Diese Seite wurde von der Cloud Translation API übersetzt.

Häufig gestellte Fragen zu Risikoanalysen

Unterstützt in:

Google SecOps SIEM

Was sind Risikoanalysen?

Im Dashboard „Risikoanalyse“ können Sie ungewöhnliches Verhalten und potenzielle Risiken erkennen, die von Entitäten innerhalb eines Unternehmens ausgehen. Sie besteht aus zwei Hauptabschnitten: Verhaltensanalyse und Beobachtungslisten.

Wer hat Zugriff auf Risikoanalysen?

Nur Nutzer mit den entsprechenden Berechtigungen können auf die Risikoanalyse zugreifen. Wenn in Ihrer Organisation die Daten-RBAC verwendet wird, benötigen Sie Zugriff auf globaler Ebene, um auf Risikoanalysen zugreifen zu können.

Was sind Verhaltensanalysen?

Im Bereich „Benutzerverhaltensanalyse“ werden Entitäten anhand ihrer Risikowerte für Entitäten von Google SecOps aufgeführt. Er enthält einen Abschnitt mit Zusammenfassungsmesswerten, der eine Übersicht über risikobehaftete Entitäten auf der Grundlage der Google SecOps-Modellierung von Entitätsrisiken bietet. Außerdem werden bis zu 10.000 Entitäten mit den höchsten Risikobewertungen erfasst. Die Tabelle „Entitäten“ ergänzt die Risikobewertung, indem sie das Risiko einer Entität im Zeitverlauf erfasst und Kontext für Untersuchungen bietet.

Wie funktioniert das Risikoberechnungszeitraum-Tool?

Im Fenster für die Risikoberechnung können Nutzer den Zeitraum für das Dashboard ändern, um Daten über verschiedene Zeiträume hinweg zu analysieren. Kürzere Zeiträume wie 24 Stunden helfen, Ereignisse wie Brute-Force-Anmeldeversuche aufzudecken. Längere Zeiträume wie 7 Tage eignen sich hingegen gut, um langfristige schädliche Aktivitäten zu untersuchen.

Kann ich mir bisherige Risikobewertungen ansehen?

Ja. Sie können sich bisherige Risikobewertungen ansehen, indem Sie ein bestimmtes Datum und eine bestimmte Uhrzeit auswählen. Daraufhin werden die Risiken angezeigt, die für das ausgewählte 24-Stunden- oder 7-Tage-Zeitraum berechnet wurden.

Was ist ein normalisierter Risikowert?

Normalisierte Bewertungen liegen zwischen 1 und 1.000,um Entitäten mit Erkennungen von solchen ohne Erkennungen zu unterscheiden.

Was sind Basisrisikobewertungen?

Basisbewertungen werden berechnet, indem die Risikobewertungen aller Ergebnisse (Benachrichtigungen und Erkennungen) für eine Entität während des Risikofensters addiert und gewichtet werden.

Wie werden Risikobewertungen gewichtet?

Mit der Gewichtung der Risikobewertung wird festgelegt, wie die Risikobewertungen für Benachrichtigungen und Erkennungen zur Berechnung der Risikobewertung für Entitäten beitragen. Die Werte reichen von 0 bis 1. Eine Gewichtung von 1 hat keinen Einfluss auf die Risikobewertung. Der Standardwert für die Gewichtung ist 0.2 und kann in den Einstellungen geändert werden.

Wie wird die Risikobewertung für Basisentitäten berechnet?

Die Formel für den Risikowert der Basisentität lautet: (Maximale Risikobewertung für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse)).

Was sind die Standardrisikobewertungen für Benachrichtigungen und Erkennungen?

Die Standardrisikobewertung für Benachrichtigungen beträgt 40 und für Erkennungen 15. Sie können diese Standardeinstellungen in den Einstellungen oder in den Regeln ändern.

Was ist der Koeffizient für geschlossene Benachrichtigungen?

Wenn ein Sicherheitsanalyst eine Benachrichtigung als geschlossen markiert, wird ihre Risikobewertung mit einem Koeffizienten multipliziert, der zwischen 0 und 1 liegt .

Wie funktionieren Änderungen des Risikofaktors mit und ohne TTL?

Die Basisrisikobewertung für Entitäten wird mit einem Multiplikationsfaktor für den Zeitraum und die Risikobewertung für Erkennungen mit einem Multiplikationsfaktor geändert. Diese Faktoren werden von Google SecOps festgelegt.

Wie werden normalisierte Risikobewertungen berechnet?

Basisentitätsrisikobewertungen werden mithilfe der Min-Max-Normalisierung normalisiert und reichen von 1 bis 1.000. Entitäten mit einer Risikobewertung von 0 werden ausgeschlossen.

Was ist die Seite „Entitätsanalysen“?

Wenn Sie in der Tabelle „Entitäten“ auf einen Entitätsnamen klicken, gelangen Sie zur Seite Entitätsanalyse. Dort sehen Sie ein Fenster für den Ereigniszeitraum, eine Zeitachse mit Ergebnissen und eine detaillierte Tabelle mit Ergebnissen. Im Fenster „Ereigniszeitraum“ können Sie bis zu 90 Tage filtern.

Was sind Beispiele für die Verwendung von Risikoanalysen?

Mithilfe von Risikoanalysen können Sie hohe Datendownloadmengen, verdächtig hohe Zahlen fehlgeschlagener Anmeldeversuche oder Dialogfelder erkennen, die auf Malware hinweisen könnten.