Panoramica di Dati sui rischi

Supportato in:

Risk Analytics viene utilizzato per identificare comportamenti insoliti e comprendere il potenziale rischio rappresentato dalle entità per la tua azienda. Nei sistemi che utilizzano l'accesso in base al ruolo dei dati, solo gli utenti con ambito globale possono accedere all'analisi del rischio. La dashboard di analisi dei rischi è composta da una sezione di analisi del comportamento, che elenca le entità in base ai punteggi di rischio delle entità di Google SecOps, e da una sezione di monitoraggio, che elenca le entità in base ai calcoli del rischio aziendale interno.

I punteggi di rischio vengono utilizzati in Google SecOps. La definizione e la funzione di questi punteggi variano a seconda della funzionalità utilizzata.

Risk Analytics è disponibile con le licenze Enterprise ed Enterprise Plus o come componente aggiuntivo di una licenza SIEM autonoma Google SecOps.

Entità, rischi e risultati in Risk Analytics

Questa sezione definisce i concetti di entità, rischio e risultati come vengono presentati nella dashboard di Risk Analytics.

  • Entità: rappresentazione contestuale di una risorsa o di un utente nel tuo ambiente. Tutti gli eventi associati alle entità forniscono il contesto relativo al livello di rischio dell'entità. Per saperne di più, consulta Oggetti logici: Event e Entity.

  • Finestra di calcolo del rischio: consente di modificare l'intervallo di tempo della dashboard, in modo da esaminare i dati in periodi di tempo diversi. Ad esempio, puoi rilevare i tentativi di accesso con forza bruta utilizzando l'intervallo di tempo più breve o esaminare le attività dannose a lungo termine impostando l'intervallo di tempo più lungo.

  • Normalizzati: i punteggi normalizzati sono impostati tra 1 e 1000 per distinguere le entità senza punteggi da quelle che hanno rilevamenti all'interno della finestra di rischio.

  • Tendenza normalizzata: variazione del punteggio di rischio dell'entità normalizzato rispetto alla finestra precedente.

  • Di base: i punteggi di base vengono calcolati sommando i punteggi di rischio dei risultati (avvisi e rilevamenti) per un'entità durante la finestra di rischio con l'applicazione della ponderazione.

    La ponderazione definisce in che modo i punteggi di rischio di avvisi e rilevamenti contribuiscono ai calcoli del punteggio di rischio dell'entità. Il peso può assumere un valore compreso tra 0 e 1.
    Se il valore della ponderazione è 1, la ponderazione non avrà alcun impatto. Tutti gli altri valori sono percentuali (ad esempio, 0,5 corrisponde a 50%). Il valore predefinito della ponderazione è 0,2 e può essere modificato in Impostazioni. Per ulteriori informazioni, consulta la sezione Spessore del voto del rischio dell'entità.

  • Variazione di base: variazione del punteggio di rischio dell'entità di base rispetto alla finestra precedente.

  • Prima/ultima apparizione nella finestra: timestamp corrispondente alla prima o all'ultima apparizione dell'entità in un risultato (avviso o rilevamento) per il periodo di tempo specificato nella finestra di rischio.

Risultati in Analisi dei rischi

Nella pagina Risultati vengono utilizzati i seguenti termini (fai clic su un'entità nella tabella delle entità per aprirla nella pagina Risultati).

  • Risultati: numero di risultati (avvisi e rilevamenti) che includono questa entità per il periodo di tempo nella finestra di rischio.

  • Gravità: la gravità viene impostata dalla sorgente quando viene creato un risultato.

  • Priorità: la priorità viene impostata dalla sorgente quando viene creato un risultato.

  • Punteggio di rischio: i punteggi di rischio vengono impostati dalla sorgente quando viene creato un risultato. Se i punteggi di rischio non sono impostati, viene utilizzato il punteggio di rischio predefinito per gli avvisi e i rilevamenti. Il punteggio di rischio predefinito per gli avvisi è 40. Il punteggio di rischio predefinito per i rilevamenti è 15.

Calcolo del punteggio di rischio

Il calcolo del punteggio di rischio per ogni entità si basa sul punteggio di rischio dei risultati e viene modificato in base a un insieme di parametri che puoi specificare e a un insieme di parametri controllati da Google Security Operations. I parametri che puoi controllare sono accessibili dalla barra di navigazione facendo clic su Impostazioni > Scori di rischio delle entità:

  • Coefficiente di avviso chiuso: se gli analisti della sicurezza contrassegnano un avviso come chiuso, questo viene moltiplicato per questo modificatore con virgola mobile. L'intervallo è 0-1. Il valore predefinito è 1.

  • Punteggio di rischio dei rilevamenti predefinito: specifica il punteggio di rischio per i rilevamenti nel motore delle regole. L'intervallo è 0-1000. Il valore predefinito è 15.

I seguenti parametri sono specificati da Google Security Operations:

  • Modifica del punteggio di rischio con TTL: il punteggio di rischio di base dell'entità viene modificato da un fattore di moltiplicazione per l'intervallo di tempo.

  • Modifica del punteggio di rischio senza TTL: il punteggio di rischio dei rilevamenti viene modificato con un fattore di moltiplicazione.

Di seguito sono riportate le formule utilizzate per calcolare il punteggio di rischio e il punteggio di rischio normalizzato:

  • Calcolo del punteggio di rischio: (Punteggio di rischio di base dell'entità) = (Punteggio di rischio massimo per il risultato) + (Ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))

  • Punteggio di rischio normalizzato: i punteggi di rischio di base delle entità vengono normalizzati per tutte le entità. Il punteggio di rischio di base dell'entità utilizza la normalizzazione min-max e va da 1 a 1000. Le entità con rischio zero non sono incluse.

Esempio: calcolo del punteggio di rischio

Di seguito è descritta la sequenza completa di calcolo di un punteggio di rilevamento del rischio per un'entità:

  1. Input: i rilevamenti sono raggruppati per indicatore.
  2. (Facoltativo) Coefficiente di avviso chiuso: se il punteggio di rischio dei rilevamenti riguarda un avviso chiuso, il punteggio viene moltiplicato per il coefficiente di avviso chiuso.
  3. (Facoltativo) Modifica del punteggio di rischio predefinito Se non è impostato esplicitamente in una regola, viene applicato il punteggio di rischio dei rilevamenti predefinito. I punteggi di rischio di rilevamento con o senza avviso predefiniti possono essere modificati nelle impostazioni dei punteggi di rischio delle entità.
  4. Calcolo del punteggio di rischio: il fattore di ponderazione viene moltiplicato per la somma di tutti i rilevamenti (tranne per il punteggio di rischio dei rilevamenti massimo) e poi aggiunto al punteggio di rischio dei rilevamenti massimo. Questo valore rappresenta il voto di rischio dell'entità non elaborato.
  5. Peso della modifica: il punteggio di rischio dell'entità non elaborato viene moltiplicato per il peso della modifica. Questa modifica è un'operazione una tantum, a meno che non sia impostato un TTL. Questo valore corrisponde al punteggio di rischio di base dell'entità.
  6. Peso dell'elenco di titoli: se un'entità fa parte di un elenco di titoli, il suo peso viene aggiunto al punteggio di rischio di rilevamento.
  7. Punteggio di rischio normalizzato: il punteggio di rischio di base dell'entità viene normalizzato tra tutte le entità utilizzando la normalizzazione min-max.

Impostazioni del punteggio di rischio

La pagina Punteggi di rischio delle entità ti consente di definire la modalità di calcolo dei punteggi di rischio per entità, avvisi e rilevamenti. Puoi applicare la ponderazione ai calcoli del punteggio di rischio dell'entità e impostare punteggi di rischio di avvisi e rilevamenti predefiniti. Le modifiche si applicano solo ai nuovi avvisi e rilevamenti e possono richiedere fino a 30 minuti per essere applicate.

  • Ponderazione del punteggio di rischio dell'entità: la ponderazione definisce in che modo i punteggi di rischio di avvisi e rilevamenti vengono presi in considerazione nei calcoli del punteggio di rischio dell'entità. La ponderazione è un valore compreso tra 0 e 1. La formula per il punteggio di rischio di base dell'entità è definita come segue:

    Punteggio di rischio di base dell'entità = (punteggio di rischio massimo per il risultato) + (ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))

  • Punteggi di rischio predefiniti per gli avvisi: specifica il punteggio di rischio predefinito per gli avvisi nella pagina Impostazioni. Il valore predefinito è 40. Puoi modificare i singoli scori di rischio degli avvisi nelle regole stesse. Queste sostituiscono le impostazioni predefinite configurate nella pagina Impostazioni.

  • Punteggi di rischio predefiniti per i rilevamenti: specifica il punteggio di rischio dei rilevamenti predefinito nella pagina Impostazioni. Il valore predefinito è 15. Puoi modificare i singoli codici di rischio di rilevamento nelle regole stesse. Queste hanno la priorità su qualsiasi impostazione predefinita configurata nella pagina Impostazioni.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.