Panoramica del punteggio di rischio

Supportato in:

I punteggi di rischio vengono utilizzati in tutte le operazioni di sicurezza di Google. La definizione e la funzione di questi punteggi variano a seconda della funzionalità utilizzata.

Risk Analytics è disponibile con le licenze Enterprise ed Enterprise Plus o come componente aggiuntivo di una licenza SIEM autonoma Google SecOps.

Entità in Analisi dei rischi

Questa sezione definisce i concetti di entità, rischio e risultati così come sono presentati nella scheda Analisi del rischio dashboard.

  • Entità: rappresentazione contestuale di una risorsa o di un utente nel tuo ambiente. Tutti gli eventi associati alle entità forniscono il contesto relativo al livello di rischio dell'entità. Per saperne di più, consulta Oggetti logici: Event e Entity.

  • Finestra di calcolo del rischio: consente di modificare il periodo di tempo per l'intervallo di tempo. che ti consente di esaminare i dati relativi a periodi di tempo diversi. Ad esempio, puoi rilevare i tentativi di accesso con forza bruta utilizzando l'intervallo di tempo più breve o esaminare le attività dannose a lungo termine impostando l'intervallo di tempo più lungo.

  • Normalizzato: i punteggi normalizzati sono impostati tra 1 e 1000 per distinguere i entità senza punteggi delle entità che hanno rilevamenti all'interno finestra di rischio.

  • Tendenza normalizzata: variazione del punteggio di rischio dell'entità normalizzato rispetto alla finestra precedente.

  • Di base: i punteggi di base vengono calcolati sommando i punteggi di rischio dei risultati (avvisi e rilevamenti) per un'entità durante la finestra di rischio con l'applicazione della ponderazione. Se il valore della ponderazione è 1, la ponderazione non avrà un impatto. Per ulteriori informazioni, consulta la sezione sul rischio relativo all'entità qual..

  • Variazione di base: variazione del punteggio di rischio dell'entità di base rispetto alla finestra precedente.

  • Prima/ultima apparizione nella finestra: timestamp corrispondente alla prima o all'ultima apparizione dell'entità in un risultato (avviso o rilevamento) per il periodo di tempo specificato nella finestra di rischio.

Risultati in Analisi dei rischi

Nella pagina del profilo dell'entità vengono utilizzati i termini seguenti (fai clic su un'entità nella per aprirlo nella pagina del profilo dell'entità).

  • Risultato: numero di risultati (avvisi e rilevamenti) che includono questa entità per il periodo di tempo nella finestra di rischio.

  • Gravità: la gravità è impostata dall'origine quando viene creato un risultato.

  • Priorità: la priorità viene impostata dall'origine quando viene creato un risultato.

  • Punteggio di rischio: i punteggi di rischio vengono impostati dall'origine quando viene creato un risultato. Se i punteggi di rischio non sono impostati, viene applicato il punteggio di rischio predefinito per avvisi e i rilevamenti del caso. Il punteggio di rischio predefinito per gli avvisi è 40. Il valore predefinito il punteggio di rischio per i rilevamenti è 15.

Calcolo del punteggio di rischio

Il calcolo del punteggio di rischio per ciascuna entità si basa sul punteggio di rischio i risultati ed è modificato in base a un insieme di parametri che è possibile specificare e a un insieme di parametri controllati da Google Security Operations. I parametri che puoi controllare sono accessibili dalla barra di navigazione facendo clic su Impostazioni > Scori di rischio delle entità:

  • Coefficiente di avviso chiuso: se gli analisti della sicurezza contrassegnano un avviso come chiuso, questo viene moltiplicato per questo modificatore con virgola mobile. L'intervallo è 0-1. Il valore predefinito è 1.

  • Punteggio di rischio dei rilevamenti predefinito: specifica il punteggio di rischio per i rilevamenti nel motore delle regole. L'intervallo è 0-1000. Il valore predefinito è 15.

I seguenti parametri sono specificati da Google Security Operations:

  • Modifica del punteggio di rischio con TTL: il punteggio di rischio di base dell'entità viene modificato da un fattore di moltiplicazione per l'intervallo di tempo.

  • Modifica del punteggio di rischio senza TTL: il punteggio di rischio del rilevamento è stato modificato con un fattore di moltiplicazione.

Di seguito sono riportate le formule utilizzate per calcolare il punteggio di rischio e punteggio di rischio normalizzato:

  • Calcolo del punteggio di rischio: (Punteggio di rischio di base dell'entità) = (Punteggio di rischio massimo per il risultato) + (Ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))

  • Punteggio di rischio normalizzato: i punteggi di rischio di base dell'entità sono normalizzati in tutti le entità. Il punteggio di rischio di base dell'entità utilizza la normalizzazione min-max e va da 1 a 1000. Le entità con rischio zero non sono incluse.

Esempio: calcolo del punteggio di rischio

Di seguito viene descritta la sequenza completa di come viene determinato il punteggio di rilevamento del rischio. calcolati per un'entità:

  1. Ingresso: i rilevamenti vengono raggruppati per indicatore.
  2. (Facoltativo) Coefficiente di avviso chiuso: se il punteggio di rischio dei rilevamenti si riferisce a un avviso chiuso, il punteggio viene moltiplicato per il coefficiente di avviso chiuso.
  3. (Facoltativo) Modifica del punteggio di rischio predefinito Se non è impostato in modo esplicito in viene applicato il punteggio di rischio predefinito per il rilevamento. Avvisi predefiniti o I punteggi di rischio del rilevamento senza avvisi possono essere modificati nei punteggi di rischio dell'entità impostazioni.
  4. Calcolo del punteggio di rischio: il fattore di ponderazione viene moltiplicato per la somma di tutti i rilevamenti (tranne per il punteggio di rischio del rilevamento massimo) e poi aggiunto al punteggio di rischio del rilevamento massimo. Questo valore rappresenta l'entità non elaborata e il punteggio di rischio.
  5. Ponderazione della modifica: il punteggio di rischio dell'entità non elaborata viene moltiplicato per il valore di peso della modifica. Questa modifica è un'operazione una tantum, a meno che non sia un TTL è impostata. Questo valore è il punteggio di rischio di base dell'entità.
  6. Peso dell'elenco di titoli: se un'entità fa parte di un elenco di titoli, il suo peso viene aggiunto al punteggio di rischio di rilevamento.
  7. Punteggio di rischio normalizzato: il punteggio di rischio di base dell'entità è normalizzato su tutte le entità che usano la normalizzazione min-max.

Impostazioni del punteggio di rischio

La pagina Punteggi di rischio delle entità consente di definire il modo in cui vengono calcolati i punteggi di rischio per entità, avvisi e rilevamenti. Puoi applicare la ponderazione ai calcoli del punteggio di rischio dell'entità e impostare punteggi di rischio di avvisi e rilevamenti predefiniti. Solo modifiche si applicano a nuovi avvisi e rilevamenti e l'applicazione potrebbe richiedere fino a 30 minuti.

  • Ponderazione del punteggio di rischio dell'entità: la ponderazione definisce in che modo i punteggi di rischio di avvisi e rilevamenti vengono presi in considerazione nei calcoli del punteggio di rischio dell'entità. La ponderazione è un da 0 a 1. La formula per il punteggio di rischio di base dell'entità è definita come segue:

    Punteggio di rischio di base dell'entità = (punteggio di rischio massimo per il risultato) + (ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))

  • Punteggi di rischio predefiniti per gli avvisi: specifica il punteggio di rischio predefinito per gli avvisi nella pagina Impostazioni. Il valore predefinito è 40. Puoi modificare i singoli scori di rischio degli avvisi nelle regole stesse. Queste impostazioni sostituiscono i valori predefiniti configurati nella pagina Impostazioni.

  • Punteggi di rischio predefiniti per i rilevamenti: specifica il rischio di rilevamento predefinito nella pagina Impostazioni. Il valore predefinito è 15. Puoi modificare i singoli scori di rischio di rilevamento nelle regole stesse. Queste hanno la priorità su eventuali impostazioni predefinite configurate nella pagina Impostazioni.