Visão geral da pontuação de risco

Compatível com:

As pontuações de risco são usadas em todas as operações de segurança do Google. A definição e a função dessas pontuações variam de acordo com o recurso que você está usando.

A Análise de risco está disponível com licenças Enterprise e Enterprise Plus ou como um complemento de uma licença autônoma do SIEM do Google SecOps.

Entidades na Análise de dados de risco

Esta seção define os conceitos de entidades, risco e descobertas conforme apresentados no Painel de Análise de Risco.

  • Entidades: representação contextual de um recurso ou usuário no ambiente. Todos os eventos associados a entidades fornecem contexto sobre o quão arriscada a entidade é. Para mais informações, consulte Objetos lógicos: evento e entidade.

  • Janela de cálculo de risco: permite mudar o período do painel, o que permite analisar dados em diferentes períodos. Por exemplo, é possível descobrir tentativas de login de força bruta usando a janela de tempo mais curta ou examinar atividades maliciosas de longo prazo definindo a janela de tempo mais longa.

  • Normalizada: as pontuações normalizadas são definidas entre 1 e 1.000 para distinguir as entidades sem pontuações das entidades que têm detecções dentro da janela de risco.

  • Tendência normalizada: mudança na pontuação de risco normalizada da entidade desde a janela anterior.

  • Base: as pontuações de base são calculadas somando as pontuações de risco de descobertas (alertas e detecções) de uma entidade durante a janela de risco com ponderação aplicada. Se o valor da ponderação for 1, ela não terá impacto. Para mais informações, consulte pontuação de risco de entidade.

  • Alteração de base: mudança na pontuação de risco da entidade de base desde a janela anterior.

  • Primeira/última vez na janela: carimbo de data/hora correspondente à primeira ou última vez em que a entidade apareceu em uma descoberta (alerta ou detecção) para o período especificado na janela de risco.

Descobertas na Análise de dados de risco

Os termos a seguir são usados na página de perfil da entidade. Clique em uma entidade na tabela de entidades para abrir na página de perfil.

  • Descoberta: número de descobertas (alertas e detecções) que incluem essa entidade no período da janela de risco.

  • Gravidade: a gravidade é definida pela origem quando uma descoberta é criada.

  • Prioridade: é definida pela origem quando uma descoberta é criada.

  • Pontuação de risco: as pontuações de risco são definidas pela origem quando uma descoberta é criada. Se as pontuações de risco não forem definidas, a pontuação de risco padrão para alertas e detecções será usada. A pontuação de risco padrão para alertas é 40. A pontuação de risco padrão para detecções é 15.

Cálculo da pontuação de risco

O cálculo da pontuação de risco de cada entidade é baseado na pontuação de risco das verificações e é modificado com base em um conjunto de parâmetros que você pode especificar e em um conjunto de parâmetros controlados pelo Google Security Operations. Os parâmetros que você pode controlar são acessados na barra de navegação clicando em Settings > Entity risk scores:

  • Coeficiente de alerta fechado: se os analistas de segurança marcarem um alerta como fechado, ele será multiplicado por esse modificador de ponto flutuante. O intervalo é 0 a 1. O valor padrão é 1.

  • Pontuação de risco de detecção padrão: especifique a pontuação de risco para detecções no mecanismo de regras. O intervalo é de 0 a 1.000. O valor padrão é 15.

Os parâmetros a seguir são especificados pelas Operações de segurança do Google:

  • Modificação da pontuação de risco com TTL: a pontuação de risco básica da entidade é modificada por um fator de multiplicação para o período.

  • Modificação da pontuação de risco sem TTL: a pontuação de risco de detecção é modificada com um fator multiplicador.

Confira a seguir as fórmulas usadas para calcular a pontuação de risco e a pontuação de risco normalizada:

  • Cálculo da pontuação de risco: (pontuação de risco básica da entidade) = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))

  • Pontuação de risco normalizada: as pontuações de risco básicas da entidade são normalizadas em todas as entidades. A pontuação de risco da entidade básica usa a normalização mínimo-máximo e varia de 1 a 1.000. As entidades com risco zero não são incluídas.

Exemplo: cálculo da pontuação de risco

Confira a seguir a sequência completa de como uma pontuação de detecção de risco é calculada para uma entidade:

  1. Entrada: as detecções são agrupadas por indicador.
  2. (Opcional) Coeficiente de alerta fechado: se a pontuação de risco de detecção for para um alerta fechado, ela será multiplicada pelo coeficiente de alerta fechado.
  3. (Opcional) Modificação da pontuação de risco padrão Se não for definido explicitamente em uma regra, a pontuação de risco de detecção padrão será aplicada. As pontuações de risco de detecção com ou sem alerta padrão podem ser alteradas nas configurações de pontuações de risco da entidade.
  4. Cálculo da pontuação de risco: o fator de ponderação é multiplicado pela soma de todas as detecções (exceto a pontuação de risco de detecção máxima) e, em seguida, é adicionado à pontuação de risco de detecção máxima. Esse valor representa a pontuação de risco da entidade bruta.
  5. Peso da modificação: a pontuação de risco da entidade bruta é multiplicada pelo peso da modificação. Essa modificação é uma operação única, a menos que um TTL seja definido. Esse valor é a pontuação de risco básica da entidade.
  6. Peso da lista de interesses: se uma entidade faz parte de uma lista de interesses, o peso dela é adicionado à pontuação de risco de detecção.
  7. Pontuação de risco normalizada: a pontuação de risco básica da entidade é normalizada em todas as entidades usando a normalização mínimo-máximo.

Configurações da pontuação de risco

Na página Pontuações de risco da entidade, você pode definir como as pontuações de risco são calculadas para entidades, alertas e detecções. É possível aplicar ponderação nos cálculos da pontuação de risco da entidade e definir o alerta e a detecção padrão dessas pontuações. As mudanças valem somente para detecções e alertas novos e podem levar até 30 minutos para serem aplicadas.

  • Ponderação da pontuação de risco da entidade: a ponderação define como as pontuações de risco de alerta e detecção são consideradas nos cálculos da pontuação de risco da entidade. O peso é um valor de 0 a 1. A fórmula da pontuação de risco básica da entidade é definida da seguinte maneira:

    Pontuação de risco básica da entidade = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))

  • Pontuações de risco padrão para alertas: especifique a pontuação de risco padrão do alerta na página Configurações. O padrão é 40. É possível modificar as pontuações de risco de alertas individuais nas próprias regras. Elas substituem todos os padrões configurados na página Configurações.

  • Pontuações de risco padrão para detecções: especifique a pontuação de risco de detecção padrão na página Configurações. O padrão é 15. É possível modificar as pontuações de risco de detecção individuais nas próprias regras. Elas substituem todos os padrões configurados na página Configurações.