Cette page a été traduite par l'API Cloud Translation.

Questions fréquentes sur l'analyse des risques

Compatible avec:

Google SecOps SIEM

Qu'est-ce que l'analyse des risques ?

Le tableau de bord d'analyse des risques vous aide à identifier les comportements inhabituels et les risques potentiels posés par les entités d'une entreprise. Il se compose de deux sections principales : l'analyse du comportement et les listes de surveillance.

Qui peut accéder à l'analyse des risques ?

Seuls les utilisateurs disposant des droits appropriés peuvent accéder à Risk Analytics. Si votre organisation utilise le RBAC des données, vous devez disposer d'une portée globale pour accéder aux analyses des risques.

Qu'est-ce que l'analyse comportementale ?

La section "Analyse du comportement" liste les entités en fonction de leur score de risque de l'entité Google SecOps. Il comprend une section "Métriques récapitulatives", qui fournit une vue d'ensemble des entités à risque en fonction de la modélisation des risques des entités de Google SecOps, et suit jusqu'à 10 000 entités ayant les scores de risque les plus élevés. Le tableau "Entités" complète le score de risque en suivant l'évolution du risque d'une entité au fil du temps et en fournissant un contexte pour les investigations.

Comment fonctionne la fenêtre de calcul des risques ?

La fenêtre de calcul des risques permet aux utilisateurs de modifier la période du tableau de bord, ce qui leur permet d'analyser les données sur différentes périodes. Les périodes plus courtes, comme 24 heures, permettent de détecter des événements tels que les tentatives de connexion par force brute, tandis que les périodes plus longues, comme sept jours, permettent d'examiner les activités malveillantes à long terme.

Puis-je consulter l'historique des scores de risque ?

Oui, vous pouvez consulter l'historique des scores de risque en sélectionnant une date et une heure spécifiques. Les risques calculés pour la période de 24 heures ou de 7 jours sélectionnée s'affichent alors.

Qu'est-ce qu'un score de risque normalisé ?

Les scores normalisés sont définis entre 1 et 1 000 pour distinguer les entités avec des détections de celles sans détections.

Que sont les scores de risque de base ?

Les scores de base sont calculés en ajoutant les scores de risque des résultats (alertes et détections) d'une entité pendant la période de calcul du risque, avec une pondération appliquée.

Comment la pondération est-elle appliquée aux scores de risque ?

La pondération du score de risque définit la façon dont les scores de risque des alertes et des détections contribuent au calcul du score de risque des entités. Les valeurs varient de 0 à 1, où une pondération de 1 n'a aucun impact sur le score de risque. La valeur de pondération par défaut est 0.2 et peut être modifiée dans Paramètres.

Comment le score de risque de base de l'entité est-il calculé ?

La formule du score de risque de base de l'entité est la suivante : (score de risque maximal pour le résultat) + (pondération * (somme des scores de risque restants pour les résultats)).

Quels sont les scores de risque par défaut pour les alertes et les détections ?

Le score de risque par défaut pour les alertes est de 40 et pour les détections de 15. Vous pouvez modifier ces valeurs par défaut dans Paramètres ou dans les règles.

Qu'est-ce que le coefficient d'alerte clôturée ?

Si un analyste de sécurité marque une alerte comme clôturée, son score de risque est multiplié par un coefficient compris entre 0 et 1 .

Comment fonctionnent les modifications du score de risque avec et sans TTL ?

Le score de risque de base de l'entité est modifié par un facteur de multiplication pour la période, et le score de risque de détection est modifié par un facteur de multiplication. Ces facteurs sont spécifiés par Google SecOps.

Comment les scores de risque normalisés sont-ils calculés ?

Les scores de risque de base de l'entité sont normalisés à l'aide de la normalisation min-max et varient de 1 à 1 000. Les entités dont le score de risque est nul sont exclues.

Qu'est-ce que la page "Analyse des entités" ?

Cliquez sur le nom d'une entité dans le tableau "Entités" pour accéder à la page Analyse des entités, qui affiche une fenêtre de plage d'événements, une chronologie des résultats et un tableau détaillé des résultats. La période de suivi des événements permet de filtrer les données sur une période maximale de 90 jours.

Quels sont quelques exemples d'utilisation de l'analyse des risques ?

Vous pouvez utiliser l'analyse des risques pour identifier les volumes de téléchargement de données élevés, les tentatives de connexion infructueuses suspectes ou les messages de boîte de dialogue pouvant indiquer la présence d'un logiciel malveillant.