Présentation du score de risque

Compatible avec:

Les scores de risque sont utilisés dans Google Security Operations. Définition et fonction de ces scores varient en fonction de la fonctionnalité que vous utilisez.

Risk Analytics est disponible avec les licences Enterprise et Enterprise Plus, ou en tant que module complémentaire d'une licence autonome Google SecOps SIEM.

Entités dans l'analyse des risques

Cette section définit les concepts d'entités, de risque et de résultats tels qu'ils sont présenté dans la leçon Analyse des risques tableau de bord.

  • Entités: représentation contextuelle d'un élément ou d'un utilisateur dans votre environnement. Tous les événements associés aux entités fournissent un contexte le risque que l'entité est risquée. Pour en savoir plus, consultez la section Objets logiques: événements et Entité.

  • Durée de calcul des risques: permet de modifier la période couverte par le calcul un tableau de bord qui vous permet d'examiner les données à différentes périodes. Par exemple, vous pouvez identifier les tentatives de connexion par force brute en utilisant le raccourci le plus court ou d'examiner les activités malveillantes à long terme en définissant période.

  • Normalisé: les scores normalisés sont définis entre 1 et 1 000 pour distinguer entités sans scores provenant des entités ayant des détections dans le fenêtre de risque.

  • Tendance normalisée: variation du score de risque normalisé de l'entité depuis le fenêtre précédente.

  • Base : les scores de base sont calculés en ajoutant les scores de risque pour tous les résultats (alertes et détections) d'une entité pendant la période de risque, avec un pondération appliquée. Si la valeur de pondération est égale à 1, la pondération n'a aucun impact. Pour en savoir plus, consultez la section Risque lié à l'entité qual.

  • Variation de base: variation du score de risque de base de l'entité par rapport à la fenêtre.

  • Première/dernière apparition pendant la période : code temporel correspondant au moment où l'entité est apparue pour la première ou la dernière fois dans un résultat (alerte ou détection) pour la période spécifiée dans la période de risque.

Conclusions dans l'analyse des risques

Les termes suivants sont utilisés sur la page de profil de l'entité (cliquez sur une entité dans le tableau des entités pour l'ouvrir sur la page de profil de l'entité).

  • Résultat : nombre de résultats (alertes et détections) incluant cette entité pour la période de la période de calcul du risque.

  • Gravité : la gravité est définie par la source lors de la création d'un résultat.

  • Priorité : la priorité est définie par la source lors de la création d'un résultat.

  • Score de risque : les scores de risque sont définis par la source lors de la création d'un résultat. Si les scores de risque ne sont pas définis, le score de risque par défaut pour les alertes et détections sont utilisées. Le score de risque par défaut des alertes est de 40. La valeur par défaut le score de risque pour les détections est de 15.

Calcul du score de risque

Le calcul du score de risque pour chaque entité est basé sur le score de risque des résultats et est modifié en fonction d'un ensemble de paramètres que vous pouvez spécifier et d'un ensemble de paramètres contrôlés par Google Security Operations. Paramètres que vous pouvez contrôler dans la barre de navigation, en cliquant sur Paramètres > Entité scores de risque:

  • Coefficient d'alerte fermée: si les analystes sécurité marquent une alerte comme est multipliée par ce modificateur à virgule flottante. La plage est comprise entre 0 et 1. La valeur par défaut est de 1.

  • Score de risque de détection par défaut: spécifiez le score de risque des détections dans le moteur de règles. La plage est comprise entre 0 et 1 000. La valeur par défaut est 15.

Les paramètres suivants sont spécifiés par Google Security Operations :

  • Modification du score de risque avec TTL : le score de risque de base de l'entité est modifié par un facteur de multiplication pour la période.

  • Modification du score de risque sans valeur TTL: le score de risque de détection est modifié avec un facteur de multiplication.

Voici les formules utilisées pour calculer le score de risque et le score de risque normalisé :

  • Calcul du score de risque: (Score de risque de base de l'entité) = (Score de risque maximal) pour le résultat) + (Pondération * (Somme des scores de risque restants pour le résultats))

  • Score de risque normalisé : les scores de risque de base des entités sont normalisés pour toutes les entités. Le score de risque de base de l'entité utilise la normalisation min-max et varie de 1 à 1 000. Les entités sans risque ne sont pas incluses.

Exemple: calcul du score de risque

Voici la séquence complète de calcul d'un score de détection de risque pour une entité :

  1. Données : les détections sont regroupées par indicateur.
  2. (Facultatif) Coefficient d'alerte fermé: si le score de risque de détection concerne d'une alerte fermée, le score est multiplié par le coefficient d'alerte de fermeture.
  3. (Facultatif) Modification du score de risque par défaut Si ce n'est pas explicitement défini dans une règle, le score de risque de détection par défaut est appliqué. Les alertes par défaut les scores de risque de détection sans alerte peuvent être modifiés dans les scores de risque des entités paramètres.
  4. Calcul du score de risque : le facteur de pondération est multiplié par la somme de toutes les détections (à l'exception du score de risque de détection maximal), puis ajouté au score de risque de détection maximal. Cette valeur représente le score de risque brut de l'entité.
  5. Pondération de modification : le score de risque brut de l'entité est multiplié par la pondération de modification. Cette modification est une opération unique, à moins qu'une valeur TTL est définie. Cette valeur correspond au score de risque de base de l'entité.
  6. Pondération de la liste de surveillance : si une entité fait partie d'une liste de surveillance, la pondération de la liste de surveillance est ajoutée au score de risque de détection.
  7. Score de risque normalisé : le score de risque de base de l'entité est normalisé pour toutes les entités à l'aide de la normalisation min-max.

Paramètres du score de risque

La page Scores de risque des entités vous permet de définir comment les scores de risque sont calculés pour les entités, les alertes et les détections. Vous pouvez appliquer une pondération aux calculs du score de risque des entités, et définir des scores de risque par défaut pour les alertes et les détections. Modifications uniquement s'appliquent aux nouvelles alertes et détections. Leur prise en compte peut prendre jusqu'à 30 minutes.

  • Pondération du score de risque des entités : la pondération définit la façon dont les scores de risque des alertes et des détections sont pris en compte dans le calcul du score de risque des entités. Le pondération est une valeur comprise entre 0 et 1. La formule du score de risque de base de l’entité est définie comme ce qui suit:

    Score de risque de base de l'entité = (Score de risque maximal pour le résultat) + (Pondération * (Somme des scores de risque restants pour les résultats)

  • Score de risque par défaut pour les alertes: spécifiez le score de risque par défaut des alertes dans la page Paramètres. La valeur par défaut est 40. Vous pouvez modifier les scores de risque des alertes individuelles dans les règles elles-mêmes. Ils remplacent les paramètres par défaut configurés sur la page Paramètres.

  • Scores de risque par défaut pour les détections: spécifiez le risque de détection par défaut. sur la page Paramètres. La valeur par défaut est 15. Vous pouvez modifier individuellement les scores de risque de détection dans les règles elles-mêmes. Ils remplacent tous les paramètres par défaut configurés sur la page Settings (Paramètres).