Panoramica del punteggio di rischio
I punteggi di rischio vengono utilizzati in tutte le operazioni di sicurezza di Google. La definizione e la funzione di questi punteggi variano a seconda della funzionalità utilizzata.
Risk Analytics è disponibile con le licenze Enterprise ed Enterprise Plus o come componente aggiuntivo di una licenza SIEM autonoma Google SecOps.
Entità in Analisi dei rischi
Questa sezione definisce i concetti di entità, rischio e risultati così come sono presentati nella scheda Analisi del rischio dashboard.
Entità: rappresentazione contestuale di una risorsa o di un utente nel tuo ambiente. Tutti gli eventi associati alle entità forniscono il contesto relativo al livello di rischio dell'entità. Per saperne di più, consulta Oggetti logici: Event e Entity.
Finestra di calcolo del rischio: consente di modificare il periodo di tempo per l'intervallo di tempo. che ti consente di esaminare i dati relativi a periodi di tempo diversi. Ad esempio, puoi rilevare i tentativi di accesso con forza bruta utilizzando l'intervallo di tempo più breve o esaminare le attività dannose a lungo termine impostando l'intervallo di tempo più lungo.
Normalizzato: i punteggi normalizzati sono impostati tra 1 e 1000 per distinguere i entità senza punteggi delle entità che hanno rilevamenti all'interno finestra di rischio.
Tendenza normalizzata: variazione del punteggio di rischio dell'entità normalizzato rispetto alla finestra precedente.
Di base: i punteggi di base vengono calcolati sommando i punteggi di rischio dei risultati (avvisi e rilevamenti) per un'entità durante la finestra di rischio con l'applicazione della ponderazione. Se il valore della ponderazione è 1, la ponderazione non avrà un impatto. Per ulteriori informazioni, consulta la sezione sul rischio relativo all'entità qual..
Variazione di base: variazione del punteggio di rischio dell'entità di base rispetto alla finestra precedente.
Prima/ultima apparizione nella finestra: timestamp corrispondente alla prima o all'ultima apparizione dell'entità in un risultato (avviso o rilevamento) per il periodo di tempo specificato nella finestra di rischio.
Risultati in Analisi dei rischi
Nella pagina del profilo dell'entità vengono utilizzati i termini seguenti (fai clic su un'entità nella per aprirlo nella pagina del profilo dell'entità).
Risultato: numero di risultati (avvisi e rilevamenti) che includono questa entità per il periodo di tempo nella finestra di rischio.
Gravità: la gravità è impostata dall'origine quando viene creato un risultato.
Priorità: la priorità viene impostata dall'origine quando viene creato un risultato.
Punteggio di rischio: i punteggi di rischio vengono impostati dall'origine quando viene creato un risultato. Se i punteggi di rischio non sono impostati, viene applicato il punteggio di rischio predefinito per avvisi e i rilevamenti del caso. Il punteggio di rischio predefinito per gli avvisi è 40. Il valore predefinito il punteggio di rischio per i rilevamenti è 15.
Calcolo del punteggio di rischio
Il calcolo del punteggio di rischio per ciascuna entità si basa sul punteggio di rischio i risultati ed è modificato in base a un insieme di parametri che è possibile specificare e a un insieme di parametri controllati da Google Security Operations. I parametri che puoi controllare sono accessibili dalla barra di navigazione facendo clic su Impostazioni > Scori di rischio delle entità:
Coefficiente di avviso chiuso: se gli analisti della sicurezza contrassegnano un avviso come chiuso, questo viene moltiplicato per questo modificatore con virgola mobile. L'intervallo è 0-1. Il valore predefinito è 1.
Punteggio di rischio dei rilevamenti predefinito: specifica il punteggio di rischio per i rilevamenti nel motore delle regole. L'intervallo è 0-1000. Il valore predefinito è 15.
I seguenti parametri sono specificati da Google Security Operations:
Modifica del punteggio di rischio con TTL: il punteggio di rischio di base dell'entità viene modificato da un fattore di moltiplicazione per l'intervallo di tempo.
Modifica del punteggio di rischio senza TTL: il punteggio di rischio del rilevamento è stato modificato con un fattore di moltiplicazione.
Di seguito sono riportate le formule utilizzate per calcolare il punteggio di rischio e punteggio di rischio normalizzato:
Calcolo del punteggio di rischio: (Punteggio di rischio di base dell'entità) = (Punteggio di rischio massimo per il risultato) + (Ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))
Punteggio di rischio normalizzato: i punteggi di rischio di base dell'entità sono normalizzati in tutti le entità. Il punteggio di rischio di base dell'entità utilizza la normalizzazione min-max e va da 1 a 1000. Le entità con rischio zero non sono incluse.
Esempio: calcolo del punteggio di rischio
Di seguito viene descritta la sequenza completa di come viene determinato il punteggio di rilevamento del rischio. calcolati per un'entità:
- Ingresso: i rilevamenti vengono raggruppati per indicatore.
- (Facoltativo) Coefficiente di avviso chiuso: se il punteggio di rischio dei rilevamenti si riferisce a un avviso chiuso, il punteggio viene moltiplicato per il coefficiente di avviso chiuso.
- (Facoltativo) Modifica del punteggio di rischio predefinito Se non è impostato in modo esplicito in viene applicato il punteggio di rischio predefinito per il rilevamento. Avvisi predefiniti o I punteggi di rischio del rilevamento senza avvisi possono essere modificati nei punteggi di rischio dell'entità impostazioni.
- Calcolo del punteggio di rischio: il fattore di ponderazione viene moltiplicato per la somma di tutti i rilevamenti (tranne per il punteggio di rischio del rilevamento massimo) e poi aggiunto al punteggio di rischio del rilevamento massimo. Questo valore rappresenta l'entità non elaborata e il punteggio di rischio.
- Ponderazione della modifica: il punteggio di rischio dell'entità non elaborata viene moltiplicato per il valore di peso della modifica. Questa modifica è un'operazione una tantum, a meno che non sia un TTL è impostata. Questo valore è il punteggio di rischio di base dell'entità.
- Peso dell'elenco di titoli: se un'entità fa parte di un elenco di titoli, il suo peso viene aggiunto al punteggio di rischio di rilevamento.
- Punteggio di rischio normalizzato: il punteggio di rischio di base dell'entità è normalizzato su tutte le entità che usano la normalizzazione min-max.
Impostazioni del punteggio di rischio
La pagina Punteggi di rischio delle entità consente di definire il modo in cui vengono calcolati i punteggi di rischio per entità, avvisi e rilevamenti. Puoi applicare la ponderazione ai calcoli del punteggio di rischio dell'entità e impostare punteggi di rischio di avvisi e rilevamenti predefiniti. Solo modifiche si applicano a nuovi avvisi e rilevamenti e l'applicazione potrebbe richiedere fino a 30 minuti.
Ponderazione del punteggio di rischio dell'entità: la ponderazione definisce in che modo i punteggi di rischio di avvisi e rilevamenti vengono presi in considerazione nei calcoli del punteggio di rischio dell'entità. La ponderazione è un da 0 a 1. La formula per il punteggio di rischio di base dell'entità è definita come segue:
Punteggio di rischio di base dell'entità = (punteggio di rischio massimo per il risultato) + (ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))
Punteggi di rischio predefiniti per gli avvisi: specifica il punteggio di rischio predefinito per gli avvisi nella pagina Impostazioni. Il valore predefinito è 40. Puoi modificare i singoli scori di rischio degli avvisi nelle regole stesse. Queste impostazioni sostituiscono i valori predefiniti configurati nella pagina Impostazioni.
Punteggi di rischio predefiniti per i rilevamenti: specifica il rischio di rilevamento predefinito nella pagina Impostazioni. Il valore predefinito è 15. Puoi modificare i singoli scori di rischio di rilevamento nelle regole stesse. Queste hanno la priorità su eventuali impostazioni predefinite configurate nella pagina Impostazioni.