위험 분석은 비정상적인 동작을 식별하고 항목이 기업에 드리우는 잠재적 위험을 이해하는 데 사용됩니다. 데이터 RBAC를 사용하는 시스템에서는 전역 범위가 있는 사용자만 위험 분석에 액세스할 수 있습니다. 위험 분석 대시보드는 Google Security Operations 항목 위험 점수에 따라 항목을 나열하는 행동 분석 섹션과 내부 엔터프라이즈 위험 계산에 따라 항목을 나열하는 관심 목록 섹션으로 구성됩니다.
위험 점수는 Google SecOps 전반에 사용됩니다. 이러한 점수의 정의 및 기능은 사용 중인 기능에 따라 달라집니다.
위험 분석은 Enterprise 및 Enterprise Plus 라이선스와 함께 제공되거나 Google SecOps SIEM 독립형 라이선스의 부가기능으로 제공됩니다.
위험 분석의 항목, 위험, 발견 항목
이 섹션에서는 위험 분석 대시보드에 제공된 대로 항목, 위험, 발견 항목의 개념을 정의합니다.
항목: 해당 환경에 있는 애셋 또는 사용자에 대한 상황별 표현입니다. 항목과 연결된 모든 이벤트는 항목의 위험 정도에 대한 컨텍스트를 제공합니다. 자세한 내용은 논리적 객체: 이벤트 및 항목을 참조하세요.
위험 계산 기간: 대시보드의 타임프레임을 변경하여 여러 기간에 걸쳐서 데이터를 조사할 수 있습니다.
예를 들어 짧은 기간을 사용해서 무차별 대입 공격 로그인 시도를 확인하거나 기간을 더 길게 설정해서 장기적인 악의적 활동을 조사할 수 있습니다.
정규화: 정규화 점수는 점수가 없는 항목을 위험 기간 내에 감지된 항목과 구분하기 위해 1~1,000으로 설정됩니다.
정규화 추세: 이전 기간 이래로 정규화된 항목 위험 점수의 변화입니다.
기본: 기본 점수는 가중치가 적용된 위험 기간 중 항목에 대해 발견 항목(알림 및 감지) 전반의 위험 점수를 추가하여 계산됩니다.
가중치는 알림 및 감지 위험 점수가 항목 위험 점수 계산에 미치는 정도를 정의합니다. 가중치는 0~1 사이의 값을 사용할 수 있습니다.
가중치 값이 1이면 가중치가 영향을 주지 않습니다. 다른 모든 값은 백분율입니다 (예: 0.5는 50%와 같음). 기본 가중치 값은 0 .2이며 설정에서 변경할 수 있습니다. 자세한 내용은 항목 위험 점수 가중치를 참고하세요.
기본 변화: 이전 기간 이래로 기본 항목 위험 점수의 변화입니다.
기간 중 최초/마지막 발생 시간: 위험 기간에서 지정된 기간에 발견 항목(알림 또는 감지)에서 항목이 처음 또는 마지막으로 발생한 시간을 나타내는 타임스탬프입니다.
위험 분석의 발견 항목
발견 항목 페이지에서는 다음 용어가 사용됩니다. 항목 테이블에서 항목을 클릭하면 발견 항목 페이지에서 해당 항목이 열립니다.
발견 항목: 위험 기간에서 해당 기간 동안 이 항목을 포함하는 발견 항목 (알림 및 감지) 수입니다.
심각도: 심각도는 발견 항목이 생성되었을 때 소스에 의해 설정됩니다.
우선순위: 우선순위는 발견 항목이 생성되었을 때 소스에 의해 설정됩니다.
위험 점수: 위험 점수는 발견 항목이 생성되었을 때 소스에 의해 설정됩니다.
위험 점수가 설정되지 않았으면 알림 및 감지에 대해 기본 위험 점수가 사용됩니다. 알림의 기본 위험 점수는 40입니다. 감지에 대한 기본 위험 점수는 15입니다.
위험 점수 계산
각 항목의 위험 점수 계산은 발견 항목의 위험 점수를 기반으로 하며 지정할 수 있는 매개변수 집합과 Google SecOps에서 제어하는 매개변수 집합을 기준으로 수정됩니다. 관리할 수 있는 매개변수는 탐색 메뉴로 이동하여 설정 > 항목 위험 점수를 클릭하면 액세스할 수 있습니다.
닫힌 알림 계수: 보안 분석가가 알림을 종료됨으로 표시하면 이 부동 소수점 한정자로 곱해집니다. 범위는 0-1입니다. 기본값은 1입니다.
기본 감지 위험 점수: 규칙 엔진에서 감지의 위험 점수를 지정합니다. 범위는 0-1,000입니다. 기본값은 15입니다.
다음 매개변수는 Google SecOps에서 지정합니다.
TTL을 사용한 위험 점수 수정: 기본 항목 위험 점수는 시간 범위에 대한 곱셈 계수로 수정됩니다.
TTL을 사용하지 않는 위험 점수 수정: 감지 위험 점수는 곱셈 계수를 사용하여 수정됩니다.
위험 점수와 정규화된 위험 점수를 계산하는 데 사용되는 공식은 다음과 같습니다.
위험 점수 계산: (기본 항목 위험 점수) = (발견 항목의 최대 위험 점수) + (가중치 * (발견 항목의 나머지 위험 점수 합계))
정규화된 위험 점수: 기본 항목 위험 점수는 모든 항목에서 정규화됩니다. 기본 항목 위험 점수는 최소-최대 정규화를 사용하며 1~1,000 사이의 범위입니다. 위험이 없는 항목은 포함되지 않습니다.
예시: 위험 점수 계산
다음은 항목에 위험 감지 점수가 계산되는 방식의 전체 순서를 설명합니다.
입력: 감지가 표시기별로 그룹화됩니다.
(선택사항) 종료된 알림 계수: 감지 위험 점수가 종료된 알림에 대한 점수이면 이 점수에 종료된 알림 계수를 곱합니다.
(선택사항) 기본 위험 점수 수정: 규칙에 명시적으로 설정되지 않으면 기본 감지 위험 점수가 적용됩니다. 항목 위험 점수 설정에서 기본 알림 또는 비알림 감지 위험 점수를 변경할 수 있습니다.
위험 점수 계산: 가중치 요인은 모든 감지의 합계(최대 감지 위험 점수 제외)에 곱한 후 최대 감지 위험 점수에 더합니다. 이 값은 원시 항목 위험 점수를 나타냅니다.
수정 가중치: 원시 항목 위험 점수에 수정 가중치를 곱합니다. TTL이 설정되지 않는 한 이 수정은 일회성 작업입니다. 이 값은 기본 항목 위험 점수입니다.
관심 목록 가중치: 항목이 관심 목록의 일부인 경우 관심 목록 가중치를 감지 위험 점수에 더합니다.
정규화된 위험 점수: 기본 항목 위험 점수는 최소-최대 정규화를 통해 모든 항목에서 정규화됩니다.
위험 점수 설정
항목 위험 점수 페이지에서는 항목, 알림, 감지에 대해 위험 점수를 계산하는 방법을 정의할 수 있습니다. 항목 위험 점수 계산에 가중치를 적용하고 기본 알림 및 감지 위험 점수를 설정할 수 있습니다. 변경사항은 새로운 알림 및 감지에만 적용되며 적용되는 데 최대 30분까지 걸릴 수 있습니다.
항목 위험 점수 가중치: 가중치는 알림 및 감지 위험 점수가 항목 위험 점수 계산에 적용되는 방식을 정의합니다. 가중치는 0~1까지의 값입니다. 기준 항목 위험 점수의 수식은 다음과 같이 정의됩니다.
기본 항목 위험 점수 = (발견 항목의 최대 위험 점수) + (가중치 * (발견 항목의 나머지 위험 점수 합계))
알림의 기본 위험 점수: 설정 페이지에서 기본 알림 위험 점수를 지정합니다. 기본값은 40입니다. 규칙 자체에서 개별 알림 위험 점수를 수정할 수 있습니다. 이렇게 하면 설정 페이지에 구성된 기본값이 재정의됩니다.
감지의 기본 위험 점수: 설정 페이지에서 기본 감지 위험 점수를 지정합니다. 기본값은 15입니다. 규칙 자체에서 개별 감지 위험 점수를 수정할 수 있습니다. 이렇게 하면 설정 페이지에 구성된 기본값이 재정의됩니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[[["\u003cp\u003eRisk Analytics identifies unusual behavior and potential risks posed by entities within an enterprise, utilizing Google SecOps Entities risk scores and internal enterprise risk calculations.\u003c/p\u003e\n"],["\u003cp\u003eRisk scores, ranging from 1-1000 after normalization, are calculated based on findings (alerts and detections) and can be influenced by weighting, which is a configurable factor that determines how findings contribute to the overall risk score.\u003c/p\u003e\n"],["\u003cp\u003eThe Risk Analytics dashboard displays entities in a Behavioral Analytics section based on Google SecOps risk scores, and in a Watchlist section based on internal risk calculations.\u003c/p\u003e\n"],["\u003cp\u003eUsers can customize risk score calculations through settings like closed alert coefficient, default detection risk score, and entity risk score weighting, allowing for tailored risk assessments.\u003c/p\u003e\n"],["\u003cp\u003eThe final entity risk score is calculated in a sequence of steps, which includes the score of detections, modification using TTL, and normalization across all the entities.\u003c/p\u003e\n"]]],[],null,["Overview of Risk Analytics \nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nRisk Analytics is used to identify unusual behavior and understand the potential\nrisk that entities pose to your enterprise. On systems that use data RBAC, only\nusers with global scope can access risk analytics. The Risk Analytics dashboard\nconsists of a Behavioral Analytics section, which lists entities according to\nGoogle Security Operations Entities risk scores and a Watchlist section, which\nlists entities according to internal enterprise risk calculations.\n\nRisk scores are used throughout Google SecOps. The definition and\nfunction of these scores vary depending on which feature you are using.\n\nRisk Analytics is available with Enterprise and Enterprise Plus licenses, or as\nan add-on to a Google SecOps SIEM standalone license.\n\nEntities, risk, and findings in Risk Analytics\n\nThis section defines the concepts of entities, risk, and findings as they are\npresented on the [Risk Analytics\ndashboard](/chronicle/docs/detection/risk-analytics-dashboard).\n\n- **Entities** : Contextual representation of an asset or user in your\n environment. All the events associated with entities provide context about\n how risky the entity is. For more information, see [Logical objects: Event\n and\n Entity](/chronicle/docs/event-processing/udm-overview#logical_objects_event_and_entity).\n\n- **Risk calculation window**: Lets you change the timeframe for the\n dashboard, enabling you to look at data through different periods of time.\n For example, you can uncover brute force login attempts by using the shorter\n time window or examine long-term malicious activity by setting the longer\n time window.\n\n- **Normalized**: Normalized scores are set between 1-1000 to distinguish the\n entities without scores from the entities that do have detections within the\n risk window.\n\n- **Normalized trend**: Change in the normalized entity risk score since the\n previous window.\n\n- **Base**: Base scores are calculated by adding the risk scores across\n findings (alerts and detections) for an entity during the risk window with\n weighting applied.\n\n Weighting defines how alert and detection risk scores\n contribute to entity risk score calculations. Weighting can take a value from 0-1. \n\n If the weighting value is 1, weighting won't have an impact. All other\n values are percentages (for example, .5 equals 50%). The default weighting\n value is .2 and can be changed in Settings. For more information, see [Entity risk\n score weighting](/chronicle/docs/detection/risk-analytics-dashboard#score-weighting).\n- **Base change**: Change in the base entity risk score since the previous\n window.\n\n- **First/last seen in window**: Timestamp corresponding to when the entity\n was first or last seen in a finding (alert or detection) for the time period\n specified in the risk window.\n\nFindings in Risk Analytics\n\nThe following terms are used on the Findings page (click an entity in the\nentities table to open it in the Findings page).\n\n- **Findings**: Number of findings (alerts and detections) that include this\n entity for the time period in the risk window.\n\n- **Severity**: Severity is set by the source when a finding is created.\n\n- **Priority**: Priority is set by the source when a finding is created.\n\n- **Risk Score**: Risk scores are set by the source when a finding is created.\n If the risk scores are not set, the default risk score for alerts and\n detections is used. The default risk score for alerts is 40. The default\n risk score for detections is 15.\n\n| **Note:** When the risk score for alerts is 0, the Findings page displays a risk score of 0, and the normalized risk score for the related entity is 1. When the risk score for detections is 0, the entity is not displayed in the [Entities table](/chronicle/docs/detection/risk-analytics-dashboard#entity_count_risk_score_and_entities_table)\n\nRisk score calculation\n\nThe risk score calculation for each entity is based on the risk score of\nfindings and is modified based on a set of parameters you can specify and a set\nof parameters controlled by Google SecOps. The parameters you can control\nare accessible by going to the navigation bar and clicking **Settings \\\u003e Entity\nrisk scores**:\n\n- **Closed alert coefficient**: If the security analysts marks an alert as\n closed, it is multiplied with this floating point modifier. The range is\n 0-1. The default value is 1.\n\n- **Default detection risk score**: Specify the risk score for detections in\n the rules engine. The range is 0-1000. The default value is 15.\n\nThe following parameters are specified by Google SecOps:\n\n- **Risk score modification with TTL**: Base entity risk score is modified by\n a multiplying factor for the time range.\n\n- **Risk score modification without TTL**: Detection risk score is modified\n with a multiplying factor.\n\nThe following are the formulas used for calculating the risk score and\nnormalized risk score:\n\n- **Risk score calculation**: (Base entity risk score) = (Maximum risk score\n for the finding) + (Weighting \\* (Sum of the remaining risk scores for the\n findings))\n\n- **Normalized risk score**: Base entity risk scores are normalized across all\n entities. The base entity risk score uses min-max normalization and ranges\n from 1-1000. Entities with zero risk are not included.\n\nExample: risk score calculation\n\nThe following describes the full sequence for how a risk detection score is\ncalculated for an entity:\n\n1. **Input**: Detections generated by rules are grouped based on their underlying indicators.\n2. **(Optional) Closed alert coefficient**: If the detection risk score is for a closed alert, the score is multiplied by the closed alert coefficient.\n3. **(Optional) Default Risk Score modification** If it isn't explicitly set in a rule, the default detection risk score is applied. Default alerting or non-alerting detection risk scores can be changed in the entity risk scores settings.\n4. **(Optional) Composite Detections modification** : If an entity to score isn't explicitly set using the `$risk_entity_to_score` keyword in a [rule](/chronicle/docs/detection/yara-l-2-0-syntax#outcome_section_syntax), the risk score is attributed to all entities from the sampled events and the outcome section.\n5. **Risk score calculation**: The weighting factor is multiplied to the sum of all detections (except for the maximum detection risk score) and then added to the maximum detection risk score. This value represents the raw entity risk score.\n6. **Modification weight**: The raw entity risk score is multiplied with the modification weight. This modification is a one-time operation, unless a TTL is set. This value is the base entity risk score.\n7. **Watchlist weight**: If an entity is part of a watchlist, the watchlist weight is added to the detection risk score.\n8. **Normalized risk score**: The base entity risk score is normalized across all entities using min-max normalization.\n\nRisk score settings\n\nThe **Entity risk scores** page lets you define how risk scores are calculated\nfor entities, alerts, and detections. You can apply weighting to entity risk\nscore calculations and set default alert and detection risk scores. Changes only\napply to new alerts and detections and can take up to 30 minutes to take effect.\n\n- **Entity risk score weighting**: Weighting defines how alert and detection\n risk scores are factored in entity risk score calculations. Weighting is a\n value from 0 to 1. The formula for the base entity risk score is defined as\n follows:\n\n Base entity risk score = (Maximum risk score for the finding) + (Weighting \\*\n (Sum of the remaining risk scores for the findings))\n- **Default risk scores for Alerts** : Specify the default alert risk score in\n the **Settings** page. The default is 40. You can modify individual alert\n risk scores in the rules themselves. These override any defaults configured\n in the **Settings** page.\n\n- **Default risk scores for Detections** : Specify the default detection risk\n score in the **Settings** page. The default is 15. You can modify individual\n detection risk scores in the rules themselves. These override any defaults\n configured in the **Settings** page.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]