Visão geral da pontuação de risco

As pontuações de risco são usadas em todas as Operações de segurança do Google. A definição e a função dessas pontuações variam de acordo com o recurso que você está usando.

A análise de risco está disponível com licenças do Enterprise e Enterprise Plus ou como complemento de uma licença independente do Google SecOps SIEM.

Entidades na análise de dados de risco

Nesta seção, definimos os conceitos de entidades, risco e descobertas conforme são apresentados no painel de análise de risco.

  • Entidades: representação contextual de um recurso ou usuário no seu ambiente. Todos os eventos associados a entidades fornecem um contexto sobre o risco da entidade. Para mais informações, consulte Objetos lógicos: evento e entidade.

  • Janela de cálculo de risco: permite alterar o período do painel, permitindo que você analise os dados em diferentes períodos. Por exemplo, é possível descobrir tentativas de login por força bruta usando a janela de tempo mais curta ou examinar atividades maliciosas de longo prazo definindo a janela mais longa.

  • Normalizada: as pontuações normalizadas são definidas entre 1 e 1.000 para distinguir as entidades sem pontuações das que têm detecções dentro da janela de risco.

  • Tendência normalizada: mudança na pontuação de risco normalizada da entidade desde a janela anterior.

  • Base: as pontuações básicas são calculadas adicionando as pontuações de risco às descobertas (alertas e detecções) de uma entidade durante a janela de risco com ponderação aplicada. Se o valor da ponderação for 1, a ponderação não terá impacto. Para mais informações, consulte a pontuação de risco da entidade.

  • Alteração básica: alteração na pontuação de risco básica da entidade desde a janela anterior.

  • Visto pela primeira ou última vez na janela: carimbo de data/hora correspondente à data em que a entidade foi vista pela primeira ou pela última vez em uma descoberta (alerta ou detecção) no período especificado na janela de risco.

Descobertas na análise de risco

Os termos a seguir são usados na página de perfil da entidade. Clique em uma entidade na tabela de entidades para abri-la na página de perfil.

  • Descoberta: número de descobertas (alertas e detecções) que incluem essa entidade para o período da janela de risco.

  • Gravidade: a gravidade é definida pela origem quando uma descoberta é criada.

  • Prioridade: a prioridade é definida pela origem quando uma descoberta é criada.

  • Pontuação de risco: as pontuações de risco são definidas pela origem quando uma descoberta é criada. Se as pontuações de risco não estiverem definidas, será usada a pontuação de risco padrão para alertas e detecções. A pontuação de risco padrão para alertas é 40. A pontuação de risco padrão para detecções é 15.

Cálculo da pontuação de risco

O cálculo da pontuação de risco de cada entidade é baseado na pontuação de risco das descobertas e é modificado com base em um conjunto de parâmetros que você pode especificar e em um conjunto de parâmetros controlado pelas operações de segurança do Google. Os parâmetros que você pode controlar podem ser acessados na barra de navegação e clicando em Configurações > Pontuações de risco da entidade:

  • Coeficiente de alerta fechado: se os analistas de segurança marcarem um alerta como fechado, ele será multiplicado por esse modificador de ponto flutuante. O intervalo é de 0 a 1. O valor padrão é 1.

  • Pontuação de risco de detecção padrão: especifique a pontuação de risco para detecções no mecanismo de regras. O intervalo é de 0 a 1000. O valor padrão é 15.

Os seguintes parâmetros são especificados pelas Operações de segurança do Google:

  • Modificação da pontuação de risco com TTL: a pontuação de risco básica da entidade é modificada por um fator de multiplicação do intervalo de tempo.

  • Modificação da pontuação de risco sem TTL: a pontuação de risco de detecção é modificada com um fator de multiplicação.

Veja a seguir as fórmulas usadas para calcular a pontuação de risco e a pontuação de risco normalizada:

  • Cálculo da pontuação de risco: (pontuação de risco básica da entidade) = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes para as descobertas))

  • Pontuação de risco normalizada: as pontuações de risco básicas da entidade são normalizadas em todas as entidades. A pontuação de risco básica da entidade usa a normalização mín-máx e varia de 1 a 1.000. Entidades com risco zero não são incluídas.

Exemplo: cálculo da pontuação de risco

Confira a seguir a sequência completa de como uma pontuação de detecção de risco é calculada para uma entidade:

  1. Entrada: as detecções são agrupadas por indicador.
  2. (Opcional) Coeficiente de alerta fechado: se a pontuação de risco de detecção for para um alerta fechado, ela será multiplicada pelo coeficiente de alerta fechado.
  3. (Opcional) Modificação da pontuação de risco padrão Se não estiver definida explicitamente em uma regra, a pontuação de risco de detecção padrão será aplicada. As pontuações de risco de detecção padrão ou não alerta podem ser alteradas nas configurações de pontuações de risco da entidade.
  4. Cálculo da pontuação de risco: o fator de ponderação é multiplicado à soma de todas as detecções (exceto a pontuação máxima de risco) e adicionado à pontuação máxima. Esse valor representa a pontuação de risco bruta da entidade.
  5. Peso da modificação: a pontuação de risco da entidade bruta é multiplicada pelo peso da modificação. Essa modificação é uma operação única, a menos que um TTL esteja definido. Esse valor é a pontuação de risco básica da entidade.
  6. Peso da lista de interesses: se uma entidade fizer parte de uma lista de interesses, ela será adicionada à pontuação de risco de detecção.
  7. Pontuação de risco normalizada: a pontuação de risco básica da entidade é normalizada em todas as entidades usando a normalização mín-máx.

Configurações da pontuação de risco

A página Pontuações de risco da entidade permite definir como as pontuações de risco são calculadas para entidades, alertas e detecções. É possível aplicar ponderação aos cálculos de pontuação de risco da entidade e definir pontuações padrão de risco de detecção e alerta. As alterações se aplicam apenas a novos alertas e detecções e podem levar até 30 minutos para entrar em vigor.

  • Ponderação da pontuação de risco da entidade: a ponderação define como as pontuações de risco de alerta e detecção são fatoradas nos cálculos da pontuação de risco da entidade. A ponderação é um valor de 0 a 1. A fórmula da pontuação de risco básica da entidade é definida da seguinte maneira:

    Pontuação de risco básica da entidade = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))

  • Pontuações de risco padrão para alertas: especifique a pontuação de risco de alerta padrão na página Configurações. O padrão é 40. É possível modificar as pontuações de risco de alertas individuais nas próprias regras. Eles substituem os padrões definidos na página Configurações.

  • Pontuações de risco padrão para detecções: especifique a pontuação de risco de detecção padrão na página Configurações. O padrão é 15. É possível modificar as pontuações de risco de detecção individuais nas próprias regras. Eles substituem todos os padrões configurados na página Configurações.