风险得分概览
风险得分在整个 Google Security Operations 范围内使用。定义和功能 分数会因您使用的功能而异。
Risk Analytics 需要企业版和企业 Plus 版许可才能使用,或者作为 Google SecOps SIEM 独立许可的插件。
风险分析中的实体
本部分介绍了实体、风险和发现结果的概念 “风险分析”报告 信息中心。
实体:您的 环境与实体关联的所有事件都提供了相关背景信息 该实体的风险程度。如需了解详情,请参阅逻辑对象:事件 和 Entity。
风险计算窗口:允许您更改 信息中心,可让您查看不同时间段的数据。 例如,您可以使用较短的时间范围来发现暴力破解登录尝试,也可以设置较长的时间范围来检查长期的恶意活动。
标准化:标准化得分设在 1-1000 之间,以区分在风险信号窗口期内没有检测到的实体与有检测到的实体。
标准化趋势:自 上一个窗口。
基准:基准分数是通过将风险得分相加计算得出的 某实体在风险窗口期内的发现结果(提醒和检测), 权重。如果权重值为 1,则权重不会产生影响。如需了解详情,请参阅实体风险信号。
基准变化:自上一个以来,基本实体风险得分的变化 窗口。
在该时间范围内首次/上次出现的时间:对应于该实体的时间 在相应时间段内的发现结果(提醒或检测)中首次或最后一次出现的时间 风险期中指定的风险。
风险分析中的发现结果
实体资料页面上使用了以下字词(点击 实体表,以在实体资料页面中将其打开)。
发现结果:包含此项的发现结果(提醒和检测)数量 实体。
严重性:创建发现结果时,严重性由来源设置。
优先级:优先级由来源在创建发现结果时设置。
风险得分:风险得分由创建发现结果时的来源设置。 如果未设置风险得分,则使用提醒和 检测。提醒的默认风险得分为 40。默认 检测风险得分为 15。
风险得分计算
每个实体的风险得分是根据 并根据您可以指定的一组参数和一组 由 Google Security Operations 控制的参数。如需访问您可以控制的参数,请前往导航栏,然后依次点击设置 > 实体风险信号:
关闭警报系数:如果安全分析师将警报标记为 闭合时,它将与此浮点修饰符相乘。范围为 0-1。默认值为 1。
默认检测风险得分:在 规则引擎。范围为 0-1000。默认值为 15。
以下参数由 Google Security Operations 指定:
使用 TTL 修改风险得分:基本实体风险得分修改依据 时间范围的放大系数。
无 TTL 的风险得分修改:检测风险得分会使用放大系数进行修改。
以下公式用于计算风险得分和 标准化风险得分:
风险得分计算:(基础实体风险得分)=(最高风险得分) +(权重 * (评估结果的剩余风险得分的总和) 发现结果)
标准化风险得分:基本实体风险得分对所有 实体。基本实体风险得分使用最小-最大归一化和范围 范围为 1-1,000。风险为零的实体不包括在内。
示例:风险得分计算
下面介绍了风险检测得分的完整序列 计算:
- 输入:检测结果按指示器进行分组。
- (可选)封闭提醒系数:如果检测风险得分针对 则得分将乘以关闭提醒系数。
- (可选)修改默认风险得分:如果未在规则中明确设置,系统会应用默认检测风险得分。默认提醒或 非提醒检测风险得分可以在实体风险得分中更改 设置。
- 风险得分计算:将权重因子乘以所有检测(最高检测风险得分除外)的总和,然后将结果加到最高检测风险得分。此值表示原始实体 风险评分。
- 修改权重:原始实体风险得分乘以 修改权重。除非设置了 TTL,否则此修改是一次性操作。此值是基本实体风险得分。
- 监控列表权重:如果实体属于某个监控列表,系统会将监控列表权重添加到检测风险得分中。
- 标准化风险得分:系统会使用最小-最大标准化方法对所有实体的基准实体风险得分进行标准化。
风险得分设置
实体风险得分页面可让您定义风险得分的计算方式 用于实体、提醒和检测。您可以为实体风险应用加权 并设置默认提醒和检测风险得分。仅更改 会应用于新的提醒和检测,最多可能需要 30 分钟才能生效。
实体风险得分加权:权重定义了警报和检测的方式 在计算实体风险得分时会考虑风险得分。加权是 值的范围为 0 到 1。基本实体风险得分的公式定义如下:
基本实体风险得分 =(发现结果的最高风险得分)+(权重 * (发现结果的其余风险得分总和)
提醒的默认风险得分:在 设置页面。默认值为 40。您可以修改单个提醒 风险得分。这些设置将覆盖所有已配置的默认值 在设置页面中进行设置。
检测的默认风险得分:指定默认检测风险 得分。默认值为 15。您可以在规则中修改各个检测风险得分。这些设置会覆盖任何默认设置 在设置页面中配置。