Panoramica del punteggio di rischio

I punteggi di rischio vengono utilizzati in Google Security Operations. La definizione e la funzione di questi punteggi variano a seconda della funzione che utilizzi.

Risk Analytics è disponibile con licenze Enterprise ed Enterprise Plus o come un componente aggiuntivo di una licenza Google SecOps SIEM standalone.

Entità in Risk Analytics

Questa sezione definisce i concetti di entità, rischio e risultati così come sono presentati nella scheda Analisi del rischio dashboard.

• Entità: rappresentazione contestuale di una risorsa o di un utente nel tuo completamente gestito di Google Cloud. Tutti gli eventi associati alle entità forniscono il contesto su quanto sia rischiosa l'entità. Per ulteriori informazioni, consulta Oggetti logici: evento e Persona giuridica.

• Finestra di calcolo del rischio: consente di modificare il periodo di tempo per l'intervallo di tempo. che ti consente di esaminare i dati relativi a periodi di tempo diversi. Ad esempio, puoi scoprire i tentativi di accesso di forza bruta utilizzando il modello più breve finestra temporale o esaminare le attività dannose a lungo termine impostando più finestra temporale.

• Normalizzato: i punteggi normalizzati sono impostati tra 1 e 1000 per distinguere i le entità senza punteggi delle entità che hanno rilevamenti all'interno finestra di rischio.

• Tendenza normalizzata: variazione del punteggio di rischio dell'entità normalizzato rispetto alla finestra precedente.

• Base: i punteggi di base vengono calcolati sommando i punteggi di rischio (avvisi e rilevamenti) per un'entità durante la finestra di rischio con ponderazione applicata. Se il valore della ponderazione è 1, la ponderazione non avrà un impatto. Per ulteriori informazioni, consulta la sezione sul rischio relativo all'entità qual..

• Modifica di base: modifica del punteggio di rischio di base dell'entità rispetto alla precedente finestra.

• Primo/ultimo rilevamento nella finestra: timestamp corrispondente al momento in cui l'entità è stato rilevato per la prima volta o per l'ultima volta in un risultato (avviso o rilevamento) per il periodo di tempo specificato nella finestra di rischio.

Risultati nell'analisi del rischio

Nella pagina del profilo dell'entità vengono utilizzati i termini seguenti (fai clic su un'entità nella per aprirlo nella pagina del profilo dell'entità).

• Ricerca: numero di risultati (avvisi e rilevamenti) che includono per il periodo di tempo della finestra di rischio.

• Gravità: la gravità è impostata dall'origine quando viene creato un risultato.

• Priorità: la priorità viene impostata dall'origine quando viene creato un risultato.

• Punteggio di rischio: i punteggi di rischio vengono impostati dall'origine quando viene creato un risultato. Se i punteggi di rischio non sono impostati, viene applicato il punteggio di rischio predefinito per avvisi e i rilevamenti del caso. Il punteggio di rischio predefinito per gli avvisi è 40. Il valore predefinito il punteggio di rischio per i rilevamenti è 15.

Calcolo del punteggio di rischio

Il calcolo del punteggio di rischio per ciascuna entità si basa sul punteggio di rischio i risultati ed è modificato in base a un insieme di parametri che è possibile specificare e a di parametri controllati da Google Security Operations. I parametri che puoi controllare sono accessibili andando sulla barra di navigazione e facendo clic su Impostazioni > Entità di rischio:

• Coefficiente di avviso chiuso: se gli analisti della sicurezza contrassegnano un avviso come chiusa, viene moltiplicata per questo modificatore con rappresentazione in virgola mobile. L'intervallo è 0-1. Il valore predefinito è 1.

• Punteggio di rischio del rilevamento predefinito: specifica il punteggio di rischio per i rilevamenti in il motore delle regole. L'intervallo è 0-1000. Il valore predefinito è 15.

I seguenti parametri sono specificati da Google Security Operations:

• Modifica del punteggio di rischio con TTL: il punteggio di rischio di base dell'entità è modificato di un fattore di moltiplicazione per l'intervallo di tempo.

• Modifica del punteggio di rischio senza TTL: il punteggio di rischio del rilevamento è stato modificato con un fattore di moltiplicazione.

Di seguito sono riportate le formule utilizzate per calcolare il punteggio di rischio e punteggio di rischio normalizzato:

• Calcolo del punteggio di rischio: (punteggio di rischio dell'entità di base) = (Punteggio di rischio massimo) per il risultato) + (Ponderazione * (Somma dei punteggi di rischio rimanenti per risultati))

• Punteggio di rischio normalizzato: i punteggi di rischio di base dell'entità sono normalizzati in tutti le entità. Il punteggio di rischio di base dell'entità utilizza la normalizzazione min-max e gli intervalli da 1 a 1000. Le entità con rischio zero non sono incluse.

Esempio: calcolo del punteggio di rischio

Di seguito viene descritta la sequenza completa di come viene determinato il punteggio di rilevamento del rischio. calcolati per un'entità:

1. Ingresso: i rilevamenti vengono raggruppati per indicatore.
2. (Facoltativo) Coefficiente di avviso chiuso: se il punteggio di rischio del rilevamento riguarda un avviso chiuso, il punteggio viene moltiplicato per il coefficiente di avviso chiuso.
3. (Facoltativo) Modifica del punteggio di rischio predefinito Se non è impostato in modo esplicito in viene applicato il punteggio di rischio predefinito per il rilevamento. Avvisi predefiniti o I punteggi di rischio del rilevamento senza avvisi possono essere modificati nel punteggio di rischio dell'entità. impostazioni.
4. Calcolo del punteggio di rischio: il fattore di ponderazione viene moltiplicato per la somma di tutti i rilevamenti (ad eccezione del punteggio di rischio massimo del rilevamento), quindi aggiunti fino al punteggio di rischio massimo di rilevamento. Questo valore rappresenta l'entità non elaborata e il punteggio di rischio.
5. Ponderazione della modifica: il punteggio di rischio dell'entità non elaborata viene moltiplicato per il valore di peso della modifica. Questa modifica è un'operazione una tantum, a meno che non sia un TTL è impostata. Questo valore è il punteggio di rischio di base dell'entità.
6. Peso della lista di titoli: se un'entità fa parte di una lista di titoli, la lista di titoli peso viene aggiunto al punteggio di rischio del rilevamento.
7. Punteggio di rischio normalizzato: il punteggio di rischio di base dell'entità è normalizzato su tutte le entità che usano la normalizzazione min-max.

Impostazioni punteggio di rischio

La pagina Punteggi di rischio delle entità consente di definire il modo in cui vengono calcolati i punteggi di rischio per entità, avvisi e rilevamenti. Puoi applicare la ponderazione al rischio dell'entità dei punteggi e impostare punteggi di rischio di avviso e rilevamento predefiniti. Solo modifiche si applicano a nuovi avvisi e rilevamenti e l'applicazione potrebbe richiedere fino a 30 minuti.

• Ponderazione del punteggio di rischio delle entità: la ponderazione definisce il modo in cui gli avvisi e il rilevamento i punteggi di rischio vengono presi in considerazione nei calcoli del punteggio di rischio delle entità. La ponderazione è un da 0 a 1. La formula del punteggio di rischio di base dell'entità è definita come segue: che segue:

  Punteggio di rischio dell'entità di base = (Punteggio di rischio massimo per il risultato) + (Ponderazione * (Somma dei punteggi di rischio rimanenti per i risultati)

• Punteggi di rischio predefiniti per gli avvisi: specifica il punteggio di rischio predefinito degli avvisi in alla pagina Impostazioni. Il valore predefinito è 40. Puoi modificare un singolo avviso i punteggi di rischio nelle regole stesse. Queste impostazioni sostituiscono i valori predefiniti configurati nella pagina Impostazioni.

• Punteggi di rischio predefiniti per i rilevamenti: specifica il rischio di rilevamento predefinito nella pagina Impostazioni. Il valore predefinito è 15. Puoi modificare singole il rilevamento dei punteggi di rischio nelle regole stesse. Queste impostazioni sostituiscono i valori predefiniti configurate nella pagina Impostazioni.