위험 점수 개요
위험 점수는 Google Security Operations 전반에 사용됩니다. 이러한 점수의 정의 및 기능은 사용 중인 기능에 따라 달라집니다.
위험 분석은 Enterprise 및 Enterprise Plus 라이선스와 함께 제공되거나 Google SecOps SIEM 독립형 라이선스의 부가기능으로 제공됩니다.
위험 분석의 활동
이 섹션에서는 위험 분석 대시보드에 제공된 대로 항목, 위험, 발견 항목의 개념을 정의합니다.
항목: 해당 환경에 있는 애셋 또는 사용자에 대한 상황별 표현입니다. 항목과 연결된 모든 이벤트는 항목의 위험 정도에 대한 컨텍스트를 제공합니다. 자세한 내용은 논리적 객체: 이벤트 및 항목을 참조하세요.
위험 계산 기간: 대시보드의 타임프레임을 변경하여 여러 기간에 걸쳐서 데이터를 조사할 수 있습니다. 예를 들어 짧은 기간을 사용해서 무차별 대입 공격 로그인 시도를 확인하거나 기간을 더 길게 설정해서 장기적인 악의적 활동을 조사할 수 있습니다.
정규화: 정규화 점수는 점수가 없는 항목을 위험 기간 내에 감지된 항목과 구분하기 위해 1~1,000으로 설정됩니다.
정규화 추세: 이전 기간 이래로 정규화된 항목 위험 점수의 변화입니다.
기본: 기본 점수는 가중치가 적용된 위험 기간 중 항목에 대해 발견 항목(알림 및 감지) 전반의 위험 점수를 추가하여 계산됩니다. 가중치 값이 1이면 가중치가 영향을 주지 않습니다. 자세한 내용은 항목 위험 점수를 참조하세요.
기본 변화: 이전 기간 이래로 기본 항목 위험 점수의 변화입니다.
기간 중 최초/마지막 발생 시간: 위험 기간에서 지정된 기간에 발견 항목(알림 또는 감지)에서 항목이 처음 또는 마지막으로 발생한 시간을 나타내는 타임스탬프입니다.
위험 분석의 발견 항목
항목 프로필 페이지에서는 다음 용어가 사용됩니다. 항목 테이블에서 항목을 클릭하면 항목 프로필 페이지에서 해당 항목이 열립니다.
발견 항목: 위험 기간에서 해당 기간 동안 이 항목을 포함하는 발견 항목(알림 및 감지) 수입니다.
심각도: 심각도는 발견 항목이 생성되었을 때 소스에 의해 설정됩니다.
우선순위: 우선순위는 발견 항목이 생성되었을 때 소스에 의해 설정됩니다.
위험 점수: 위험 점수는 발견 항목이 생성되었을 때 소스에 의해 설정됩니다. 위험 점수가 설정되지 않았으면 알림 및 감지에 대해 기본 위험 점수가 사용됩니다. 알림의 기본 위험 점수는 40입니다. 감지의 기본 위험 점수는 15입니다.
위험 점수 계산
각 항목의 위험 점수 계산은 발견 항목의 위험 점수를 기반으로 하며 지정할 수 있는 매개변수 집합과 Google Security Operations에서 제어하는 매개변수 집합을 기준으로 수정됩니다. 탐색 메뉴로 이동하고 설정 > 항목 위험 점수를 클릭하여 제어할 수 있는 매개변수에 액세스할 수 있습니다.
닫힌 알림 계수: 보안 분석가가 알림을 종료됨으로 표시하면 이 부동 소수점 한정자로 곱해집니다. 범위는 0-1입니다. 기본값은 1입니다.
기본 감지 위험 점수: 규칙 엔진에서 감지에 대한 위험 점수를 지정합니다. 범위는 0-1,000입니다. 기본값은 15입니다.
다음 매개변수는 Google Security Operations에서 지정됩니다.
TTL을 사용한 위험 점수 수정: 기본 항목 위험 점수는 시간 범위에 대한 곱셈 계수로 수정됩니다.
TTL을 사용하지 않는 위험 점수 수정: 감지 위험 점수는 곱셈 계수를 사용하여 수정됩니다.
다음은 위험 점수 및 정규화된 위험 점수를 계산하는 데 사용되는 수식입니다.
위험 점수 계산: (기본 항목 위험 점수) = (발견 항목의 최대 위험 점수) + (가중치 * (발견 항목의 나머지 위험 점수 합계))
정규화된 위험 점수: 기본 항목 위험 점수는 모든 항목에서 정규화됩니다. 기본 항목 위험 점수는 최소-최대 정규화를 사용하며 1~1,000 사이의 범위입니다. 위험이 0인 항목은 포함되지 않습니다.
예시: 위험 점수 계산
다음은 항목에 위험 감지 점수가 계산되는 방식의 전체 순서를 설명합니다.
- 입력: 감지가 표시기별로 그룹화됩니다.
- (선택사항) 종료된 알림 계수: 감지 위험 점수가 종료된 알림에 대한 점수이면 이 점수에 종료된 알림 계수를 곱합니다.
- (선택사항) 기본 위험 점수 수정: 규칙에 명시적으로 설정되지 않으면 기본 감지 위험 점수가 적용됩니다. 항목 위험 점수 설정에서 기본 알림 또는 비알림 감지 위험 점수를 변경할 수 있습니다.
- 위험 점수 계산: 가중치 요인은 모든 감지의 합계(최대 감지 위험 점수 제외)에 곱한 후 최대 감지 위험 점수에 더합니다. 이 값은 원시 항목 위험 점수를 나타냅니다.
- 수정 가중치: 원시 항목 위험 점수에 수정 가중치를 곱합니다. TTL이 설정되지 않는 한 이 수정은 일회성 작업입니다. 이 값은 기본 항목 위험 점수입니다.
- 관심 목록 가중치: 항목이 관심 목록의 일부인 경우 관심 목록 가중치를 감지 위험 점수에 더합니다.
- 정규화된 위험 점수: 기본 항목 위험 점수는 최소-최대 정규화를 통해 모든 항목에서 정규화됩니다.
위험 점수 설정
항목 위험 점수 페이지에서는 항목, 알림, 감지에 대해 위험 점수를 계산하는 방법을 정의할 수 있습니다. 항목 위험 점수 계산에 가중치를 적용하고 기본 알림 및 감지 위험 점수를 설정할 수 있습니다. 변경사항은 새로운 알림 및 감지에만 적용되며 적용되는 데 최대 30분까지 걸릴 수 있습니다.
항목 위험 점수 가중치: 가중치는 알림 및 감지 위험 점수가 항목 위험 점수 계산에 적용되는 방식을 정의합니다. 가중치는 0~1까지의 값입니다. 기준 항목 위험 점수의 수식은 다음과 같이 정의됩니다.
기본 항목 위험 점수 = (발견 항목의 최대 위험 점수) + (가중치 * (발견 항목의 나머지 위험 점수 합계))
알림의 기본 위험 점수: 설정 페이지에서 기본 알림 위험 점수를 지정합니다. 기본값은 40입니다. 규칙 자체에서 개별 알림 위험 점수를 수정할 수 있습니다. 이렇게 하면 설정 페이지에 구성된 기본값이 재정의됩니다.
감지의 기본 위험 점수: 설정 페이지에서 기본 감지 위험 점수를 지정합니다. 기본값은 15입니다. 규칙 자체에서 개별 감지 위험 점수를 수정할 수 있습니다. 이렇게 하면 설정 페이지에 구성된 기본값이 재정의됩니다.