
   • PRODUCT_OBJECT_ID
   • PRODUCT_SPECIFIC_ID
   • USERNAME
   • WINDOWS_SID
6. [ウォッチリストを作成] をクリックします。

ウォッチリストを固定する

1. [ディスプレイを編集] をクリックします。
2. 固定するウォッチリストの横にあるチェックボックスをオンにします。
3. [保存] をクリックします。

ウォッチリストの固定を解除する

1. [ウォッチリスト] ダッシュボードで、固定を解除するウォッチリストを選択し、[ more_vert ] を選択します。
2. [表示から削除] をクリックします。

ウォッチリストを編集する

1. [ウォッチリスト] ダッシュボードで、編集するウォッチリストを選択し、[ more_vert ] アイコンをクリックします。
2. [ウォッチリストを編集] をクリックします。

ウォッチリストを削除する

1. [ウォッチリスト] ダッシュボードで、削除するウォッチリストを選択し、[ more_vert ] をクリックします。
2. [ウォッチリストを削除] をクリックします。

エンティティをウォッチリストに追加する

エンティティをウォッチリストに追加するには、次のいずれかの形式を使用して、エンティティ名、タイプ、名前空間（省略可）を 1 行ずつ指定します。

• NAME,TYPE

• NAME,TYPE,NAMESPACE

  TYPE は、以下のいずれかになります。

  • ASSET_IP_ADDRESS
  • EMAIL
  • EMPLOYEE_ID
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID
  • USERNAME
  • WINDOWS_SID

  NAMESPACE は、アセット エンティティ タイプに対してのみ指定できます。

  • ASSET_IP_ADDRESS
  • HOSTNAME
  • MAC
  • PRODUCT_OBJECT_ID
  • PRODUCT_SPECIFIC_ID

例:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

この例は、ウォッチリストに追加された 2 つのエンティティ（chronicle 名前空間のアセット IP アドレス 205.148.5.0 とホスト名 website.com）を表しています。ウォッチリストには最大 10,000 のエンティティを含めることができます。

ウォッチリストからエンティティを削除する

ウォッチリストからエンティティを削除するには、削除するエンティティを表す行を削除して、[保存] をクリックします。

リスクスコアの設定を変更する

[エンティティ リスクスコア] ページでは、エンティティ、アラート、検出のリスクスコアの計算方法を定義できます。このページでは、検索の固有のニーズに基づいてリスクの計算方法を調整できます。

[エンティティ リスクスコア] ページには、更新可能なフィールドが 3 つあります。

• エンティティ リスクスコアの重み付け
• デフォルトのアラート リスクスコア
• デフォルトの検出リスクスコア

これらの設定を変更する手順は次のとおりです。

1. ナビゲーション バーで、[設定] > [エンティティリスクスコア] を選択します。
2. これに合わせてリスクスコアを更新します。
3. [保存] をクリックします。[リスク分析] のメインページに戻ると、[エンティティ リスクスコア] に変更が行われたことを確認するメッセージが画面の上部に表示されます。
4. （省略可）これらの値をリセットするには、値の右側にある [リセット] をクリックします。

更新は、新しいアラートと検出にのみ適用されます。変更が有効になるまで最大で 30 分かかることがあります。

エンティティ リスクスコアの重み付け

重み付けでは、アラートと検出のリスクスコアがエンティティ リスクスコアの計算にどのように影響するかを定義します。重み付けは 0～1 の値で、デフォルトは 0.2 です。

さまざまな数値がエンティティ リスクスコアの計算にどのように影響するかの例を次に示します。

• エンティティ リスクスコアの重み付け 0。未加工のリスクスコアは、エンティティのすべての検出で最大の検出リスクスコアです。
• エンティティ リスクスコアの重み付け 1。未加工のリスクスコアは、エンティティに対するすべての検出リスクスコアの合計です。
• エンティティ リスクスコアの重み付け 0.5。リスクスコアは、エンティティの最大リスクスコアで検出に完全な重みを、他のすべての検出には半分の重みを設定します。

検出のデフォルトのリスクスコア

[検出のデフォルトのリスクスコア] では、検出リスクスコアのデフォルト値を割り当てることができます。検出のリスクスコアは、エンティティ リスクスコアの計算に使用されます。検出のリスクスコアは、ルールの作成時に定義されます。ルールでリスクスコアが定義されていない場合は、デフォルト値が使用されます。デフォルトのスコアは 15、リスクスコアの範囲は 0～100 です。

アラートのデフォルトのリスクスコア

検出のデフォルトのリスクスコアと同様に、このフィールドではアラートのリスクスコアにデフォルト値を割り当てることができます。ルールにリスクスコアが定義されていない場合は、デフォルトの 40 が使用されます。リスクスコアの範囲は 0～1,000 です。

ルールでリスクスコアを定義する方法については、結果セクションの構文をご覧ください。

[終了] アラート係数

[終了] アラート係数は、アナリストによって [終了] とマークされたアラートのリスクスコアを変更します。0～1 の範囲内の数値（0 と 1 を含む）の浮動小数点修飾子です。デフォルトは 1.0 です。つまり、[対応待ち] アラートと [終了] アラートはすべて元のスコアを保持します。[終了] アラート係数が 0.0 の場合、[終了] アラートはすべてリスクスコア 0 を受け取り、エンティティ全体のリスクスコアを増加させなくなります。