Ringkasan Analisis risiko

Didukung di:

Analisis Risiko digunakan untuk mengidentifikasi perilaku yang tidak biasa dan memahami potensi risiko yang ditimbulkan entitas terhadap perusahaan Anda. Pada sistem yang menggunakan RBAC data, hanya pengguna dengan cakupan global yang dapat mengakses analisis risiko. Dasbor Analisis Risiko terdiri dari bagian Analisis Perilaku, yang mencantumkan entitas berdasarkan skor risiko Entitas Google SecOps dan bagian Daftar Pantau, yang mencantumkan entitas berdasarkan penghitungan risiko perusahaan internal.

Skor risiko digunakan di seluruh SecOps Google. Definisi dan fungsi skor ini bervariasi bergantung pada fitur yang Anda gunakan.

Analisis Risiko tersedia dengan lisensi Enterprise dan Enterprise Plus, atau sebagai add-on ke lisensi mandiri SIEM Google SecOps.

Entitas, risiko, dan temuan di Analisis Risiko

Bagian ini menentukan konsep entity, risiko, dan temuan seperti yang ditampilkan di dasbor Analisis Risiko.

  • Entitas: Representasi kontekstual aset atau pengguna di lingkungan Anda. Semua peristiwa yang terkait dengan entity memberikan konteks tentang tingkat risiko entity. Untuk informasi selengkapnya, lihat Objek logis: Peristiwa dan Entity.

  • Periode penghitungan risiko: Memungkinkan Anda mengubah jangka waktu untuk dasbor, sehingga Anda dapat melihat data selama jangka waktu yang berbeda. Misalnya, Anda dapat mengungkap upaya login brute force dengan menggunakan periode waktu yang lebih singkat atau memeriksa aktivitas berbahaya jangka panjang dengan menetapkan periode waktu yang lebih lama.

  • Dinormalisasi: Skor yang dinormalisasi ditetapkan antara 1-1000 untuk membedakan entity tanpa skor dari entity yang memiliki deteksi dalam periode risiko.

  • Tren yang dinormalisasi: Perubahan skor risiko entity yang dinormalisasi sejak periode sebelumnya.

  • Dasar: Skor dasar dihitung dengan menambahkan skor risiko di seluruh temuan (pemberitahuan dan deteksi) untuk entity selama periode risiko dengan bobot yang diterapkan.

    Pembobotan menentukan kontribusi skor risiko pemberitahuan dan deteksi terhadap penghitungan skor risiko entity. Bobot dapat memiliki nilai dari 0-1.
    Jika nilai bobot adalah 1, bobot tidak akan berdampak. Semua nilai lainnya adalah persentase (misalnya, 0,5 sama dengan 50%). Nilai pembobotan default adalah .2 dan dapat diubah di Setelan. Untuk mengetahui informasi selengkapnya, lihat Pembobotan skor risiko entity.

  • Perubahan dasar: Perubahan skor risiko entity dasar sejak periode sebelumnya.

  • Pertama/terakhir kali terlihat dalam periode: Stempel waktu yang sesuai dengan saat entity pertama atau terakhir kali terlihat dalam temuan (pemberitahuan atau deteksi) selama jangka waktu yang ditentukan dalam periode risiko.

Temuan di Analisis Risiko

Istilah berikut digunakan di halaman Temuan (klik entitas di tabel entitas untuk membukanya di halaman Temuan).

  • Temuan: Jumlah temuan (pemberitahuan dan deteksi) yang menyertakan entity ini untuk jangka waktu dalam periode risiko.

  • Keparahan: Keparahan ditetapkan oleh sumber saat temuan dibuat.

  • Prioritas: Prioritas ditetapkan oleh sumber saat temuan dibuat.

  • Skor Risiko: Skor risiko ditetapkan oleh sumber saat temuan dibuat. Jika skor risiko tidak ditetapkan, skor risiko default untuk pemberitahuan dan deteksi akan digunakan. Skor risiko default untuk pemberitahuan adalah 40. Skor risiko default untuk deteksi adalah 15.

Penghitungan skor risiko

Penghitungan skor risiko untuk setiap entitas didasarkan pada skor risiko temuan dan diubah berdasarkan serangkaian parameter yang dapat Anda tentukan dan serangkaian parameter yang dikontrol oleh Google Security Operations. Parameter yang dapat Anda kontrol dapat diakses dengan membuka menu navigasi dan mengklik Setelan > Skor risiko entity:

  • Koefisien pemberitahuan tertutup: Jika analis keamanan menandai pemberitahuan sebagai tertutup, pemberitahuan tersebut akan dikalikan dengan pengubah floating point ini. Rentang nilainya adalah 0-1. Nilai default adalah 1.

  • Skor risiko deteksi default: Tentukan skor risiko untuk deteksi di mesin aturan. Rentang nilainya adalah 0-1000. Nilai defaultnya adalah 15.

Parameter berikut ditentukan oleh Google Security Operations:

  • Modifikasi skor risiko dengan TTL: Skor risiko entity dasar diubah dengan faktor pengganda untuk rentang waktu.

  • Modifikasi skor risiko tanpa TTL: Skor risiko deteksi diubah dengan faktor pengganda.

Berikut adalah formula yang digunakan untuk menghitung skor risiko dan skor risiko ternormalisasi:

  • Penghitungan skor risiko: (Skor risiko entity dasar) = (Skor risiko maksimum untuk temuan) + (Pembobotan * (Jumlah skor risiko yang tersisa untuk temuan))

  • Skor risiko yang dinormalisasi: Skor risiko entity dasar dinormalisasi di semua entity. Skor risiko entity dasar menggunakan normalisasi min-maks dan berkisar dari 1-1000. Entitas dengan risiko nol tidak disertakan.

Contoh: penghitungan skor risiko

Berikut ini adalah deskripsi urutan lengkap cara penghitungan skor deteksi risiko untuk entity:

  1. Input: Deteksi dikelompokkan menurut indikator.
  2. (Opsional) Koefisien pemberitahuan tertutup: Jika skor risiko deteksi adalah untuk pemberitahuan tertutup, skor akan dikalikan dengan koefisien pemberitahuan tertutup.
  3. (Opsional) Perubahan Skor Risiko Default Jika tidak ditetapkan secara eksplisit dalam aturan, skor risiko deteksi default akan diterapkan. Skor risiko deteksi pemberitahuan atau tanpa pemberitahuan default dapat diubah di setelan skor risiko entity.
  4. Penghitungan skor risiko: Faktor pembobotan dikalikan dengan jumlah semua deteksi (kecuali untuk skor risiko deteksi maksimum), lalu ditambahkan ke skor risiko deteksi maksimum. Nilai ini mewakili skor risiko entity mentah.
  5. Bobot modifikasi: Skor risiko entity mentah dikalikan dengan bobot modifikasi. Perubahan ini adalah operasi satu kali, kecuali jika TTL ditetapkan. Nilai ini adalah skor risiko entity dasar.
  6. Bobot daftar pantauan: Jika entitas merupakan bagian dari daftar pantauan, bobot daftar pantauan akan ditambahkan ke skor risiko deteksi.
  7. Skor risiko yang dinormalisasi: Skor risiko entity dasar dinormalisasi di seluruh semua entity menggunakan normalisasi min-maks.

Setelan skor risiko

Halaman Skor risiko entity memungkinkan Anda menentukan cara penghitungan skor risiko untuk entity, pemberitahuan, dan deteksi. Anda dapat menerapkan pembobotan pada penghitungan skor risiko entity dan menetapkan skor risiko pemberitahuan dan deteksi default. Perubahan hanya diterapkan untuk pemberitahuan dan deteksi baru, dan dapat memakan waktu hingga 30 menit hingga diterapkan.

  • Pembobotan skor risiko entity: Pembobotan menentukan cara skor risiko pemberitahuan dan deteksi diperhitungkan dalam penghitungan skor risiko entity. Bobot adalah nilai dari 0 hingga 1. Formula untuk skor risiko entity dasar ditentukan sebagai berikut:

    Skor risiko entity dasar = (Skor risiko maksimum untuk temuan) + (Pembobotan * (Jumlah skor risiko yang tersisa untuk temuan))

  • Skor risiko default untuk Pemberitahuan: Tentukan skor risiko pemberitahuan default di halaman Setelan. Defaultnya adalah 40. Anda dapat mengubah skor risiko pemberitahuan satu per satu dalam aturan itu sendiri. Setelan ini akan menggantikan setelan default yang dikonfigurasi di halaman Setelan.

  • Skor risiko default untuk Deteksi: Tentukan skor risiko deteksi default di halaman Setelan. Defaultnya adalah 15. Anda dapat mengubah skor risiko deteksi individual dalam aturan itu sendiri. Setelan ini akan menggantikan setelan default yang dikonfigurasi di halaman Setelan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.