Diese Seite wurde von der Cloud Translation API übersetzt.

Risiko-Score – Übersicht

Unterstützt in:

<ph type="x-smartling-placeholder"></ph> Google SecOps <ph type="x-smartling-placeholder"></ph> SIEM

Risikobewertungen werden im gesamten Google Security Operations-Team verwendet. Die Definition und Funktion dieser Bewertungen variieren je nach verwendeter Funktion.

Risk Analytics ist mit Enterprise- und Enterprise Plus-Lizenzen oder als ein Add-on für eine eigenständige Google SecOps SIEM-Lizenz.

Entitäten in Risikoanalysen

In diesem Abschnitt werden die Konzepte von Entitäten, Risiken und Ergebnissen in ihrer aktuellen Form definiert. in der Risikoanalyse Dashboard.

Entitäten: Kontextdarstellung eines Assets oder Nutzers in Ihrem zu verbessern. Alle mit Entitäten verknüpften Ereignisse bieten Kontext zu wie riskant die Entität ist. Weitere Informationen finden Sie unter Logische Objekte: Ereignis und Entität.
Risikoberechnungsfenster: Hier können Sie den Zeitraum Dashboard, mit dem Sie Daten für verschiedene Zeiträume betrachten können. Zum Beispiel können Sie Brute-Force-Anmeldeversuche erkennen, indem Sie die kürzere oder langfristige schädliche Aktivitäten untersuchen, indem Sie die längere Zeitfenster.
Normalisiert: Normalisierte Werte liegen zwischen 1 und 1.000, um die Entitäten ohne Bewertungen aus den Entitäten, die innerhalb der Risikofenster.
Normalisierter Trend: Änderung der normalisierten Risikobewertung für Entitäten seit dem vorheriges Fenster.
Basis: Die Basisbewertungen werden berechnet, indem die Risikobewertungen über Ergebnisse (Benachrichtigungen und Erkennungen) für eine Entität während des Risikofensters mit Gewichtung angewendet. Wenn der Gewichtungswert 1 ist, hat die Gewichtung kein die Auswirkungen. Weitere Informationen finden Sie unter Entitätsrisiko“. Faktor.
Basisänderung: Änderung der Basisrisikobewertung für Entitäten seit der vorherigen .
Zuerst/zuletzt im Fenster erfasstes Fenster: Zeitstempel für den Zeitpunkt, zu dem die Entität angezeigt wird wurden im angegebenen Zeitraum als Erstes oder zuletzt in einem Ergebnis (Warnung oder Erkennung) festgestellt das im Risikofenster angegeben ist.

Ergebnisse in der Risikoanalyse

Die folgenden Begriffe werden auf der Entitätsprofilseite verwendet (klicken Sie auf eine Entität in der Entitätstabelle, um sie auf der Entitätsprofilseite zu öffnen).

Ergebnisse: Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), die dies enthalten Entität für den Zeitraum im Risikofenster.
Schweregrad: Der Schweregrad wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.
Priorität: Die Priorität wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.
Risikobewertung: Risikobewertungen werden von der Quelle festgelegt, wenn ein Ergebnis erstellt wird. Wenn keine Risikobewertungen festgelegt sind, gilt der Standard-Risikowert für Benachrichtigungen und -Erkennung verwendet werden. Die standardmäßige Risikobewertung für Benachrichtigungen ist 40. Standardeinstellung Risikobewertung für Erkennungen ist 15.

Berechnung des Risiko-Scores

Die Berechnung des Risikowerts für jede Entität basiert auf der Risikobewertung von Ergebnisse und wird basierend auf einer Reihe von Parametern, die Sie angeben können, und einer von Parametern, die von Google Security Operations kontrolliert werden. Parameter, die Sie festlegen können sind über die Navigationsleiste auf Einstellungen > Entität Risikobewertungen:

Koeffizient der geschlossenen Benachrichtigung: Wenn die Sicherheitsanalysten eine Benachrichtigung als geschlossen, wird er mit diesem Gleitkommamodifikator multipliziert. Der Bereich ist 0–1. Der Standardwert ist 1.
Standardrisikowert für Erkennung: Geben Sie die Risikobewertung für Erkennungen in das Modul für Regeln. Der Bereich kann zwischen 0 und 1.000 liegen. Der Standardwert ist 15.

Die folgenden Parameter werden von Google Security Operations angegeben:

Änderung des Risikowerts mit TTL: Der Basiswert für die Risikobewertung für Entitäten wird geändert durch Multiplikationsfaktor für den Zeitraum.
Änderung des Risikowerts ohne TTL: Die Risikobewertung für die Erkennung wird geändert. mit einem Multiplikationsfaktor.

Im Folgenden finden Sie die Formeln zur Berechnung des Risiko-Scores und normalisierter Risikowert:

Berechnung des Risikowerts: (Basisrisikowert für Entität) = (maximaler Risikowert) für das Ergebnis) + (Gewichtung * (Summe der verbleibenden Risikobewertungen für die Ergebnisse))
Normalisierte Risikobewertung: Die Basisrisikobewertungen für Entitäten werden für alle Entitäten. Für die Basisrisikobewertung für Entitäten werden die Mindest- und Höchstwerte für die Normalisierung und Bereiche verwendet von 1 bis 1.000. Entitäten ohne Risiko sind nicht enthalten.

Beispiel: Berechnung des Risikowerts

Im Folgenden wird die vollständige Reihenfolge der Risikoerkennungsbewertung beschrieben. für eine Entität berechnet:

Eingabe: Die Erkennungen sind nach Indikatoren gruppiert.
(Optional) Koeffizient für geschlossene Benachrichtigungen: Wenn der Risikowert für die Erkennung für bei einer Benachrichtigung bei geschlossenem Alarm, wird der Wert mit dem Koeffizienten für geschlossene Benachrichtigung multipliziert.
Optional: Änderung des Standard-Risikowerts: Wird er nicht explizit in eine Regel gilt, wird der Standardrisikowert für die Erkennung angewendet. Standardbenachrichtigungen oder Risikobewertungen für Nicht-Benachrichtigungen-Erkennung können in den Risikobewertungen für Entitäten geändert werden Einstellungen.
Berechnung des Risikowerts: Der Gewichtungsfaktor wird mit der Summe der alle Erkennungen (außer dem maximalen Risikowert für Erkennung) und dann hinzugefügt den maximalen Risikowert für die Erkennung. Dieser Wert stellt die Rohentität dar Risikobewertung.
Änderungsgewichtung: Die Risikobewertung für Entitäten wird mit dem Wert Änderungsgewichtung. Diese Änderung ist ein einmaliger Vorgang, es sei denn, es handelt sich um eine TTL festgelegt ist. Dieser Wert ist die Basisrisikobewertung für Entitäten.
Gewichtung der Beobachtungsliste: Wenn eine Entität Teil einer Beobachtungsliste ist, wird die Beobachtungsliste wird zur Risikobewertung für die Erkennung addiert.
Normalisierte Risikobewertung: Die Basisrisikobewertung für Entitäten wird über für alle Entitäten mit Min-Max-Normalisierung.

Einstellungen für Risikobewertungen

Auf der Seite Risikobewertungen für Entitäten können Sie festlegen, wie Risikobewertungen berechnet werden für Entitäten, Warnungen und Erkennungen. Sie können das Entitätsrisiko gewichten Bewerten und Standardrisikobewertungen für Warnungen und Erkennungen festlegen. Nur Änderungen werden auf neue Benachrichtigungen und Erkennungen angewendet. Es kann bis zu 30 Minuten dauern, bis die Änderung wirksam wird.

Risikobewertung für Entitäten: Die Gewichtung definiert, wie Warnungen und Erkennungen erkannt werden. Risikobewertungen werden bei der Berechnung der Risikobewertung für Entitäten berücksichtigt. Die Gewichtung ist ein Wert von 0 bis 1 liegt. Die Formel für die Basisrisikobewertung für Entitäten ist so definiert: folgt:

Basisentitätsrisikowert = (maximaler Risikowert für das Ergebnis) + (Gewichtung * (Summe der verbleibenden Risikobewertungen für die Ergebnisse)
Standard-Risikobewertungen für Benachrichtigungen: Geben Sie die Standardrisikobewertung für Benachrichtigungen an in auf der Seite Einstellungen Der Standardwert ist 40. Sie können einzelne Benachrichtigungen ändern Risikobewertungen in den Regeln selbst. Diese überschreiben alle konfigurierten Standardeinstellungen auf der Seite Einstellungen.
Standardrisikobewertungen für Erkennungen: Geben Sie das Standardrisiko für die Erkennung an. auf der Seite Einstellungen. Der Standardwert ist 15. Sie können einzelne Risikobewertungen in den Regeln selbst. Diese überschreiben alle Standardeinstellungen. die auf der Seite Einstellungen konfiguriert wurden.