Esta página foi traduzida pela API Cloud Translation.

Perguntas frequentes sobre a análise de dados de risco

Compatível com:

Google SecOps SIEM

O que é a Análise de dados de risco?

O Painel de Análise de Risco ajuda a identificar comportamentos incomuns e possíveis riscos causados por entidades em uma empresa. Ele consiste em duas seções principais: análise comportamental e listas de observação.

Quem pode acessar a Análise de dados de risco?

Somente usuários com os privilégios relevantes podem acessar a Análise de risco. Se sua organização usa o RBAC de dados, é necessário ter escopo global para acessar a Análise de Risco.

O que é a Análise comportamental?

A seção "Análise comportamental" lista entidades com base nas pontuações de risco da entidade do Google SecOps. Ela inclui uma seção de métricas resumidas, que fornece uma visão geral das entidades de risco com base no modelo de risco de entidade do Google SecOps e rastreia até 10.000 entidades com as maiores pontuações de risco. A tabela "Entidades" complementa a pontuação de risco rastreando o risco de uma entidade ao longo do tempo e fornece contexto para investigações.

Como funciona a janela de cálculo de risco?

A janela de cálculo de risco permite que os usuários mudem o período do painel, permitindo a análise de dados em diferentes períodos. Períodos mais curtos, como 24 horas, ajudam a descobrir eventos como tentativas de login de força bruta, enquanto períodos mais longos, como 7 dias, ajudam a examinar atividades maliciosas de longo prazo.

Posso conferir as pontuações de risco históricas?

Sim, é possível conferir as pontuações de risco históricas selecionando uma data e hora específicas, que mostram os riscos calculados para a janela de 24 horas ou 7 dias selecionada.

O que é uma pontuação de risco normalizada?

As pontuações normalizadas são definidas entre 1 e 1.000 para distinguir entidades com detecções das que não têm.

O que são pontuações de risco básicas?

As pontuações básicas são calculadas somando as pontuações de risco de todas as descobertas (alertas e detecções) de uma entidade durante a janela de risco, com ponderação aplicada.

Como a ponderação é aplicada às pontuações de risco?

A ponderação da pontuação de risco define como as pontuações de risco de alerta e de detecção contribuem para os cálculos da pontuação de risco da entidade, com valores que variam de 0 a 1, em que uma ponderação de 1 não tem impacto na pontuação de risco. O valor de ponderação padrão é 0.2 e pode ser modificado em Configurações.

Como é calculada a pontuação de risco básica da entidade?

A fórmula da pontuação de risco da entidade básica é: (Pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas)).

O que são as pontuações de risco padrão para alertas e detecções?

A pontuação de risco padrão para alertas é 40, e para detecções é 15. É possível modificar esses padrões nas Configurações ou nas regras.

O que é o coeficiente de alerta fechado?

Se um analista de segurança marcar um alerta como fechado, a pontuação de risco dele será multiplicada por um coeficiente que varia de 0 a 1 .

Como funcionam as modificações da Pontuação de risco com e sem TTL?

A pontuação de risco básica da entidade é modificada por um fator de multiplicação para o período, e a pontuação de risco da detecção é modificada com um fator de multiplicação. Esses fatores são especificados pelo Google SecOps.

Como as pontuações de risco normalizadas são calculadas?

As pontuações de risco da entidade de base são normalizadas usando a normalização mínimo-máximo e variam de 1 a 1.000. As entidades com pontuação de risco 0 são excluídas.

O que é a página "Análise de entidades"?

Clicar no nome de uma entidade na tabela "Entidades" leva à página Análise de entidades, que mostra uma janela de intervalo de eventos, uma linha do tempo de descobertas e uma tabela detalhada de descobertas. A janela de período de eventos permite filtrar até 90 dias.

Quais são alguns exemplos de como a Análise de risco pode ser usada?

Você pode usar a Análise de risco para identificar volumes altos de download de dados, números suspeitos de tentativas de login com falha ou mensagens de caixa de diálogo que podem indicar malware.