リスクスコアの概要

リスクスコアは Google Security Operations 全体で使用されます。このスコアの定義と機能は、使用する機能によって異なります。

Risk Analytics は、Enterprise と Enterprise Plus のライセンス、または Google SecOps SIEM スタンドアロン ライセンスのアドオンとして利用できます。

リスク分析のエンティティ

このセクションでは、リスク分析ダッシュボードに表示されるエンティティ、リスク、検出結果のコンセプトを定義します。

  • エンティティ: 環境内のアセットまたはユーザーのコンテキスト表現。エンティティに関連付けられたすべてのイベントは、エンティティの危険度に関するコンテキストを提供します。詳しくは、論理オブジェクト: イベントとエンティティをご覧ください。

  • リスク計算ウィンドウ: ダッシュボードの期間を変更して、さまざまな期間でデータを見ることができます。たとえば、より短い時間枠を使用してブルート フォース ログイン試行を発見したり、より長い時間枠を設定して長期的な悪意のあるアクティビティを調査したりできます。

  • 正規化: 正規化されたスコアは 1 ~ 1,000 の範囲で設定され、スコアのないエンティティとリスク時間枠内に検出があるエンティティを区別します。

  • 正規化されたトレンド: 前のウィンドウからの正規化されたエンティティ リスクスコアの変化。

  • 基本: 基本スコアは、重み付けが適用されたリスク時間枠内でエンティティの検出結果(アラートと検出)全体のリスクスコアを加算して計算されます。重み付け値が 1 の場合、重み付けには影響しません。詳細については、エンティティ リスクスコアをご覧ください。

  • 基本の変更: 前のウィンドウからの基本エンティティ リスクスコアの変化。

  • ウィンドウ内での最初と最後の検出: リスク ウィンドウで指定された期間に、エンティティが検出結果(アラートまたは検出)で最初または最後に確認された時刻に対応するタイムスタンプ。

リスク分析の検出結果

次の用語はエンティティのプロファイル ページで使用されます(エンティティ テーブルでエンティティをクリックすると、エンティティのプロファイル ページに表示されます)。

  • 検出結果: リスク ウィンドウの期間に、このエンティティを含む検出結果(アラートと検出)の数。

  • 重大度: 重大度は、検出結果の作成時にソースによって設定されます。

  • 優先度: 優先度は、検出結果の作成時にソースによって設定されます。

  • リスクスコア: リスクスコアは、検出結果の作成時にソースによって設定されます。リスクスコアが設定されていない場合は、アラートと検出のデフォルトのリスクスコアが使用されます。アラートのデフォルトのリスクスコアは 40 です。検出のデフォルトのリスクスコアは 15 です。

リスクスコアの計算

各エンティティのリスクスコアの計算は、検出結果のリスクスコアに基づいており、指定できる一連のパラメータと Google Security Operations によって制御される一連のパラメータに基づいて変更されます。制御できるパラメータは、ナビゲーション バーで設定 > エンティティ リスクスコアの順にクリックすることでアクセスできます。

  • [終了] アラート係数: セキュリティ アナリストがアラートをクローズとしてマークすると、この浮動小数点修飾子で乗算されます。範囲は 0~1 です。デフォルト値は 1 です。

  • デフォルトの検出リスクスコア: ルールエンジンでの検出のリスクスコアを指定します。範囲は 0~1,000 です。デフォルト値は 15 です。

Google Security Operations では、次のパラメータを指定します。

  • TTL によるリスクスコアの変更: 基本エンティティ リスクスコアは、時間範囲の乗数によって変更されます。

  • TTL なしのリスクスコアの変更: 検出リスクスコアは乗数で変更されます。

リスクスコアと正規化されたリスクスコアの計算に使用される式は次のとおりです。

  • リスクスコアの計算: (基本エンティティ リスクスコア)=(検出結果の最大リスクスコア)+(重み付け *(検出結果の残りのリスクスコアの合計))

  • 正規化されたリスクスコア: 基本エンティティ リスクスコアは、すべてのエンティティにわたって正規化されます。基本エンティティ リスクスコアは、最小~最大の正規化と 1~1,000 の範囲を使用します。リスクがゼロのエンティティは含まれません。

例: リスクスコアの計算

エンティティのリスク検出スコアの計算方法の完全なシーケンスは次のとおりです。

  1. 入力: 検出はインジケーター別にグループ化されます。
  2. (オプション)[終了] アラート係数: 検出リスクスコアが [終了] アラートの場合、スコアは [終了] アラート係数で乗算されます。
  3. (省略可)デフォルトのリスクスコアの変更: ルールで明示的に設定されていない場合は、デフォルトの検出リスクスコアが適用されます。デフォルトのアラート付きまたはアラートなし検出リスクスコアは、エンティティ リスクスコア設定で変更できます。
  4. リスクスコアの計算: 重み付け係数を、すべての検出(最大検出リスクスコアを除く)の合計に掛け、最大検出リスクスコアに加算します。 この値は、生のエンティティ リスクスコアを表します。
  5. 変更の重み: 生のエンティティ リスクスコアは、変更の重みで乗算されます。TTL が設定されていない限り、この変更は 1 回限りのオペレーションです。この値は、基本エンティティ リスクスコアです。
  6. ウォッチリストの重み: エンティティがウォッチリストに含まれている場合、ウォッチリストの重みが検出リスクスコアに追加されます。
  7. 正規化されたリスクスコア:基本エンティティ リスクスコアは、最小~最大の正規化を使用してすべてのエンティティ間で正規化されます。

リスクスコアの設定

エンティティ リスクスコアページでは、エンティティ、アラート、検出のリスクスコアの計算方法を定義できます。エンティティ リスクスコアの計算に重み付けを適用し、デフォルトのアラートと検出のリスクスコアを設定できます。変更は新しいアラートと検出にのみ適用され、変更が反映されるまでに最長で 30 分ほどかかる場合があります。

  • エンティティ リスクスコアの重み付け: 重み付けでは、エンティティ リスクスコアの計算でアラートと検出のリスクスコアがどのように考慮されるかを定義します。重み付けは 0~1 の値です。基本エンティティ リスクスコアの式は次のように定義されます。

    基本エンティティ リスクスコア =(検出結果の最大リスクスコア)+(重み付け *(検出結果の残りのリスクスコアの合計))

  • アラートのデフォルトのリスクスコア: [設定] ページでデフォルトのアラート リスクスコアを指定します。デフォルト値は 40 です。ルール自体で個々のアラート リスクスコアを変更できます。これは、[設定] ページで構成したデフォルト値をオーバーライドします。

  • 検出のデフォルトのリスクスコア: [設定] ページで、デフォルトの検出リスクスコアを指定します。デフォルト値は 15 です。ルール自体で個々の検出リスクスコアを変更できます。これは、[設定] ページで構成したデフォルト値をオーバーライドします。