Questa pagina è stata tradotta dall'API Cloud Translation.

Domande frequenti sull'analisi dei rischi

Supportato in:

Google SecOps SIEM

Che cos'è Risk Analytics?

La dashboard di Risk Analytics ti aiuta a identificare comportamenti insoliti e potenziali rischi rappresentati dalle persone all'interno di un'azienda. È composto da due sezioni principali: analisi del comportamento e liste di titoli.

Chi può accedere a Risk Analytics?

Solo gli utenti con i privilegi pertinenti possono accedere a Risk Analytics. Se la tua organizzazione utilizza il modello RBAC dei dati, devi avere ambito globale per accedere all'analisi dei rischi.

Che cos'è l'analisi comportamentale?

La sezione Dati sul comportamento elenca le entità in base ai relativi punteggi di rischio dell'entità di Google SecOps. Include una sezione Metriche di riepilogo che fornisce una visualizzazione di primo livello delle entità rischiose in base alla definizione del rischio delle entità di Google SecOps e monitora fino a 10.000 entità con i punteggi di rischio più elevati. La tabella Entità integra il punteggio di rischio monitorando il rischio di un'entità nel tempo e fornisce il contesto per le indagini.

Come funziona la finestra di calcolo del rischio?

La finestra di calcolo del rischio consente agli utenti di modificare l'intervallo di tempo della dashboard, consentendo l'analisi dei dati in periodi diversi. Periodi di tempo più brevi, come 24 ore, consentono di rilevare eventi come i tentativi di accesso con forza bruta, mentre periodi di tempo più lunghi, come 7 giorni, consentono di esaminare attività dannose a lungo termine.

Posso visualizzare i punteggi di rischio storici?

Sì, puoi visualizzare i punteggi di rischio storici selezionando una data e un'ora specifiche, che mostrano i rischi calcolati per la finestra di 24 ore o 7 giorni selezionata.

Che cos'è un punteggio di rischio normalizzato?

I punteggi normalizzati sono impostati tra 1 e 1000 per distinguere le entità con i rilevamenti da quelle senza.

Che cosa sono i punteggi di rischio di base?

I punteggi di base vengono calcolati aggiungendo i punteggi di rischio dei risultati (avvisi e rilevamenti) per un'entità durante la finestra di rischio, con l'applicazione della ponderazione.

Come viene applicata la ponderazione ai punteggi di rischio?

La ponderazione del punteggio di rischio definisce il contributo dei punteggi di rischio di avvisi e rilevamenti ai calcoli del punteggio di rischio dell'entità, con valori che vanno da 0 a 1, dove una ponderazione di 1 non ha alcun impatto sul punteggio di rischio. Il valore predefinito della ponderazione è 0.2 e può essere modificato in Impostazioni.

Come viene calcolato il punteggio di rischio di base dell'entità?

La formula per il punteggio di rischio di base dell'entità è: (punteggio di rischio massimo per il risultato) + (ponderazione * (somma dei punteggi di rischio rimanenti per i risultati)).

Quali sono i punteggi di rischio predefiniti per avvisi e rilevamenti?

Il punteggio di rischio predefinito per gli avvisi è 40 e per i rilevamenti è 15. Puoi modificare questi valori predefiniti in Impostazioni o all'interno delle regole.

Che cos'è il coefficiente di avviso chiuso?

Se un analista della sicurezza contrassegna un avviso come chiuso, il relativo punteggio di rischio viene moltiplicato per un coefficiente compreso tra 0 e 1 .

Come funzionano le modifiche al punteggio di rischio con TTL e senza TTL?

Il punteggio di rischio di base dell'entità viene modificato da un fattore di moltiplicazione per l'intervallo di tempo e il punteggio di rischio dei rilevamenti viene modificato con un fattore di moltiplicazione. Questi fattori vengono specificati da Google SecOps.

Come vengono calcolati i punteggi di rischio normalizzati?

I punteggi di rischio di base delle entità vengono normalizzati utilizzando la normalizzazione min-max e vanno da 1 a 1000. Le entità con un punteggio di rischio pari a 0 vengono escluse.

Che cos'è la pagina Analisi delle entità?

Se fai clic sul nome di un'entità nella tabella delle entità, viene visualizzata la pagina Analisi delle entità, che mostra una finestra Intervallo eventi, una Sequenza temporale dei risultati e una tabella dettagliata dei risultati. La finestra Intervallo di eventi consente di filtrare fino a 90 giorni.

Quali sono alcuni esempi di utilizzo di Dati e analisi dei rischi?

Puoi utilizzare Risk Analytics per identificare volumi elevati di download di dati, numeri sospetti di tentativi di accesso non riusciti o messaggi di dialogo che potrebbero indicare la presenza di malware.