Diese Seite wurde von der Cloud Translation API übersetzt.

Risikobewertung – Übersicht

Unterstützt in:

Google SecOps SIEM

Risikobewertungen werden in Google Security Operations verwendet. Die Definition und Funktion dieser Bewertungen variieren je nach verwendeter Funktion.

Risk Analytics ist mit Enterprise- und Enterprise Plus-Lizenzen oder als Add-on zu einer eigenständigen Google SecOps SIEM-Lizenz verfügbar.

Entitäten in Risikoanalysen

In diesem Abschnitt werden die Konzepte „Entitäten“, „Risiko“ und „Ergebnisse“ definiert, wie sie im Dashboard für Risikoanalysen dargestellt werden.

Entitäten: Kontextbezogene Darstellung eines Assets oder Nutzers in Ihrer Umgebung. Alle mit Entitäten verknüpften Ereignisse liefern Kontext dazu, wie riskant die Entität ist. Weitere Informationen finden Sie unter Logische Objekte: Ereignis und Entität.
Risikoberechnungszeitraum: Hiermit können Sie den Zeitraum für das Dashboard ändern, um Daten aus verschiedenen Zeiträumen zu sehen. So können Sie beispielsweise Brute-Force-Anmeldeversuche aufdecken, indem Sie ein kürzeres Zeitfenster verwenden, oder längerfristige schädliche Aktivitäten untersuchen, indem Sie ein längeres Zeitfenster festlegen.
Normalisiert: Normalisierte Werte werden zwischen 1 und 1.000 festgelegt, um Entitäten ohne Werte von Entitäten mit Erkennungen innerhalb des Risikozeitraums zu unterscheiden.
Normalisierter Trend: Änderung der normalisierten Risikobewertung für die Entität seit dem vorherigen Zeitraum.
Basis: Basisbewertungen werden berechnet, indem die Risikobewertungen für Ergebnisse (Benachrichtigungen und Erkennungen) für eine Entität während des Risikofensters mit Gewichtung addiert werden. Wenn der Wert „1“ ist, hat die Gewichtung keine Auswirkungen. Weitere Informationen finden Sie unter Entitätsrisikowert.
Änderung der Basis: Änderung der Risikobewertung der Basisentität seit dem vorherigen Fenster.
Im Fenster zuerst/zuletzt gesehen: Zeitstempel, der angibt, wann die Entität im im Risikofenster angegebenen Zeitraum zuerst oder zuletzt in einem Ergebnis (Benachrichtigung oder Erkennung) gefunden wurde.

Ergebnisse in Risikoanalysen

Die folgenden Begriffe werden auf der Seite „Entitätsprofil“ verwendet. Klicken Sie in der Tabelle „Entitäten“ auf eine Entität, um sie auf der Seite „Entitätsprofil“ zu öffnen.

Ergebnis: Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), in denen diese Entität für den Zeitraum im Risikofenster vorkommt.
Schweregrad: Der Schweregrad wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.
Priorität: Die Priorität wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.
Risikobewertung: Risikobewertungen werden von der Quelle festgelegt, wenn ein Ergebnis erstellt wird. Wenn die Risikobewertungen nicht festgelegt sind, wird die Standardrisikobewertung für Benachrichtigungen und Erkennungen verwendet. Die Standardrisikobewertung für Benachrichtigungen ist 40. Die Standardrisikobewertung für Erkennungen ist 15.

Berechnung der Risikobewertung

Die Berechnung des Risikowerts für jede Entität basiert auf dem Risikowert der Ergebnisse und wird anhand einer Reihe von Parametern, die Sie angeben können, und einer Reihe von Parametern, die von Google Security Operations verwaltet werden, angepasst. Die Parameter, die Sie verwalten können, finden Sie in der Navigationsleiste unter Einstellungen > Risikobewertungen für Rechtssubjekte:

Koeffizient für geschlossene Benachrichtigungen: Wenn die Sicherheitsanalysten eine Benachrichtigung als geschlossen markieren, wird sie mit diesem Gleitkomma-Modifikator multipliziert. Der Bereich liegt zwischen 0 und 1. Der Standardwert ist 1.
Standardrisikobewertung für Erkennungen: Geben Sie die Risikobewertung für Erkennungen in der Regelmaschine an. Der Bereich liegt zwischen 0 und 1.000. Der Standardwert ist 15.

Die folgenden Parameter werden vom Google-Sicherheitsteam festgelegt:

Änderung der Risikobewertung mit TTL: Die Risikobewertung für Basisentitäten wird für den Zeitraum mit einem Multiplikationsfaktor geändert.
Änderung der Risikobewertung ohne TTL: Die Risikobewertung für Erkennungen wird mit einem Multiplikator multipliziert.

Die folgenden Formeln werden zum Berechnen des Risikowerts und des normalisierten Risikowerts verwendet:

Berechnung der Risikobewertung: (Risikobewertung der Basisentität) = (maximale Risikobewertung für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse))
Normalisierter Risikowert: Die Risikobewertungen der Basisentitäten werden für alle Entitäten normalisiert. Der Risikowert für Basisentitäten verwendet die Min-Max-Normalisierung und reicht von 1 bis 1.000. Entitäten mit Nullrisiko sind nicht enthalten.

Beispiel: Berechnung der Risikobewertung

Im Folgenden wird die vollständige Abfolge beschrieben, wie eine Risikoerkennungsbewertung für eine Entität berechnet wird:

Eingabe: Die Erkennungen werden nach Indikator gruppiert.
(Optional) Koeffizient für geschlossene Benachrichtigungen: Wenn die Risikobewertung für eine geschlossene Benachrichtigung gilt, wird sie mit dem Koeffizienten für geschlossene Benachrichtigungen multipliziert.
(Optional) Standardrisikobewertung ändern: Wenn sie nicht explizit in einer Regel festgelegt ist, wird die Standardrisikobewertung für Erkennungen angewendet. Die Standardrisikobewertungen für Erkennungen mit oder ohne Benachrichtigung können in den Einstellungen für Risikobewertungen für Entitäten geändert werden.
Berechnung der Risikobewertung: Der Gewichtungsfaktor wird mit der Summe aller Erkennungen (mit Ausnahme der maximalen Risikobewertung für Erkennungen) multipliziert und dann der maximalen Risikobewertung für Erkennungen hinzugefügt. Dieser Wert entspricht dem Rohrisikowert des Rechtssubjekts.
Gewicht der Änderung: Der Rohwert der Risikobewertung für Entitäten wird mit dem Gewicht der Änderung multipliziert. Diese Änderung ist ein einmaliger Vorgang, sofern keine TTL festgelegt ist. Dieser Wert ist die Risikobewertung der Basisentität.
Gewicht der Beobachtungsliste: Wenn eine Entität Teil einer Beobachtungsliste ist, wird die Gewichtung der Beobachtungsliste zur Risikobewertung für die Erkennung hinzugefügt.
Normalisierter Risikowert: Der Risikowert der Basisentität wird mithilfe der Min-Max-Normalisierung für alle Entitäten normalisiert.

Einstellungen für Risikobewertungen

Auf der Seite Risikobewertungen für Entitäten können Sie festlegen, wie Risikobewertungen für Entitäten, Benachrichtigungen und Erkennungen berechnet werden. Sie können eine Gewichtung auf Berechnungen von Risikobewertungen für Entitäten anwenden und Standardrisikobewertungen für Benachrichtigungen und Erkennungen festlegen. Änderungen gelten nur für neue Benachrichtigungen und Erkennungen. Es kann bis zu 30 Minuten dauern, bis sie wirksam werden.

Gewichtung der Risikobewertung für Entitäten: Mit der Gewichtung wird festgelegt, wie die Risikobewertungen für Benachrichtigungen und Erkennungen in die Berechnung der Risikobewertung für Entitäten einfließen. Die Gewichtung ist ein Wert zwischen 0 und 1. Die Formel für die Risikobewertung der Basisentität ist so definiert:

Risikowert für Basisentität = (höchste Risikobewertung für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse))
Standardrisikobewertungen für Benachrichtigungen: Geben Sie die Standardrisikobewertung für Benachrichtigungen auf der Seite Einstellungen an. Der Standardwert ist 40. Sie können die Risikobewertungen für einzelne Benachrichtigungen in den Regeln selbst ändern. Dadurch werden alle auf der Seite Einstellungen konfigurierten Standardeinstellungen überschrieben.
Standardrisikobewertungen für Erkennungen: Geben Sie die Standardrisikobewertung für Erkennungen auf der Seite Einstellungen an. Der Standardwert ist 15. Sie können die einzelnen Risikobewertungen für die Erkennung in den Regeln selbst ändern. Dadurch werden alle Standardeinstellungen überschrieben, die auf der Seite Einstellungen konfiguriert wurden.