风险分析常见问题解答

什么是风险分析？

“风险分析”信息中心可帮助您识别企业内实体带来的异常行为和潜在风险。该页面包含两个主要部分：行为分析和观察名单。

哪些人可以访问风险分析？

只有拥有相关权限的用户才能访问风险分析。如果贵组织使用数据 RBAC，您需要拥有全局范围才能访问风险分析。

什么是行为分析？

“行为分析”部分会根据 Google SecOps 实体风险得分列出实体。该页面包含“摘要指标”部分，可根据 Google SecOps 实体风险建模，提供风险实体的顶层视图，并跟踪风险得分最高的 1 万个实体。“实体”表通过跟踪实体风险随时间的变化来补充风险得分，并为调查提供背景信息。

风险计算窗口如何运作？

借助风险计算期，用户可以更改信息中心的时间范围，从而分析不同时间段的数据。较短的时间范围（例如 24 小时）有助于发现暴力破解登录尝试等事件，而较长的时间范围（例如 7 天）有助于检查长期的恶意活动。

我可以查看历史风险评分吗？

可以。您可以选择特定日期和时间来查看历史风险得分，系统会显示为所选 24 小时或 7 天窗口期计算的风险。

什么是标准化风险得分？

归一化得分设在 1 到 1,000 之间，以区分检测到实体的实体与未检测到实体的实体。

什么是基本风险得分？

基本得分是通过对实体在风险窗口期内的所有发现结果（提醒和检测）的风险得分进行加权求和而得出的。

如何对风险得分应用权重？

风险得分权重用于定义提醒和检测风险得分对实体风险得分计算的贡献程度，值介于 0 到 1 之间，其中权重为 1 对风险得分没有影响。默认加权值为 0.2，可在设置中修改。

如何计算基本实体风险得分？

基本实体风险得分的计算公式为：（发现结果的最高风险得分）+（加权值 * [发现结果的其余风险得分总和]）。

提醒和检测的默认风险得分是多少？

提醒的默认风险得分为 40，检测的默认风险得分为 15。您可以在设置中或规则中修改这些默认值。

什么是已解决提醒系数？

如果安全分析师将提醒标记为已解决，系统会将其风险得分乘以一个介于 0 到 1 之间的系数。

启用和不启用 TTL 时，风险信号修改的运作方式如何？

基本实体风险得分会按时间段的放大系数进行修改，检测风险得分会按放大系数进行修改。这些因素由 Google SecOps 指定。

如何计算标准化风险得分？

基本实体风险得分使用最小-最大标准化方法进行标准化，范围为 1 到 1,000。系统会排除风险得分为 0 的实体。

什么是“实体分析”页面？

点击“实体”表格中的实体名称会进入实体分析页面，其中会显示“事件范围”窗口、“发现结果时间轴”和详细的“发现结果”表格。事件范围窗口最多可过滤 90 天的数据。

能否举一些风险分析的使用示例？

您可以使用风险分析功能来识别数据下载量过高、登录失败尝试次数可疑或可能表明存在恶意软件的对话框消息。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。