Risiko-Score – Übersicht

Unterstützt in:

Risikobewertungen werden im gesamten Google Security Operations-Team verwendet. Die Definition und Funktion dieser Bewertungen variieren je nach verwendeter Funktion.

Risk Analytics ist mit Enterprise- und Enterprise Plus-Lizenzen oder als ein Add-on für eine eigenständige Google SecOps SIEM-Lizenz.

Entitäten in Risikoanalysen

In diesem Abschnitt werden die Konzepte von Entitäten, Risiken und Ergebnissen in ihrer aktuellen Form definiert. in der Risikoanalyse Dashboard.

  • Entitäten: Kontextbezogene Darstellung eines Assets oder Nutzers in Ihrer Umgebung. Alle mit Entitäten verknüpften Ereignisse bieten Kontext zu wie riskant die Entität ist. Weitere Informationen finden Sie unter Logische Objekte: Ereignis und Entität.

  • Risikoberechnungsfenster: Hier können Sie den Zeitraum Dashboard, mit dem Sie Daten für verschiedene Zeiträume betrachten können. Zum Beispiel können Sie Brute-Force-Anmeldeversuche erkennen, indem Sie die kürzere oder langfristige schädliche Aktivitäten untersuchen, indem Sie die längere Zeitfenster.

  • Normalisiert: Normalisierte Werte liegen zwischen 1 und 1.000, um die Entitäten ohne Bewertungen aus den Entitäten, die innerhalb der Risikofenster.

  • Normalisierter Trend: Änderung der normalisierten Risikobewertung für Entitäten seit dem vorheriges Fenster.

  • Basis: Die Basisbewertungen werden berechnet, indem die Risikobewertungen über Ergebnisse (Benachrichtigungen und Erkennungen) für eine Entität während des Risikofensters mit Gewichtung angewendet. Wenn der Gewichtungswert 1 ist, hat die Gewichtung kein die Auswirkungen. Weitere Informationen finden Sie unter Entitätsrisikowert.

  • Basisänderung: Änderung der Basisrisikobewertung für Entitäten seit der vorherigen .

  • Zuerst/zuletzt im Fenster erfasstes Fenster: Zeitstempel für den Zeitpunkt, zu dem die Entität angezeigt wird wurden im angegebenen Zeitraum als Erstes oder zuletzt in einem Ergebnis (Warnung oder Erkennung) festgestellt das im Risikofenster angegeben ist.

Ergebnisse in der Risikoanalyse

Die folgenden Begriffe werden auf der Entitätsprofilseite verwendet (klicken Sie auf eine Entität in der Entitätstabelle, um sie auf der Entitätsprofilseite zu öffnen).

  • Ergebnisse: Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), die dies enthalten Entität für den Zeitraum im Risikofenster.

  • Schweregrad: Der Schweregrad wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.

  • Priorität: Die Priorität wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.

  • Risikobewertung: Risikobewertungen werden von der Quelle festgelegt, wenn ein Ergebnis erstellt wird. Wenn die Risikobewertungen nicht festgelegt sind, wird die Standardrisikobewertung für Benachrichtigungen und Erkennungen verwendet. Die standardmäßige Risikobewertung für Benachrichtigungen ist 40. Standardeinstellung Risikobewertung für Erkennungen ist 15.

Berechnung der Risikobewertung

Die Berechnung des Risikowerts für jede Entität basiert auf der Risikobewertung von Ergebnisse und wird basierend auf einer Reihe von Parametern, die Sie angeben können, und einer von Parametern, die von Google Security Operations kontrolliert werden. Parameter, die Sie festlegen können sind über die Navigationsleiste auf Einstellungen > Entität Risikobewertungen:

  • Koeffizient der geschlossenen Benachrichtigung: Wenn die Sicherheitsanalysten eine Benachrichtigung als geschlossen, wird er mit diesem Gleitkommamodifikator multipliziert. Der Bereich ist 0–1. Der Standardwert ist 1.

  • Standardrisikowert für Erkennung: Geben Sie die Risikobewertung für Erkennungen in das Modul für Regeln. Der Bereich kann zwischen 0 und 1.000 liegen. Der Standardwert ist 15.

Die folgenden Parameter werden von Google Security Operations angegeben:

  • Änderung des Risikowerts mit TTL: Der Basiswert für die Risikobewertung für Entitäten wird geändert durch Multiplikationsfaktor für den Zeitraum.

  • Änderung der Risikobewertung ohne TTL: Die Risikobewertung für Erkennungen wird mit einem Multiplikatorfaktor geändert.

Im Folgenden finden Sie die Formeln zur Berechnung des Risiko-Scores und normalisierter Risikowert:

  • Berechnung des Risikowerts: (Basisrisikobewertung für Entitäten) = (maximaler Risikowert) für das Ergebnis) + (Gewichtung * (Summe der verbleibenden Risikobewertungen für die Ergebnisse))

  • Normalisierter Risikowert: Die Risikobewertungen der Basisentitäten werden für alle Entitäten normalisiert. Für die Basisrisikobewertung für Entitäten werden die Mindest- und Höchstwerte für die Normalisierung und Bereiche verwendet von 1 bis 1.000. Entitäten ohne Risiko sind nicht enthalten.

Beispiel: Berechnung des Risikowerts

Im Folgenden wird die vollständige Abfolge beschrieben, wie eine Risikoerkennungsbewertung für eine Entität berechnet wird:

  1. Eingabe: Die Erkennungen sind nach Indikatoren gruppiert.
  2. (Optional) Koeffizient für geschlossene Benachrichtigungen: Wenn der Risikowert für die Erkennung für bei einer Benachrichtigung bei geschlossenem Alarm, wird der Wert mit dem Koeffizienten für geschlossene Benachrichtigungen multipliziert.
  3. Optional: Änderung des Standard-Risikowerts Wenn dies nicht explizit in eine Regel gilt, wird der Standardrisikowert für die Erkennung angewendet. Die Standardrisikobewertungen für Erkennungen mit oder ohne Benachrichtigung können in den Einstellungen für Risikobewertungen für Entitäten geändert werden.
  4. Berechnung des Risikowerts: Der Gewichtungsfaktor wird mit der Summe der alle Erkennungen (außer dem maximalen Risikowert für Erkennung) und dann hinzugefügt den maximalen Risikowert für die Erkennung. Dieser Wert stellt die Rohentität dar Risikobewertung.
  5. Gewicht der Änderung: Der Rohwert der Risikobewertung für Entitäten wird mit dem Gewicht der Änderung multipliziert. Diese Änderung ist ein einmaliger Vorgang, es sei denn, es handelt sich um eine TTL festgelegt ist. Dieser Wert ist die Basisrisikobewertung für Entitäten.
  6. Gewichtung der Beobachtungsliste: Wenn eine Entität Teil einer Beobachtungsliste ist, wird die Beobachtungsliste wird zur Risikobewertung für die Erkennung addiert.
  7. Normalisierte Risikobewertung: Die Basisrisikobewertung für Entitäten wird über für alle Entitäten mit Min-Max-Normalisierung.

Einstellungen für Risikobewertungen

Auf der Seite Risikobewertungen für Entitäten können Sie festlegen, wie Risikobewertungen berechnet werden für Entitäten, Warnungen und Erkennungen. Sie können das Entitätsrisiko gewichten Bewerten und Standardrisikobewertungen für Warnungen und Erkennungen festlegen. Nur Änderungen werden auf neue Benachrichtigungen und Erkennungen angewendet. Es kann bis zu 30 Minuten dauern, bis die Änderung wirksam wird.

  • Risikobewertung für Entitäten: Die Gewichtung definiert, wie Warnungen und Erkennungen erkannt werden. Risikobewertungen werden bei der Berechnung der Risikobewertung für Entitäten berücksichtigt. Die Gewichtung ist ein Wert von 0 bis 1 liegt. Die Formel für die Basisrisikobewertung für Entitäten ist so definiert: folgt:

    Basisentitätsrisikowert = (maximaler Risikowert für das Ergebnis) + (Gewichtung * (Summe der verbleibenden Risikobewertungen für die Ergebnisse)

  • Standardrisikobewertungen für Benachrichtigungen: Geben Sie die Standardrisikobewertung für Benachrichtigungen auf der Seite Einstellungen an. Der Standardwert ist 40. Sie können die Risikobewertungen für einzelne Benachrichtigungen in den Regeln selbst ändern. Diese überschreiben alle konfigurierten Standardeinstellungen auf der Seite Einstellungen.

  • Standardrisikobewertungen für Erkennungen: Geben Sie das Standardrisiko für die Erkennung an. auf der Seite Einstellungen. Der Standardwert ist 15. Sie können die einzelnen Risikobewertungen für die Erkennung in den Regeln selbst ändern. Diese überschreiben alle Standardeinstellungen. die auf der Seite Einstellungen konfiguriert wurden.