Risikoanalysen – Übersicht

Unterstützt in:

Mithilfe von Risikoanalysen können Sie ungewöhnliches Verhalten erkennen und das potenzielle Risiko ermitteln, das Entitäten für Ihr Unternehmen darstellen. In Systemen, in denen die RBAC für Daten verwendet wird, können nur Nutzer mit globalem Zugriff auf Risikoanalysen zugreifen. Das Dashboard „Risikoanalyse“ besteht aus einem Bereich für Verhaltensanalysen, in dem Entitäten nach den Risikobewertungen von Google SecOps-Entitäten aufgeführt werden, und einem Bereich für Beobachtungslisten, in dem Entitäten nach internen Risikoberechnungen des Unternehmens aufgeführt werden.

Risikobewertungen werden in Google SecOps verwendet. Die Definition und Funktion dieser Bewertungen variieren je nach verwendeter Funktion.

Risk Analytics ist mit Enterprise- und Enterprise Plus-Lizenzen oder als Add-on zu einer eigenständigen Google SecOps SIEM-Lizenz verfügbar.

Entitäten, Risiken und Ergebnisse in der Risikoanalyse

In diesem Abschnitt werden die Konzepte „Entitäten“, „Risiko“ und „Ergebnisse“ definiert, wie sie im Dashboard für Risikoanalysen dargestellt werden.

  • Entitäten: Kontextbezogene Darstellung eines Assets oder Nutzers in Ihrer Umgebung. Alle mit Entitäten verknüpften Ereignisse liefern Kontext dazu, wie riskant die Entität ist. Weitere Informationen finden Sie unter Logische Objekte: Ereignis und Entität.

  • Risikoberechnungszeitraum: Hiermit können Sie den Zeitraum für das Dashboard ändern, um Daten aus verschiedenen Zeiträumen zu sehen. So können Sie beispielsweise Brute-Force-Anmeldeversuche aufdecken, indem Sie ein kürzeres Zeitfenster verwenden, oder längerfristige schädliche Aktivitäten untersuchen, indem Sie ein längeres Zeitfenster festlegen.

  • Normalisiert: Normalisierte Werte werden zwischen 1 und 1.000 festgelegt, um Entitäten ohne Werte von Entitäten mit Erkennungen innerhalb des Risikozeitraums zu unterscheiden.

  • Normalisierter Trend: Änderung der normalisierten Risikobewertung für die Entität seit dem vorherigen Zeitraum.

  • Basis: Basisbewertungen werden berechnet, indem die Risikobewertungen aller Ergebnisse (Benachrichtigungen und Erkennungen) für eine Entität während des Risikofensters mit Gewichtung addiert werden.

    Mit der Gewichtung wird festgelegt, wie die Risikobewertungen für Benachrichtigungen und Erkennungen zur Berechnung der Risikobewertung für Entitäten beitragen. Die Gewichtung kann einen Wert zwischen 0 und 1 haben.
    Wenn der Wert „1“ ist, hat die Gewichtung keine Auswirkungen. Alle anderen Werte sind Prozentsätze (z. B. entspricht 0,5 50%). Der Standardwert für die Gewichtung ist 0,2 und kann in den Einstellungen geändert werden. Weitere Informationen finden Sie unter Bewertung des Entitätsrisikos.

  • Änderung der Basis: Änderung der Risikobewertung der Basisentität seit dem vorherigen Fenster.

  • Im Fenster zuerst/zuletzt gesehen: Zeitstempel, der angibt, wann die Entität im im Risikofenster angegebenen Zeitraum zuerst oder zuletzt in einem Ergebnis (Benachrichtigung oder Erkennung) gefunden wurde.

Ergebnisse in Risikoanalysen

Auf der Seite „Ergebnisse“ werden die folgenden Begriffe verwendet. Klicken Sie auf eine Entität in der Entitätstabelle, um sie auf der Seite „Ergebnisse“ zu öffnen.

  • Ergebnisse: Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), in denen diese Entität für den Zeitraum im Risikofenster vorkommt.

  • Schweregrad: Der Schweregrad wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.

  • Priorität: Die Priorität wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.

  • Risikobewertung: Risikobewertungen werden von der Quelle festgelegt, wenn ein Ergebnis erstellt wird. Wenn die Risikobewertungen nicht festgelegt sind, wird die Standardrisikobewertung für Benachrichtigungen und Erkennungen verwendet. Die Standardrisikobewertung für Benachrichtigungen ist 40. Die Standardrisikobewertung für Erkennungen ist 15.

angezeigt.

Berechnung der Risikobewertung

Die Berechnung des Risikowerts für jede Entität basiert auf dem Risikowert der Ergebnisse und wird anhand einer Reihe von Parametern, die Sie angeben können, und einer Reihe von Parametern, die von Google Security Operations verwaltet werden, angepasst. Die Parameter, die Sie verwalten können, finden Sie in der Navigationsleiste unter Einstellungen > Risikobewertungen für Rechtssubjekte:

  • Koeffizient für geschlossene Benachrichtigungen: Wenn die Sicherheitsanalysten eine Benachrichtigung als geschlossen markieren, wird sie mit diesem Gleitkomma-Modifikator multipliziert. Der Bereich liegt zwischen 0 und 1. Der Standardwert ist 1.

  • Standardrisikobewertung für Erkennungen: Geben Sie die Risikobewertung für Erkennungen in der Regelmaschine an. Der Bereich liegt zwischen 0 und 1.000. Der Standardwert ist 15.

Die folgenden Parameter werden vom Google-Sicherheitsteam angegeben:

  • Änderung der Risikobewertung mit TTL: Die Risikobewertung für Basisentitäten wird für den Zeitraum mit einem Multiplikationsfaktor geändert.

  • Änderung der Risikobewertung ohne TTL: Die Risikobewertung für Erkennungen wird mit einem Multiplikator multipliziert.

Die folgenden Formeln werden zum Berechnen des Risikowerts und des normalisierten Risikowerts verwendet:

  • Berechnung der Risikobewertung: (Risikobewertung der Basisentität) = (maximale Risikobewertung für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse))

  • Normalisierter Risikowert: Die Risikobewertungen der Basisentitäten werden für alle Entitäten normalisiert. Der Risikowert für Basisentitäten verwendet die Min-Max-Normalisierung und reicht von 1 bis 1.000. Entitäten mit Nullrisiko sind nicht enthalten.

Beispiel: Berechnung der Risikobewertung

Im Folgenden wird die vollständige Abfolge beschrieben, wie eine Risikoerkennungsbewertung für eine Entität berechnet wird:

  1. Eingabe: Die Erkennungen werden nach Indikator gruppiert.
  2. (Optional) Koeffizient für geschlossene Benachrichtigungen: Wenn die Risikobewertung für eine geschlossene Benachrichtigung gilt, wird sie mit dem Koeffizienten für geschlossene Benachrichtigungen multipliziert.
  3. (Optional) Standardrisikobewertung ändern: Wenn sie nicht explizit in einer Regel festgelegt ist, wird die Standardrisikobewertung für Erkennungen angewendet. Die Standardrisikobewertungen für Erkennungen, die eine Benachrichtigung auslösen oder keine Benachrichtigung auslösen, können in den Einstellungen für Risikobewertungen für Entitäten geändert werden.
  4. Berechnung der Risikobewertung: Der Gewichtungsfaktor wird mit der Summe aller Erkennungen (mit Ausnahme der maximalen Risikobewertung für Erkennungen) multipliziert und dann der maximalen Risikobewertung für Erkennungen hinzugefügt. Dieser Wert entspricht dem Rohrisikowert des Rechtssubjekts.
  5. Gewicht der Änderung: Der Rohwert der Risikobewertung für Entitäten wird mit dem Gewicht der Änderung multipliziert. Diese Änderung ist ein einmaliger Vorgang, sofern keine TTL festgelegt ist. Dieser Wert ist die Risikobewertung der Basisentität.
  6. Gewicht der Beobachtungsliste: Wenn eine Entität Teil einer Beobachtungsliste ist, wird das Gewicht der Beobachtungsliste zur Risikobewertung für die Erkennung hinzugefügt.
  7. Normalisierter Risikowert: Der Risikowert der Basisentität wird mithilfe der Min-Max-Normalisierung für alle Entitäten normalisiert.

Einstellungen für Risikobewertungen

Auf der Seite Risikobewertungen für Entitäten können Sie festlegen, wie Risikobewertungen für Entitäten, Benachrichtigungen und Erkennungen berechnet werden. Sie können eine Gewichtung auf Berechnungen von Risikobewertungen für Entitäten anwenden und Standardrisikobewertungen für Benachrichtigungen und Erkennungen festlegen. Änderungen gelten nur für neue Benachrichtigungen und Erkennungen. Es kann bis zu 30 Minuten dauern, bis sie wirksam werden.

  • Gewichtung der Risikobewertung für Entitäten: Mit der Gewichtung wird festgelegt, wie die Risikobewertungen für Benachrichtigungen und Erkennungen in die Berechnung der Risikobewertung für Entitäten einfließen. Die Gewichtung ist ein Wert zwischen 0 und 1. Die Formel für die Risikobewertung für Basisentitäten ist so definiert:

    Risikowert für Basisentität = (höchste Risikobewertung für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse))

  • Standardrisikobewertungen für Benachrichtigungen: Geben Sie die Standardrisikobewertung für Benachrichtigungen auf der Seite Einstellungen an. Der Standardwert ist 40. Sie können die Risikobewertungen für einzelne Benachrichtigungen in den Regeln selbst ändern. Dadurch werden alle auf der Seite Einstellungen konfigurierten Standardeinstellungen überschrieben.

  • Standardrisikobewertungen für Erkennungen: Geben Sie die Standardrisikobewertung für Erkennungen auf der Seite Einstellungen an. Der Standardwert ist 15. Sie können die einzelnen Risikobewertungen für die Erkennung in den Regeln selbst ändern. Dadurch werden alle Standardeinstellungen überschrieben, die auf der Seite Einstellungen konfiguriert wurden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten