위험 분석 FAQ

위험 분석이란 무엇인가요?

위험 분석 대시보드를 사용하면 기업 내 항목에서 발생하는 비정상적인 행동과 잠재적 위험을 식별할 수 있습니다. 이 보고서는 행동 분석과 관심목록이라는 두 가지 주요 섹션으로 구성됩니다.

위험 분석에 액세스할 수 있는 사용자

관련 권한이 있는 사용자만 위험 분석에 액세스할 수 있습니다. 조직에서 데이터 RBAC를 사용하는 경우 위험 분석에 액세스하려면 전역 범위가 있어야 합니다.

행동 분석이란 무엇인가요?

행동 분석 섹션에는 Google Security Operations 엔티티 위험 점수를 기준으로 엔티티가 나열됩니다. 여기에는 Google SecOps 항목 위험 모델링을 기반으로 위험한 항목을 최상위 수준에서 보여주는 요약 측정항목 섹션이 포함되어 있으며 위험 점수가 가장 높은 항목 10,000개까지 추적합니다. 항목 표는 시간 경과에 따른 항목 위험을 추적하여 위험 점수를 보완하고 조사 컨텍스트를 제공합니다.

위험 계산 기간은 어떻게 작동하나요?

위험 계산 기간을 사용하면 사용자가 대시보드의 기간을 변경하여 여러 기간에 걸쳐 데이터를 분석할 수 있습니다. 24시간과 같은 짧은 기간은 무차별 대입 공격 로그인 시도와 같은 이벤트를 발견하는 데 도움이 되며, 7일과 같은 긴 기간은 장기적인 악의적 활동을 조사하는 데 도움이 됩니다.

이전 위험도 점수를 볼 수 있나요?

예, 특정 날짜와 시간을 선택하여 이전 위험 점수를 볼 수 있습니다. 선택한 24시간 또는 7일 기간에 대해 계산된 위험이 표시됩니다.

정규화된 위험 점수란 무엇인가요?

정규화 점수는 감지된 항목과 감지되지 않은 항목을 구분하기 위해 1~1,000으로 설정됩니다.

기본 위험 점수란 무엇인가요?

기본 점수는 가중치가 적용된 위험 기간 중 항목에 대해 발견 항목 (알림 및 감지) 전반의 위험 점수를 추가하여 계산됩니다.

위험 점수에 가중치가 어떻게 적용되나요?

위험 점수 가중치는 알림 및 감지 위험 점수가 항목 위험 점수 계산에 미치는 정도를 정의하며, 값은 0~1입니다. 가중치가 1인 경우 위험 점수에 영향을 미치지 않습니다. 기본 가중치 값은 0.2이며 설정에서 수정할 수 있습니다.

기준 항목 위험 점수는 어떻게 계산되나요?

기본 항목 위험 점수의 수식은 (발견 항목의 최대 위험 점수) + (가중치 * (발견 항목의 나머지 위험 점수 합계))입니다.

알림 및 감지의 기본 위험 점수는 무엇인가요?

알림의 기본 위험 점수는 40이고 감지의 기본 위험 점수는 15입니다. 이러한 기본값은 설정 또는 규칙 내에서 수정할 수 있습니다.

종료된 알림 계수란 무엇인가요?

보안 분석가가 알림을 종료됨으로 표시하면 위험 점수에 0~1 범위의 계수가 곱해집니다 .

TTL을 사용한 위험 점수 수정과 TTL을 사용하지 않은 위험 점수 수정은 어떻게 작동하나요?

기본 항목 위험 점수는 시간 범위에 대한 곱셈 계수로 수정되고 감지 위험 점수는 곱셈 계수로 수정됩니다. 이러한 요소는 Google SecOps에서 지정합니다.

정규화된 위험 점수는 어떻게 계산되나요?

기본 항목 위험 점수는 최소-최대 정규화를 사용하여 정규화되며 1~1,000 사이의 범위입니다. 위험 점수가 0인 항목은 제외됩니다.

엔티티 분석 페이지란 무엇인가요?

엔티티 표에서 엔티티 이름을 클릭하면 엔티티 분석 페이지로 이동하며, 여기에는 이벤트 범위 창, 발견 항목 타임라인, 세부적인 발견 항목 표가 표시됩니다. 이벤트 범위 창을 사용하면 최대 90일까지 필터링할 수 있습니다.

위험 분석을 사용할 수 있는 몇 가지 예는 무엇인가요?

위험 분석을 사용하여 데이터 다운로드량이 많은 경우, 의심스러운 로그인 시도 실패 횟수 또는 멀웨어를 나타낼 수 있는 대화상자 메시지를 식별할 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.