Visão geral da pontuação de risco
As pontuações de risco são usadas em todas as operações de segurança do Google. A definição e a função dessas pontuações variam de acordo com o recurso que você está usando.
A Análise de risco está disponível com licenças Enterprise e Enterprise Plus ou como um complemento de uma licença autônoma do SIEM do Google SecOps.
Entidades na análise de dados de risco
Esta seção define os conceitos de entidades, risco e descobertas conforme apresentados no Painel de Análise de Risco.
Entidades: representação contextual de um recurso ou usuário na sua de nuvem. Todos os eventos associados a entidades fornecem contexto sobre o quão arriscada a entidade é. Para mais informações, consulte Objetos lógicos: evento e entidade.
Janela de cálculo de risco: permite mudar o período do painel, o que permite analisar dados em diferentes períodos. Por exemplo, você pode descobrir tentativas de login por força bruta usando o método ou examinar atividades maliciosas de longo prazo definindo a duração janela de tempo.
Normalizada: as pontuações normalizadas são definidas entre 1 e 1.000 para distinguir o entidades sem pontuações das entidades que têm detecções dentro do janela de risco.
Tendência normalizada: mudança na pontuação de risco normalizada da entidade desde a janela anterior.
Base: as pontuações básicas são calculadas com a soma das pontuações de risco nas descobertas (alertas e detecções) para uma entidade durante a janela de risco com ponderação aplicada. Se o valor de ponderação for 1, a ponderação não terá efeito. Para mais informações, consulte Risco de entidade de qualidade.
Alteração básica: alteração na pontuação de risco básica da entidade desde a versão anterior janela.
Visto pela primeira ou última vez na janela: carimbo de data/hora correspondente ao momento em que a entidade foi visto pela primeira ou pela última vez em uma descoberta (alerta ou detecção) no período especificado na janela de risco.
Descobertas na Análise de dados de risco
Os termos a seguir são usados na página de perfil da entidade (clique em uma entidade na tabela de entidades para abri-la na página de perfil da entidade).
Descoberta: número de descobertas (alertas e detecções) que incluem essa entidade no período da janela de risco.
Gravidade: a gravidade é definida pela origem quando uma descoberta é criada.
Prioridade: é definida pela origem quando uma descoberta é criada.
Pontuação de risco: é definida pela origem quando uma descoberta é criada. Se as pontuações de risco não forem definidas, a pontuação de risco padrão para alertas e detecções será usada. A pontuação de risco padrão para alertas é 40. A pontuação de risco padrão para detecções é 15.
Cálculo da pontuação de risco
O cálculo da pontuação de risco para cada entidade é baseado na pontuação de risco de descobertas e modificado com base em um conjunto de parâmetros que você pode especificar e um conjunto de parâmetros controlados pelas Operações de segurança do Google. Os parâmetros que você pode controlar são acessados na barra de navegação clicando em Settings > Entity risk scores:
Coeficiente de alerta fechado: se os analistas de segurança marcarem um alerta como fechado, ele será multiplicado por esse modificador de ponto flutuante. O intervalo é 0 a 1. O valor padrão é 1.
Pontuação de risco de detecção padrão: especifique a pontuação de risco das detecções em no mecanismo de regras. O intervalo é de 0 a 1.000. O valor padrão é 15.
Os seguintes parâmetros são especificados pelas Operações de segurança do Google:
Modificação da pontuação de risco com TTL: a pontuação de risco básica da entidade é modificada por um fator de multiplicação para o período.
Modificação da pontuação de risco sem TTL: a pontuação de risco de detecção é modificada com um fator de multiplicação.
A seguir estão as fórmulas usadas para calcular a pontuação de risco e pontuação de risco normalizada:
Cálculo da pontuação de risco: (pontuação de risco básica da entidade) = (pontuação de risco máxima da descoberta) + (Ponderação * (Soma das pontuações de risco restantes para a descobertas)
Pontuação de risco normalizada: as pontuações de risco básicas da entidade são normalizadas em todas as entidades. A pontuação de risco da entidade básica usa a normalização mínimo-máximo e varia de 1 a 1.000. Entidades com risco zero não são incluídas.
Exemplo: cálculo da pontuação de risco
Confira a seguir a sequência completa de como uma pontuação de detecção de risco é calculada para uma entidade:
- Entrada: as detecções são agrupadas por indicador.
- (Opcional) Coeficiente de alerta fechado: se a pontuação de risco de detecção for para um alerta fechado, ela será multiplicada pelo coeficiente de alerta fechado.
- (Opcional) Modificação da pontuação de risco padrão Se não for definido explicitamente em uma regra, a pontuação de risco de detecção padrão será aplicada. As pontuações de risco de detecção com ou sem alerta padrão podem ser alteradas nas configurações de pontuações de risco da entidade.
- Cálculo da pontuação de risco: o fator de ponderação é multiplicado à soma dos todas as detecções (exceto a pontuação máxima de risco de detecção) e adicionadas a pontuação máxima de risco de detecção. Esse valor representa a pontuação de risco da entidade bruta.
- Peso da modificação: a pontuação de risco da entidade bruta é multiplicada pelo peso da modificação. Essa modificação é uma operação única, a menos que um TTL seja definido. Esse valor é a pontuação de risco básica da entidade.
- Peso da lista de interesses: se uma entidade faz parte de uma lista de interesses, o peso dela é adicionado à pontuação de risco de detecção.
- Pontuação de risco normalizada: a pontuação de risco básica da entidade é normalizada todas as entidades que usam a normalização mín-máx.
Configurações da pontuação de risco
A página Pontuações de risco da entidade permite definir como as pontuações de risco são calculadas. para entidades, alertas e detecções. É possível aplicar ponderação ao risco da entidade cálculos de pontuação de segurança e definir pontuações de risco padrão para alertas e detecção. As mudanças valem somente para detecções e alertas novos e podem levar até 30 minutos para serem aplicadas.
Ponderação da pontuação de risco da entidade: a ponderação define como o alerta e a detecção e as pontuações de risco são consideradas nos cálculos de pontuação de risco da entidade. O peso é um valor de 0 a 1. A fórmula para a pontuação de risco básica da entidade é definida da seguinte maneira:
Pontuação de risco básica da entidade = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))
Pontuações de risco padrão para alertas: especifique a pontuação de risco de alerta padrão em página Configurações. O padrão é 40. É possível modificar alertas individuais as pontuações de risco nas próprias regras. Elas substituem todos os padrões configurados na página Configurações.
Pontuações de risco padrão para detecções: especifique a pontuação de risco de detecção padrão na página Configurações. O padrão é 15. É possível modificar as pontuações de risco de detecção individuais nas próprias regras. Eles substituem os padrões definidos na página Configurações.