Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica del punteggio di rischio

I punteggi di rischio vengono utilizzati in Google Security Operations. La definizione e la funzione di questi punteggi variano a seconda della funzionalità che utilizzi.

Risk Analytics è disponibile con licenze Enterprise ed Enterprise Plus o come componente aggiuntivo di una licenza Google SecOps SIEM autonoma.

Entità in Risk Analytics

Questa sezione definisce i concetti di entità, rischio e risultati così come sono presentati nella dashboard Analisi del rischio.

Entità: rappresentazione contestuale di una risorsa o di un utente nel tuo ambiente. Tutti gli eventi associati alle entità forniscono il contesto relativo alla rischiosità dell'entità. Per ulteriori informazioni, consulta Oggetti logici: evento ed entità.
Finestra di calcolo del rischio: consente di modificare il periodo di tempo della dashboard, in modo da esaminare i dati relativi a periodi di tempo diversi. Ad esempio, puoi scoprire i tentativi di accesso di forza bruta utilizzando la finestra temporale più breve o esaminare le attività dannose a lungo termine impostando una finestra temporale più lunga.
Normalizzato: i punteggi normalizzati sono impostati su un valore compreso tra 1 e 1000 per distinguere le entità senza punteggio dalle entità che hanno rilevamenti all'interno della finestra di rischio.
Tendenza normalizzata: variazione del punteggio di rischio dell'entità normalizzato dalla finestra precedente.
Base: i punteggi di base vengono calcolati sommando i punteggi di rischio tra i risultati (avvisi e rilevamenti) per un'entità durante la finestra di rischio con la ponderazione applicata. Se il valore della ponderazione è 1, la ponderazione non avrà alcun impatto. Per maggiori informazioni, consulta il punteggio di rischio dell'entità.
Modifica di base: modifica del punteggio di rischio di base dell'entità rispetto alla finestra precedente.
Primo/ultimo rilevamento nella finestra: timestamp corrispondente alla data in cui l'entità è stata rilevata per la prima volta o per l'ultima volta in un risultato (avviso o rilevamento) per il periodo di tempo specificato nella finestra di rischio.

Risultati nell'analisi del rischio

I seguenti termini vengono utilizzati nella pagina del profilo dell'entità (fai clic su un'entità nella tabella delle entità per aprirla nella pagina del profilo dell'entità).

Ricerca: numero di risultati (avvisi e rilevamenti) che includono questa entità per il periodo di tempo nella finestra di rischio.
Gravità: la gravità è impostata dall'origine quando viene creato un risultato.
Priorità: la priorità viene impostata dall'origine quando viene creato un risultato.
Punteggio di rischio: i punteggi di rischio vengono impostati dall'origine quando viene creato un risultato. Se i punteggi di rischio non sono impostati, viene utilizzato il punteggio di rischio predefinito per avvisi e rilevamenti. Il punteggio di rischio predefinito per gli avvisi è 40. Il punteggio di rischio predefinito per i rilevamenti è 15.

Calcolo del punteggio di rischio

Il calcolo del punteggio di rischio per ogni entità si basa sul punteggio di rischio dei risultati ed è modificato in base a un insieme di parametri che puoi specificare e a un insieme di parametri controllati da Google Security Operations. Per accedere ai parametri che puoi controllare, vai alla barra di navigazione e fai clic su Impostazioni > Punteggi di rischio delle entità:

Coefficiente di avviso chiuso: se gli analisti della sicurezza contrassegnano un avviso come chiuso, viene moltiplicato per questo modificatore in virgola mobile. L'intervallo è 0-1. Il valore predefinito è 1.
Punteggio di rischio del rilevamento predefinito: specifica il punteggio di rischio per i rilevamenti nel motore delle regole. L'intervallo è 0-1000. Il valore predefinito è 15.

I seguenti parametri sono specificati da Google Security Operations:

Modifica del punteggio di rischio con TTL: il punteggio di rischio di base dell'entità viene modificato da un fattore di moltiplicazione per l'intervallo di tempo.
Modifica del punteggio di rischio senza TTL: il punteggio di rischio del rilevamento viene modificato con un fattore di moltiplicazione.

Di seguito sono riportate le formule utilizzate per calcolare il punteggio di rischio e il punteggio di rischio normalizzato:

Calcolo del punteggio di rischio: (punteggio di rischio dell'entità di base) = (Punteggio di rischio massimo per il risultato) + (Ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))
Punteggio di rischio normalizzato: i punteggi di rischio di base delle entità sono normalizzati per tutte le entità. Il punteggio di rischio di base dell'entità utilizza la normalizzazione min-max e varia da 1 a 1000. Le entità con rischio zero non sono incluse.

Esempio: calcolo del punteggio di rischio

Di seguito viene descritta la sequenza completa per il calcolo di un punteggio di rilevamento del rischio per un'entità:

Ingresso: i rilevamenti vengono raggruppati per indicatore.
(Facoltativo) Coefficiente di avviso chiuso: se il punteggio di rischio del rilevamento riguarda un avviso chiuso, il punteggio viene moltiplicato per il coefficiente di avviso chiuso.
(Facoltativo) Modifica del punteggio di rischio predefinito Se non è esplicitamente impostata in una regola, viene applicato il punteggio di rischio predefinito del rilevamento. I punteggi di rischio predefiniti per gli avvisi o i non avvisi possono essere modificati nelle impostazioni dei punteggi di rischio delle entità.
Calcolo del punteggio di rischio: il fattore di ponderazione viene moltiplicato per la somma di tutti i rilevamenti (ad eccezione del punteggio di rischio massimo di rilevamento) e quindi aggiunto al punteggio di rischio massimo del rilevamento. Questo valore rappresenta il punteggio di rischio dell'entità non elaborata.
Ponderazione della modifica: il punteggio di rischio dell'entità non elaborata viene moltiplicato per la ponderazione di modifica. Questa modifica è un'operazione una tantum, a meno che non sia impostato un TTL. Questo valore è il punteggio di rischio di base dell'entità.
Peso lista di titoli: se un'entità fa parte di una lista di titoli, la ponderazione della lista di titoli viene aggiunta al punteggio di rischio del rilevamento.
Punteggio di rischio normalizzato: il punteggio di rischio di base dell'entità è normalizzato in tutte le entità utilizzando la normalizzazione min-max.

Impostazioni punteggio di rischio

La pagina Punteggi di rischio delle entità consente di definire il modo in cui vengono calcolati i punteggi di rischio per entità, avvisi e rilevamenti. Puoi applicare la ponderazione ai calcoli del punteggio di rischio dell'entità e impostare punteggi di rischio predefiniti per gli avvisi e il rilevamento. Le modifiche si applicano solo ai nuovi avvisi e rilevamenti e l'applicazione può richiedere fino a 30 minuti.

Ponderazione del punteggio di rischio delle entità: la ponderazione definisce il modo in cui i punteggi di rischio di avviso e rilevamento vengono fattorizzati nei calcoli del punteggio di rischio delle entità. La ponderazione è un valore compreso tra 0 e 1. La formula per il punteggio di rischio di base dell'entità è definita come segue:

Punteggio di rischio dell'entità di base = (Punteggio di rischio massimo per il risultato) + (Ponderazione * (Somma dei punteggi di rischio rimanenti per i risultati))
Punteggi di rischio predefiniti per gli avvisi: specifica il punteggio di rischio predefinito degli avvisi nella pagina Impostazioni. Il valore predefinito è 40. Puoi modificare i singoli punteggi di rischio di avviso nelle regole stesse. Queste impostazioni eseguono l'override di eventuali impostazioni predefinite configurate nella pagina Impostazioni.
Punteggi di rischio predefiniti per i rilevamenti: specifica il punteggio di rischio predefinito per il rilevamento nella pagina Impostazioni. Il valore predefinito è 15. Puoi modificare i singoli punteggi del rischio di rilevamento nelle regole stesse. Queste sostituiscono eventuali impostazioni predefinite configurate nella pagina Impostazioni.