“风险分析”信息中心

支持以下语言:

借助风险分析信息中心,您可以从风险角度查看自己的环境。直观呈现实体风险趋势有助于您发现异常 行为,并了解相应实体给企业带来的潜在风险 企业。

风险分析信息中心列出了存在风险的实体和风险因素详细信息。 在使用数据 RBAC 的系统中,只有具有全局范围的用户才能访问风险分析。如需了解详情,请参阅数据 RBAC 对风险分析的影响

如需访问风险分析信息中心,请按以下步骤操作:

  1. 在导航栏中,点击检测
  2. 检测下,点击风险分析

实体数量、风险得分和实体表

风险分析信息中心会根据所选过滤条件,仅显示企业中风险最高的前 10,000 个实体。信息中心中的所有图表和表格仅代表这组实体。

左上角的实体总数图表会显示实体数量 风险大于 0。具有 风险得分 0 仍在跟踪中,但不会在此 图表。总数分为资产用户

如需详细了解实体,请参阅逻辑对象:事件和实体。如需详细了解风险得分的计算方式,请参阅风险得分计算

Entities 表中,有多个与实体相关的列 风险评分:
实体名称 实体名称。
实体类型 实体类型(资产或用户)。
标准化 针对各个实体计算标准化分数,使用最小-最大归一化在 0 到 1000 之间。
标准化变化 自上一个风险计算窗口以来,标准化实体风险得分的变化。
标准化趋势 与上一风险期相比,标准化风险得分的百分比变化增加或减少。
基本 基本实体风险得分等于最高发现结果风险得分加上权重与剩余发现结果风险得分总和的乘积。

加权的默认值为 0.2,可在“设置”中更改。
基本变化 基本实体风险得分自上一个风险计算窗口以来的变化。
基本趋势 与上一风险期相比,基本风险得分的变化百分比增加或减少。
发现结果数量 在风险计算窗口期内,包含此实体的发现结果(提醒和检测)数量。
在窗口期内首次出现的时间 在风险计算窗口期内,该实体首次在发现结果(提醒或检测)中出现时的时间戳。
在窗口期内最后出现的时间 在风险计算窗口期内,该实体最后在发现结果(提醒或检测)中出现时的时间戳。

调整风险计算窗口

计算出的实体带来的风险因时间段而异 。更改顶部的风险计算窗口设置 向右(选择 24 小时时间范围7 天时间范围),更改 计算的风险得分。建议你更改此设置 具体取决于您要查找的攻击类型。例如,暴力破解 将风险计算窗口设置为 24 小时。设置较长的时间范围可发现长期攻击。

实体风险得分会因所选风险计算窗口期而异。 实体风险得分是根据 风险期。

使用快捷过滤条件缩小搜索范围

利用快速过滤器,您可以只显示与以下字词相关的结果,从而缩小搜索范围: 您的具体需求。

如需在风险分析信息中心使用快速过滤器,请按以下步骤操作:

  1. 点击 filter_alt 实体表。随即会出现过滤条件窗口。
  2. 选择其中一个列:
    • 发现结果数量
    • 标准化实体风险得分
    • 标准化实体风险趋势
    • 类型
  3. 选择仅显示滤除
  4. 选择一个值(您可以选择多个值以扩大范围):
    • 发现数量:值介于 0 到 1000 以上之间。
    • 标准化实体风险得分:值介于 0 到 1000 之间。
    • 标准化实体风险趋势:低于 -99% 的百分比 高于 199%
    • 类型:选择资产用户
  5. (可选)要添加其他过滤条件,请点击添加过滤条件,然后重复此操作 从第 2 步开始的流程。
  6. 完成过滤条件的配置后,点击应用

例如,如果您选择标准化实体风险趋势,选择仅显示,然后选中大于 199%,则系统只会显示标准化实体风险变化大于 199% 的实体。

使用“实体”页面调查实体

如需调查实体,请按以下步骤操作:

  1. 滚动浏览实体名称列,或使用搜索栏查找实体。
  2. 点击要调查的实体。

这会打开“实体”页面。在该页面中,您可以仅查看与该实体相关的发现结果。顶部的发现结果时间轴图表 跟踪实体风险得分和发现结果随时间的变化情况。此图表由预计算的指标组成,以折线图的形式显示,以显示随时间推移的趋势。异常值在折线图上显示为尖峰。图表下方是 发现结果表,显示了所选实体发生了哪些事件和活动 资源。

右下角有一个可收起的查看实体详细信息面板, 包含有关所选实体的重要详细信息的摘要。如需详细检查所选实体,请点击查看实体详情,以在素材资源视图或用户视图中查看实体(具体取决于实体是素材资源还是用户)。有关详情,请参阅调查 资产实体调查用户

使用实体分析来调查实体

实体分析可让 SOC 分析师和威胁猎手详细了解实体的行为,包括实体的基准配置文件、异常情况和情境丰富信息。

从实体页面中,选择发现结果最多 90 天的时间范围 时间轴,然后点击查看分析结果。系统会打开一个边栏 此列显示的是所选实体中 时间范围。每项分析都会显示所有分析值的汇总值 特定时间范围内的数据如果检测到,分析会包含一系列相关 提醒和检测,点击查看更多即可进一步检查 打开相应的提醒检测视图。如需了解详情,请参阅调查提醒

系统提供以下实体分析:

  • 提醒事件名称计数
  • 身份验证尝试成功
  • 身份验证尝试失败
  • 身份验证尝试总次数
  • 传出的 DNS 字节数
  • DNS 查询失败
  • DNS 查询成功
  • DNS 查询总数
  • 文件执行成功
  • 文件执行失败
  • 文件执行总数
  • HTTP 查询成功
  • HTTP 查询失败
  • HTTP 查询总数
  • 入站网络字节数
  • 出站网络字节数
  • 网络字节总数
  • Workspace 身份验证尝试总次数
  • Workspace 发送的电子邮件总数
  • Workspace 网络出站字节数
  • Workspace 网络总字节数
  • 工作区总更改操作次数
  • Workspace 总下载操作次数

修改实体风险得分

当外部信息或事件影响实体的真实风险时,您可以 更新实体的风险得分。

例如,您可以暂时降低刚刚完成红队演练(例如渗透测试)的员工的风险评分,这样分析师就不必浪费时间调查该员工风险增加的原因。您还可以暂时提高卷入法庭案件的员工的风险评分。

  1. 风险分析页面的实体表格中,保留 指针悬停在行的最右侧列上。您可能需要滚动您的 位于右侧点击 more_vert

    然后选择更新实体风险得分

  2. 更新实体风险得分对话框中,配置 以下:

    • 乘法因数:提高或降低风险 乘积为 0.0 - 100.0 的实体的分数。例如,如果您发现了有关某个实体的新证据,使该实体的风险系数翻了一番,请将放大系数更新为 50,以反映该实体的真实风险系数。
    • 时间段:乘法系数为 。您可以选择立即,也可以选择 1 天14 天。 如果选择现在,放大系数将应用于实体 当前风险计算窗口的风险得分。仅限现有 提醒和检测会纳入计算。 当所选时间段结束时,对实体风险得分的更新即会停止,风险得分会恢复正常。
    • 原因:可让您为其他用户留下更多背景信息 进行此更新的原因从以下选项中进行选择:新建 证据风险得分不正确风险概况更改合规性要求其他

如果您尝试执行已经做出的更改(例如, 想要将某个实体的乘法系数更新为 25%,但另一位团队成员 已进行了该项更改),则系统会显示一个对话框,说明该更改已 包括更改者和更改时间的相关信息。

在实体详情中查看风险得分更新

您可以在实体付款资料页面查看实体的所有风险得分更新。

  1. 点击要查看其风险得分更新历史记录的实体以打开 实体个人资料页面。
  2. 事件时间轴图表中,每当有人更改实体的风险信号时,系统都会显示白色文本的风险信号修改标签。
  3. 将指针悬停在文本上即可显示一个对话框,其中会显示日期、用户和 更改的原因

监控列表

通过监控列表页面,您可以监控整个企业中的特定实体。

  1. 在左侧导航栏中,点击检测
  2. 检测中,点击风险分析
  3. 点击观看列表标签页。

添加监控列表

如需将监控列表添加到您的 Google Security Operations 账号,请完成以下 步骤。您最多可以配置 200 个观看列表。

  1. 点击创建监控列表
  2. 指定观看列表名称
  3. (可选)指定说明
  4. (可选)指定介于 0 到 100 之间的放大系数。默认值为 1.
  5. (可选)在窗口右侧的将实体添加到观察名单部分下方指定实体。您可以在此处添加以下实体类型:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. 点击创建监控列表

固定观看列表

  1. 点击修改显示设置
  2. 点击要固定的监控列表旁边的复选框。
  3. 点击保存

取消固定观看列表

  1. 观看列表信息中心内,选择要取消固定的观看列表,然后选择 more_vert
  2. 点击 Remove from display

修改监控列表

  1. 监控列表信息中心内,选择要修改的监控列表,然后 点击 more_vert 图标。
  2. 点击修改监控列表

删除监控列表

  1. 监控列表信息中心内,选择要删除的监控列表 然后点击 more_vert
  2. 点击删除观看列表

将实体添加到监控列表

如需将实体添加到监控列表,请指定实体名称、类型和 (可选)使用以下任一格式,逐行添加命名空间。

  • NAMETYPE

  • NAMETYPENAMESPACE

    TYPE 可以是下列选项之一:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    只能为以下资产实体类型指定 NAMESPACE

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

例如:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

此示例表示添加到观察名单中的两个实体:chronicle 命名空间下的资产 IP 地址 205.148.5.0 和主机名 website.com。一个监控列表中最多可以包含 10,000 个实体。

从监控列表中移除实体

如需从监控列表中移除实体,请移除代表要移除的实体的线条,然后点击保存

更改风险得分设置

实体风险得分页面中,您可以定义如何计算实体、提醒和检测的风险得分。在此页面上,您可以根据搜索的具体需求,自定义风险计算方式。

实体风险得分页面中,您可以更新以下三个字段:

要更改以上任意设置,请按以下步骤操作:

  1. 从导航栏中选择设置 >实体风险得分
  2. 相应地更新风险得分。
  3. 点击保存。返回风险分析主页面后,您 就会在屏幕顶部看到一条消息 实体风险得分
  4. (可选)要重置以上任何值,请点击右侧的重置 值。

更新仅适用于新的提醒和检测。此过程最多可能需要 30 分钟 分钟以使更改生效。

实体风险得分权重

权重定义了提醒和检测风险得分对实体风险得分计算的贡献。权重的值为 0-1,默认值为 0.2。

以下示例说明了不同数字对实体风险得分的影响 计算方式:

  • 实体风险得分加权 0。原始风险得分是实体所有检测中的最高检测风险得分。
  • 实体风险得分加权 1。原始风险得分是实体所有检测风险得分的总和。
  • 实体风险得分加权 0.5。风险评分完全加权 实体具有最高风险得分和权重减半的检测 所有其他检测。

检测的默认风险得分

通过检测的默认风险得分,您可以为以下事件分配默认值: 检测风险得分。检测风险得分用于计算实体风险 得分。检测的风险得分在编写规则时定义。如果规则中未定义风险信号,则系统会使用默认值。默认得分 为 15,风险得分范围为 0-100。

提醒的默认风险得分

检测的默认风险得分类似,您可以使用此字段为警报风险得分分配默认值。如果规则中未定义风险得分 系统将使用默认值 40风险评分范围为 0-1000。

如需了解如何在规则中定义风险得分,请参阅“结果”部分的语法

已解决提醒系数

已关闭提醒系数会修改标记为已关闭的提醒的风险得分 分析。它是介于 0 和 1 之间(包括 0 和 1)的浮点修饰符。通过 默认值为 1.0,表示所有打开和关闭的提醒均保留其原始 得分。如果关闭警报系数的值为 0.0,则所有关闭警报 则提醒的风险得分为 0,因此不会再提高 整体实体。