リスク分析に関するよくある質問

リスク分析とは

リスク分析ダッシュボードは、組織内のエンティティによって生じる異常な動作や潜在的なリスクを特定するのに役立ちます。行動分析とウォッチリストの 2 つのメイン セクションで構成されています。

リスク分析にアクセスできるのは誰ですか？

リスク分析にアクセスできるのは、関連する権限を持つユーザーのみです。組織でデータ RBAC を使用している場合は、リスク分析にアクセスするためにグローバル スコープが必要です。

行動分析とは

[行動分析] セクションには、Google SecOps のエンティティ リスクスコアに基づいてエンティティが一覧表示されます。[概要指標] セクションには、Google SecOps エンティティ リスク モデリングに基づくリスクの高いエンティティの概要ビューが表示され、リスクスコアが最も高いエンティティが最大 10,000 個追跡されます。[エンティティ] テーブルは、エンティティのリスクを経時的に追跡することでリスクスコアを補完し、調査のコンテキストを提供します。

リスク計算ウィンドウの仕組み

[リスク計算期間] では、ダッシュボードの期間を変更して、さまざまな期間のデータの分析を可能にできます。24 時間などの短い期間は、ブルート フォース ログイン試行などのイベントを検出するのに役立ちます。7 日間などの長い期間は、長期的な悪意のあるアクティビティの調査に役立ちます。

過去のリスクスコアを確認できますか？

はい。特定の日時を選択すると、過去のリスクスコアを確認できます。選択した 24 時間または 7 日間の期間に計算されたリスクが表示されます。

正規化されたリスクスコアとは

正規化されたスコアは 1 ～ 1,000 の範囲で設定され、検出されたエンティティと検出されていないエンティティを区別します。

ベースリスクスコアとは

基本スコアは、重み付けが適用されたリスク期間中にエンティティの検出結果（アラートと検出）全体のリスクスコアを加算して計算されます。

リスクスコアに重み付けが適用される仕組み

リスクスコアの重み付け: アラート リスクスコアと検出リスクスコアがエンティティ リスクスコアの計算にどのように貢献するかを定義します。値は 0～1 の範囲で指定できます。重み付けが 1 の場合、リスクスコアには影響しません。デフォルトの重み付け値は 0.2 です。この値は [設定] で変更できます。

基本エンティティ リスクスコアの計算方法

基本エンティティ リスクスコアの式は、（検出結果の最大リスクスコア）+（重み付け ×（検出結果の残りのリスクスコアの合計））です。

アラートと検出のデフォルトのリスクスコアは何ですか？

アラートのデフォルトのリスクスコアは 40、検出のデフォルトのリスクスコアは 15 です。これらのデフォルトは、[設定] またはルール内で変更できます。

終了アラート係数とは

セキュリティ アナリストがアラートを [終了] としてマークすると、リスクスコアには 0 ～ 1 の係数が乗算されます。

TTL ありと TTL なしのリスクスコアの変更の仕組み

基本エンティティ リスクスコアは期間の乗数で変更され、検出リスクスコアは乗数で変更されます。これらの要因は Google SecOps によって指定されます。

正規化されたリスクスコアはどのように計算されますか？

基本エンティティ リスクスコアは、最小～最大の正規化を使用して正規化され、1 ～ 1,000 の範囲になります。リスクスコアが 0 のエンティティは除外されます。

エンティティ分析ページとは

[エンティティ] 表でエンティティ名をクリックすると、[エンティティ分析] ページが表示されます。このページには、イベント範囲ウィンドウ、検出結果のタイムライン、詳細な検出結果の表が表示されます。[イベント期間] ウィンドウでは、最大 90 日間のフィルタリングが可能です。

リスク分析の使用例にはどのようなものがありますか？

リスク分析を使用すると、大量のデータのダウンロード、不審な数のログイン試行の失敗、マルウェアを示唆するダイアログ メッセージを特定できます。