风险分析信息中心
风险分析信息中心可让您通过基于风险的视角查看您的环境。直观呈现实体风险趋势有助于您识别异常行为,并了解实体给企业带来的潜在风险。
风险分析信息中心列出了存在风险的实体和风险因素详细信息。在使用数据 RBAC 的系统上,只有具有全局范围的用户才能访问风险分析。如需了解详情,请参阅数据 RBAC 对风险分析的影响。
如需访问风险分析信息中心,请按以下步骤操作:
- 在导航栏中,点击检测。
- 在检测中,点击风险分析。
实体数量、风险得分和实体表
风险分析信息中心根据所选过滤条件,仅显示企业中风险最高的前 10,000 个实体。信息中心中的所有图表和表格仅代表这组实体。
左上角的实体总数图表显示了您的企业中受跟踪风险大于 0 的实体的数量。风险得分为 0 的实体仍在跟踪中,但不会在此图中表示这些实体。总数分为“资产”和“用户数”。
如需详细了解实体,请参阅逻辑对象:事件和实体。 如需详细了解如何计算风险得分,请参阅风险得分计算。
在实体表中,有多个与实体风险得分相关的列:
列 | 价值 |
---|---|
实体名称 | 实体名称。 |
实体类型 | 实体类型(资产或用户)。 |
Normalized | 针对各个实体计算标准化分数,使用最小-最大归一化在 0 到 1000 之间。 |
标准化变化 | 自上一个风险计算窗口以来,标准化实体风险得分的变化。 |
标准化趋势 | 与上一风险期相比,标准化风险得分的百分比变化增加或减少。 |
基础 | 基本实体风险得分等于最高发现结果风险得分加上权重与剩余发现结果风险得分总和的乘积。 加权默认值为 0.2,可以在“设置”中更改。 |
基本变化 | 基本实体风险得分自上一个风险计算窗口以来的变化。 |
基本趋势 | 与上一风险期相比,基本风险得分的变化百分比增加或减少。 |
发现结果数量 | 风险计算时间段内包含此实体的发现结果(提醒和检测)数量。 |
首次出现时间:窗口期 | 在风险计算时间范围内,实体在发现结果(提醒或检测)中首次出现时的时间戳。 |
上次在窗口中发现 | 风险计算时间范围内实体在发现结果(提醒或检测)中最后一次出现时的时间戳。 |
调整风险计算窗口
计算出的实体带来的风险因检查的时间段而异。更改右上角的风险计算窗口设置(选择 24 小时窗口或 7 天窗口),将更改此处显示并且计算的风险得分。您可能需要根据要查找的攻击类型更改此设置。例如,通过将风险计算窗口设置为 24 小时,暴力破解攻击更加明显。设置较长的时间范围可发现长期攻击。
实体风险得分因所选风险计算窗口而异。 实体风险得分根据风险期内生成的结果计算得出。
使用快速过滤器缩小搜索范围
借助快速过滤条件,您可以仅显示与您的特定需求相关的结果,从而缩小搜索范围。
如需在风险分析信息中心使用快速过滤器,请按以下步骤操作:
- 点击实体表格上方的 filter_alt 。随即会出现过滤条件窗口。
- 选择一列:
- 发现结果数量
- 标准化实体风险得分
- 标准化实体风险趋势
- 类型
- 选择仅显示或滤除。
- 选择一个值(您可以选择多个值以扩展范围):
- 发现结果数量:从 0 到大于 1000 的值。
- 标准化实体风险得分:值介于 0 到 1000 之间。
- 标准化实体风险趋势:从小于 -99% 到大于 199% 的百分比。
- 类型:选择资产或用户。
- (可选)如需添加其他过滤条件,请点击添加过滤条件,然后从第 2 步开始重复此过程。
- 完成过滤器的配置后,点击应用。
例如,如果您选择了标准化实体风险趋势,选择仅显示,并勾选 >199%,则系统将仅显示标准化实体风险变化幅度大于 199% 的实体。
使用实体页面调查实体
如需调查实体,请按以下步骤操作:
- 滚动浏览实体名称列或使用搜索栏查找实体。
- 点击您要调查的实体。
系统随即会打开实体页面。本页面可让您仅检查与该实体关联的发现结果。顶部的“发现结果”时间轴图表会跟踪一段时间内的实体风险得分和发现结果。此图表由预先计算的指标组成,以折线图格式显示,用于显示一段时间内的趋势。异常值可以表现为折线图中的峰值。图表下方是发现结果表,其中显示了所选实体已与哪些事件和活动相关联。
右下角有一个可收起的查看实体详细信息面板,其中包含有关所选实体的重要详细信息的摘要。如需对所选实体进行详细检查,请点击查看实体详细信息,以在资产视图或用户视图中查看实体,具体取决于相应实体是资产还是用户。如需了解详情,请参阅调查资产实体或调查用户。
使用实体分析来调查实体
实体分析可为 SOC 分析师和威胁搜寻者提供实体行为的详细视图,包括实体的基准配置文件、异常和上下文扩充项。
在实体页面中,在发现结果时间轴上选择最多 90 天的时间范围,然后点击查看分析结果。系统会打开一个边栏,其中显示所选时间范围内与该实体关联的分析。每项分析都会显示该时间范围内所有分析值的汇总数据。检测到分析结果后,分析结果会包含一系列相关提醒和检测;您可以点击查看更多以打开相应的提醒或检测视图,进一步检查这些提醒和检测。如需了解详情,请参阅调查提醒。
提供以下实体分析:
- 提醒事件名称计数
- 身份验证尝试成功次数
- 身份验证尝试失败
- 身份验证尝试总次数
- 传出的 DNS 字节数
- DNS 查询失败
- DNS 查询成功
- DNS 查询总数
- 文件执行成功
- 文件执行失败
- 文件执行总数
- HTTP 查询成功
- HTTP 查询失败
- HTTP 查询总数
- 入站网络字节数
- 出站网络字节数
- 网络总字节数
- Workspace 身份验证尝试总次数
- Workspace 电子邮件总数
- Workspace 网络出站字节数
- Workspace 网络总字节数
- 工作区总更改操作次数
- Workspace 下载操作总数
修改实体风险得分
当外部信息或事件影响实体的真实风险时,您可以更新实体的风险得分。
例如,您可以暂时降低刚刚完成红队演练(例如渗透测试)的员工的风险得分,使分析师不必浪费时间调查该员工风险增加的原因。您还可以暂时提高诉讼案件涉及的员工的风险得分。
在 Risk Analytics 页面的 Entities 表中,将指针悬停在该行的最右侧列。您可能需要向右滚动显示屏。点击 more_vert
然后选择更新实体风险得分。
在更新实体风险得分对话框中,配置以下各项的值:
- 乘法系数:您可以使用放大系数为 0.0 - 100.0 来提高或降低实体的风险得分。例如,如果您发现某个实体存在导致其风险两倍的新证据,请将乘法系数更新为 50,以反映该实体的真正风险因子。
- 时间段:应用乘法系数的时间段。您可以选择现在,也可以选择 1 天到 14 天。 如果选择现在,放大系数将应用于当前风险计算时段的实体风险得分。只有现有提醒和检测会纳入计算。 当所选时间段结束时,对实体风险得分的更新会停止,并且风险得分将恢复正常。
- 原因:可让您为其他用户留下更多背景信息,让他们了解为何进行此更新。从以下选项中进行选择:新证据、风险得分不正确、风险概况、合规性要求或其他。
如果您尝试执行已经做出的更改(例如,您想将某个实体的乘法系数更新为 25%,但另一位团队成员已经做出了该更改),系统会显示一个对话框,告知您更改已经完成,其中包括更改者和更改时间的相关信息。
在实体详情中查看风险得分更新
您可以在实体资料页面中查看实体的所有风险得分更新。
- 点击要查看其风险得分更新历史记录的实体以打开实体资料页面。
- 在事件时间轴图表中,每当用户更改实体的风险得分时,都会用白色文本中的风险得分修改标签表示。
- 将指针悬停在文本上即可显示一个对话框,其中会显示更改日期、用户和原因。
监控列表
通过监控列表页面,您可以监控整个企业中的特定实体。
前往“观看列表”标签页
- 在左侧导航栏中,点击检测。
- 在检测中,点击风险分析。
- 点击观看列表标签页。
添加监控列表
如需将监控列表添加到您的 Google Security Operations 账号,请完成以下步骤。您最多可以配置 200 个监控列表。
- 点击创建监控列表。
- 指定观看列表名称。
- (可选)指定说明。
- (可选)指定 0-100 之间的乘数因数。默认值为 1。
- (可选)按照将实体添加到监控列表部分操作,在窗口右侧指定实体。您可以在此处添加以下实体类型:
ASSET_IP_ADDRESS
EMAIL
EMPLOYEE_ID
HOSTNAME
MAC
PRODUCT_OBJECT_ID
PRODUCT_SPECIFIC_ID
USERNAME
WINDOWS_SID
- 点击创建监控列表。
固定监控列表
- 点击修改显示设置。
- 点击要固定的监控列表旁边的复选框。
- 点击保存。
取消固定监控列表
- 在观看列表信息中心内,选择要取消固定的监控列表,然后选择 more_vert 。
- 点击 Remove from display。
修改监控列表
- 在监控列表信息中心内,选择要修改的监控列表,然后点击 more_vert 图标。
- 点击修改监控列表。
删除监控列表
- 在监控列表信息中心内,选择要删除的监控列表,然后点击 more_vert 。
- 点击删除监控列表。
将实体添加到监控列表
如需将实体添加到监控列表,您可以使用以下格式之一逐行指定实体名称、类型和(可选)命名空间。
NAME
,TYPE
NAME
,TYPE
,NAMESPACE
TYPE
可以是下列选项之一:ASSET_IP_ADDRESS
EMAIL
EMPLOYEE_ID
HOSTNAME
MAC
PRODUCT_OBJECT_ID
PRODUCT_SPECIFIC_ID
USERNAME
WINDOWS_SID
只能为以下资产实体类型指定
NAMESPACE
:ASSET_IP_ADDRESS
HOSTNAME
MAC
PRODUCT_OBJECT_ID
PRODUCT_SPECIFIC_ID
例如:
205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle
此示例表示添加到监控列表中的两个实体:资产 IP 地址 205.148.5.0
和 chronicle
命名空间下的主机名 website.com
。监控列表中最多可以包含 1 万个实体。
从监控列表中移除实体
如需从监控列表中移除实体,请移除代表要移除的实体的行,然后点击保存。
更改风险得分设置
实体风险得分页面可让您定义如何计算实体、提醒和检测的风险得分。通过此页面,您可以根据搜索的独特需求来定制风险计算方式。
您可以更新实体风险得分页面中的三个字段:
要更改以上任意设置,请按以下步骤操作:
- 在导航栏中,依次选择设置 > 实体风险得分。
- 相应地更新风险得分。
- 点击保存。当您返回 Risk Analytics 主页面时,您会在屏幕顶部看到一条消息,确认实体风险得分已发生更改。
- (可选)要重新设置上述任何值,请点击相应值右侧的重置。
更新只会应用于新的提醒和检测。更改最多可能需要 30 分钟才能生效。
实体风险得分加权
加权定义了警报和检测风险得分对实体风险得分计算的影响。权重的值为 0-1,默认值为 0.2。
以下示例说明了不同的数字如何影响实体风险得分计算:
- 实体风险得分加权
0
。原始风险得分是实体的所有检测中的最高检测风险得分。 - 实体风险得分加权
1
。原始风险得分是该实体的所有检测风险得分的总和。 - 实体风险得分加权
0.5
。风险得分为检测赋予最高风险得分,将实体的风险得分上限作为检测权重的一半,将所有其他检测的权重减半。
检测的默认风险得分
通过检测的默认风险得分,您可以为检测风险得分分配默认值。检测风险得分用于计算实体风险得分。检测的风险得分在编写规则时定义。如果规则中未定义风险得分,系统将使用默认值。默认分数为 15,风险分数范围为 0-100。
提醒的默认风险得分
与检测的默认风险得分类似,通过此字段,您可以为提醒风险得分分配默认值。如果规则中未定义风险得分,系统将使用默认值 40。风险评分范围为 0-1000。
如需了解如何在规则中定义风险得分,请参阅“结果”部分语法。
已关闭警报系数
关闭警报系数会修改被分析师标记为已关闭的警报的风险得分。它是介于 0 和 1 之间(包括 0 和 1)的浮点修饰符。默认值为 1.0,即所有打开和关闭的提醒都将保留其原始得分。如果关闭警报系数的值为 0.0,则所有已关闭警报的风险得分为 0,并且不会再提高整个实体的风险得分。