Risiko-Score – Übersicht

Risikobewertungen werden im gesamten Google Security Operations-Team verwendet. Die Definition und Funktion dieser Bewertungen variieren je nach verwendeter Funktion.

Risk Analytics ist mit Enterprise- und Enterprise Plus-Lizenzen oder als Add-on zu einer eigenständigen Google SecOps SIEM-Lizenz verfügbar.

Entitäten in Risikoanalysen

In diesem Abschnitt werden die Konzepte zu Entitäten, Risiken und Ergebnissen definiert, wie sie im Risk Analytics-Dashboard dargestellt werden.

  • Entitäten: Kontextbezogene Darstellung eines Assets oder Nutzers in Ihrer Umgebung. Alle mit Entitäten verknüpften Ereignisse bieten Kontext dazu, wie riskant die Entität ist. Weitere Informationen finden Sie unter Logische Objekte: Ereignis und Entität.

  • Risikoberechnungsfenster: Hiermit können Sie den Zeitraum für das Dashboard ändern und so Daten in verschiedenen Zeiträumen betrachten. Sie können beispielsweise Brute-Force-Anmeldeversuche anhand eines kürzeren Zeitfensters erkennen oder langfristige schädliche Aktivitäten prüfen, indem Sie ein längeres Zeitfenster festlegen.

  • Normalisiert: Normalisierte Bewertungen werden auf einen Wert zwischen 1 und 1.000 gesetzt, um Entitäten ohne Bewertungen von Entitäten zu unterscheiden, die innerhalb des Risikofensters erkannt werden.

  • Normalisierter Trend: Änderung der normalisierten Risikobewertung für Entitäten seit dem vorherigen Fenster.

  • Basis: Basisbewertungen werden berechnet, indem die Risikobewertungen den Ergebnissen (Benachrichtigungen und Erkennungen) für eine Entität während des Risikofensters mit angewendeter Gewichtung addiert werden. Wenn der Gewichtungswert 1 ist, hat die Gewichtung keine Auswirkungen. Weitere Informationen finden Sie unter Risikobewertung für Entitäten.

  • Basisänderung: Änderung der Basisrisikobewertung für Entitäten seit dem vorherigen Fenster.

  • Zuerst/zuletzt im Fenster erfasst: Zeitstempel, der dem Zeitpunkt entspricht, zu dem die Entität in einem Ergebnis (Benachrichtigung oder Erkennung) für den im Risikofenster angegebenen Zeitraum zum ersten oder letzten Mal aufgetreten ist.

Ergebnisse in der Risikoanalyse

Die folgenden Begriffe werden auf der Entitätsprofilseite verwendet. Klicken Sie in der Entitätstabelle auf eine Entität, um sie auf der Entitätsprofilseite zu öffnen.

  • Ergebnisse: Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), die diese Entität für den Zeitraum des Risikofensters enthalten.

  • Schweregrad: Der Schweregrad wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.

  • Priorität: Die Priorität wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.

  • Risikobewertung: Risikobewertungen werden von der Quelle festgelegt, wenn ein Ergebnis erstellt wird. Wenn keine Risikobewertungen festgelegt sind, wird die Standardrisikobewertung für Benachrichtigungen und Erkennungen verwendet. Die standardmäßige Risikobewertung für Benachrichtigungen ist 40. Die Standardrisikobewertung für Erkennungen ist 15.

Berechnung des Risiko-Scores

Die Berechnung der Risikobewertung für jede Entität basiert auf der Risikobewertung der Ergebnisse und wird anhand einer Reihe von Parametern, die Sie angeben können, und einer Reihe von Parametern geändert, die von Google Security Operations gesteuert werden. Die Parameter, die Sie steuern können, sind verfügbar, wenn Sie in der Navigationsleiste auf Einstellungen > Risikobewertungen für Entitäten klicken:

  • Koeffizient der geschlossenen Benachrichtigung: Wenn die Sicherheitsanalysten eine Benachrichtigung als geschlossen markieren, wird sie mit diesem Gleitkommamodifikator multipliziert. Der Bereich ist 0–1. Der Standardwert ist 1.

  • Standardrisikowert für Erkennung: Geben Sie die Risikobewertung für Erkennungen im Regelmodul an. Der Bereich kann zwischen 0 und 1.000 liegen. Der Standardwert ist 15.

Die folgenden Parameter werden von Google Security Operations angegeben:

  • Änderung des Risikowerts mit TTL: Der Basisrisikowert für Entitäten wird durch einen Multiplikationsfaktor für den Zeitraum geändert.

  • Änderung des Risikowerts ohne TTL: Die Risikobewertung für die Erkennung wird mit einem Multiplikationsfaktor geändert.

Die folgenden Formeln werden zur Berechnung der Risikobewertung und der normalisierten Risikobewertung verwendet:

  • Berechnung des Risikowerts: (Basisrisikobewertung für die Entität) = (maximaler Risikowert für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse))

  • Normalisierte Risikobewertung: Basisrisikobewertungen für Entitäten werden für alle Entitäten normalisiert. Die Basisrisikobewertung für Entitäten verwendet die Min-Max-Normalisierung und reicht von 1 bis 1.000. Entitäten ohne Risiko sind nicht enthalten.

Beispiel: Berechnung des Risikowerts

Im Folgenden wird die vollständige Reihenfolge der Berechnung des Risikoerkennungswerts für eine Entität beschrieben:

  1. Eingabe: Die Erkennungen sind nach Indikatoren gruppiert.
  2. (Optional) Koeffizient für geschlossene Benachrichtigungen: Wenn der Erkennungsrisikowert für eine geschlossene Benachrichtigung gilt, wird der Wert mit dem Koeffizienten für geschlossene Benachrichtigungen multipliziert.
  3. (Optional) Änderung der Standardrisikobewertung: Wenn dies nicht explizit in einer Regel festgelegt ist, wird die Standardrisikobewertung für die Erkennung angewendet. Risikobewertungen für Standardbenachrichtigungen oder Erkennung ohne Benachrichtigungen können in den Einstellungen für Risikobewertungen für Entitäten geändert werden.
  4. Berechnung des Risikowerts: Der Gewichtungsfaktor wird mit der Summe aller Erkennungen (außer dem maximalen Risikowert für Erkennung) multipliziert und dann zum maximalen Risikowert für die Erkennung addiert. Dieser Wert steht für die unbearbeitete Risikobewertung der Entität.
  5. Änderungsgewichtung: Die Risikobewertung für Rohentitäten wird mit der Änderungsgewichtung multipliziert. Diese Änderung ist ein einmaliger Vorgang, sofern keine TTL festgelegt ist. Dieser Wert ist die Basisrisikobewertung für Entitäten.
  6. Gewichtung der Beobachtungsliste: Wenn eine Entität Teil einer Beobachtungsliste ist, wird die Gewichtung der Beobachtungsliste zur Risikobewertung für die Erkennung hinzugefügt.
  7. Normalisierte Risikobewertung: Die Basisrisikobewertung für Entitäten wird mithilfe der Minimal-Maximal-Normalisierung für alle Entitäten normalisiert.

Einstellungen für Risikobewertungen

Auf der Seite Risikobewertungen für Entitäten können Sie festlegen, wie Risikobewertungen für Entitäten, Benachrichtigungen und Erkennungen berechnet werden. Sie können eine Gewichtung auf Berechnungen für die Risikobewertung für Entitäten anwenden und Standardrisikobewertungen für Benachrichtigungen und Erkennungen festlegen. Änderungen gelten nur für neue Benachrichtigungen und Erkennungen. Es kann bis zu 30 Minuten dauern, bis sie wirksam werden.

  • Gewichtung der Risikobewertung für Entitäten: Die Gewichtung definiert, wie Benachrichtigungs- und Erkennungsrisikobewertungen bei der Berechnung der Risikobewertung für Entitäten berücksichtigt werden. Die Gewichtung muss ein Wert von 0 bis 1 sein. Die Formel für die Basisrisikobewertung für Entitäten ist so definiert:

    Basisentitätsrisikowert = (maximaler Risikowert für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse))

  • Standardrisikobewertungen für Benachrichtigungen: Geben Sie auf der Seite Einstellungen die Standardrisikobewertung für Benachrichtigungen an. Der Standardwert ist 40. Sie können einzelne Risikobewertungen für Benachrichtigungen in den Regeln selbst ändern. Diese überschreiben alle auf der Seite Einstellungen konfigurierten Standardeinstellungen.

  • Standardrisikobewertungen für Erkennungen: Geben Sie auf der Seite Einstellungen die Standardrisikobewertung für die Erkennung an. Der Standardwert ist 15. Sie können einzelne Risikobewertungen für Erkennungen in den Regeln selbst ändern. Diese überschreiben alle auf der Seite Einstellungen konfigurierten Standardeinstellungen.