リスク分析の概要

以下でサポートされています。

リスク分析は、異常な動作を特定し、エンティティが企業に及ぼす潜在的なリスクを把握するために使用されます。データ RBAC を使用するシステムでは、グローバル スコープを持つユーザーのみがリスク分析にアクセスできます。リスク分析のダッシュボードは、Google SecOps エンティティのリスクスコアに基づいてエンティティを一覧表示する [Behavioral Analytics] セクションと、内部企業リスクの計算に基づいてエンティティを一覧表示する [Watchlist] セクションで構成されています。

リスクスコアは Google SecOps 全体で使用されます。これらのスコアの定義と機能は、使用している機能によって異なります。

リスク分析は、Enterprise ライセンスまたは Enterprise Plus ライセンスで利用できます。また、Google SecOps SIEM スタンドアロン ライセンスのアドオンとしても利用できます。

リスク分析のエンティティ、リスク、検出結果

このセクションでは、リスク分析ダッシュボードに表示されるエンティティ、リスク、検出結果のコンセプトを定義します。

  • Entities: 環境内のアセットまたはユーザーのコンテキスト表現。エンティティに関連付けられたすべてのイベントは、エンティティの危険度に関するコンテキストを提供します。詳しくは、論理オブジェクト: イベントとエンティティをご覧ください。

  • Risk calculation window: ダッシュボードの期間を変更して、さまざまな期間のデータを表示できます。たとえば、より短い時間枠を使用してブルート フォース ログイン試行を発見したり、より長い時間枠を設定して長期的な悪意のあるアクティビティを調査したりできます。

  • Normalized: 正規化されたスコアは 1~1,000 の間で設定され、スコアのないエンティティと、リスク ウィンドウ内で検出されたエンティティを区別します。

  • 正規化されたトレンド: 前のウィンドウからの正規化されたエンティティ リスクスコアの変化。

  • 基本: 基本スコアは、重み付けが適用されたリスク時間枠内でエンティティの検出結果(アラートと検出)全体のリスクスコアを加算して計算されます。

    重み付けでは、アラートと検出のリスクスコアがエンティティ リスクスコアの計算にどのように貢献するかを定義します。重み付けは 0~1 の値に設定できます。
    重み付け値が 1 の場合、重み付けには影響しません。その他の値はすべてパーセンテージです(.5 は 50% に相当します)。デフォルトの重み付け値は .2 です。この値は [Settings] で変更できます。詳細については、エンティティ リスクスコアの重み付けをご覧ください。

  • 基本の変更: 前のウィンドウからの基本エンティティ リスクスコアの変化。

  • ウィンドウ内での最初と最後の検出: リスク ウィンドウで指定された期間に、エンティティが検出結果(アラートまたは検出)で最初または最後に確認された時刻に対応するタイムスタンプ。

リスク分析の検出結果

次の用語は [Findings] ページで使用されます(エンティティのテーブルでエンティティをクリックすると、[Findings] ページに表示されます)。

  • Findings: リスク ウィンドウの期間に、このエンティティを含む検出結果(アラートと検出)の数。

  • Severity: 検出結果の作成時にソースによって設定されます。

  • 優先度: 優先度は、検出結果の作成時にソースによって設定されます。

  • Risk Score: 検出結果の作成時にソースによって設定されます。リスクスコアが設定されていない場合、アラートや検出のデフォルトのリスクスコアが使用されます。アラートのデフォルトのリスクスコアは 40 です。検出のデフォルトのリスクスコアは 15 です。

リスクスコアの計算

各エンティティのリスクスコアの計算は、検出結果のリスクスコアに基づいており、指定できる一連のパラメータと Google Security Operations によって制御される一連のパラメータに基づいて変更されます。制御できるパラメータは、ナビゲーション バーで設定 > エンティティ リスクスコアの順にクリックすることでアクセスできます。

  • [終了] アラート係数: セキュリティ アナリストがアラートをクローズとしてマークすると、この浮動小数点修飾子で乗算されます。範囲は 0~1 です。デフォルト値は 1 です。

  • Default detection risk score: ルールエンジンで検出のリスクスコアを指定します。範囲は 0~1,000 です。デフォルト値は 15 です。

次のパラメータは Google Security Operations によって指定されます。

  • TTL によるリスクスコアの変更: 基本エンティティ リスクスコアは、時間範囲の乗数によって変更されます。

  • TTL なしのリスクスコアの変更: 検出リスクスコアは乗数で変更されます。

リスクスコアと正規化されたリスクスコアの計算に使用される式は次のとおりです。

  • リスクスコアの計算: (基本エンティティ リスクスコア)=(検出結果の最大リスクスコア)+(重み付け ×(検出結果の残りのリスクスコアの合計))

  • 正規化されたリスクスコア: 基本エンティティ リスクスコアは、すべてのエンティティで正規化されます。基本エンティティ リスクスコアは、最小~最大の正規化と 1~1,000 の範囲を使用します。リスクがゼロのエンティティは含まれません。

例: リスクスコアの計算

エンティティのリスク検出スコアの計算シーケンス全体は次のとおりです。

  1. 入力: 検出はインジケーター別にグループ化されます。
  2. (オプション)[終了] アラート係数: 検出リスクスコアが [終了] アラートの場合、スコアは [終了] アラート係数で乗算されます。
  3. (省略可)デフォルトのリスクスコアの変更: ルールで明示的に設定されていない場合、デフォルトの検出リスクスコアが適用されます。デフォルトのアラート付きまたはアラートなし検出リスクスコアは、エンティティ リスクスコア設定で変更できます。
  4. リスクスコアの計算: 重み付け係数を、すべての検出(最大検出リスクスコアを除く)の合計に掛け、最大検出リスクスコアに加算します。 この値は、生のエンティティ リスクスコアを表します。
  5. 変更の重み: 生のエンティティ リスクスコアは、変更の重みで乗算されます。この変更は、TTL が設定されていない限り、1 回限りのオペレーションです。この値は基本エンティティ リスクスコアです。
  6. ウォッチリストの重み: エンティティがウォッチリストに含まれている場合、ウォッチリストの重みが検出リスクスコアに加算されます。
  7. 正規化されたリスクスコア: 基本エンティティ リスクスコアは、最小~最大の正規化を使用してすべてのエンティティで正規化されます。

リスクスコアの設定

エンティティ リスクスコアページでは、エンティティ、アラート、検出のリスクスコアの計算方法を定義できます。エンティティ リスクスコアの計算に重み付けを適用し、デフォルトのアラートと検出のリスクスコアを設定できます。変更は新しいアラートと検出にのみ適用され、変更が反映されるまでに最長で 30 分ほどかかる場合があります。

  • エンティティ リスクスコアの重み付け: 重み付けでは、アラートと検出のリスクスコアがエンティティ リスクスコアの計算にどのように反映されるかを定義します。重み付けは 0~1 の値です。基本エンティティ リスクスコアの式は次のように定義されます。

    基本エンティティ リスクスコア =(検出結果の最大リスクスコア)+(重み付け ×(検出結果の残りのリスクスコアの合計))

  • アラートのデフォルトのリスクスコア: [Settings] ページで、アラートのデフォルトのリスクスコアを指定します。デフォルト値は 40 です。ルール自体で個々のアラート リスクスコアを変更できます。これは、[設定] ページで構成したデフォルト値をオーバーライドします。

  • 検出のデフォルトのリスクスコア: [Settings] ページで、デフォルトの検出リスクスコアを指定します。デフォルト値は 15 です。ルール自体で個々のアラート リスクスコアを変更できます。これは、[設定] ページで構成したデフォルト値をオーバーライドします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。