Visão geral da pontuação de risco
As pontuações de risco são usadas em todas as Operações de segurança do Google. A definição e a função dessas pontuações variam de acordo com o recurso que você está usando.
A análise de risco está disponível com licenças do Enterprise e Enterprise Plus ou como complemento de uma licença independente do Google SecOps SIEM.
Entidades na análise de dados de risco
Nesta seção, definimos os conceitos de entidades, risco e descobertas conforme são apresentados no painel de análise de risco.
Entidades: representação contextual de um recurso ou usuário no seu ambiente. Todos os eventos associados a entidades fornecem um contexto sobre o risco da entidade. Para mais informações, consulte Objetos lógicos: evento e entidade.
Janela de cálculo de risco: permite alterar o período do painel, permitindo que você analise os dados em diferentes períodos. Por exemplo, é possível descobrir tentativas de login por força bruta usando a janela de tempo mais curta ou examinar atividades maliciosas de longo prazo definindo a janela mais longa.
Normalizada: as pontuações normalizadas são definidas entre 1 e 1.000 para distinguir as entidades sem pontuações das que têm detecções dentro da janela de risco.
Tendência normalizada: mudança na pontuação de risco normalizada da entidade desde a janela anterior.
Base: as pontuações básicas são calculadas adicionando as pontuações de risco às descobertas (alertas e detecções) de uma entidade durante a janela de risco com ponderação aplicada. Se o valor da ponderação for 1, a ponderação não terá impacto. Para mais informações, consulte a pontuação de risco da entidade.
Alteração básica: alteração na pontuação de risco básica da entidade desde a janela anterior.
Visto pela primeira ou última vez na janela: carimbo de data/hora correspondente à data em que a entidade foi vista pela primeira ou pela última vez em uma descoberta (alerta ou detecção) no período especificado na janela de risco.
Descobertas na análise de risco
Os termos a seguir são usados na página de perfil da entidade. Clique em uma entidade na tabela de entidades para abri-la na página de perfil.
Descoberta: número de descobertas (alertas e detecções) que incluem essa entidade para o período da janela de risco.
Gravidade: a gravidade é definida pela origem quando uma descoberta é criada.
Prioridade: a prioridade é definida pela origem quando uma descoberta é criada.
Pontuação de risco: as pontuações de risco são definidas pela origem quando uma descoberta é criada. Se as pontuações de risco não estiverem definidas, será usada a pontuação de risco padrão para alertas e detecções. A pontuação de risco padrão para alertas é 40. A pontuação de risco padrão para detecções é 15.
Cálculo da pontuação de risco
O cálculo da pontuação de risco de cada entidade é baseado na pontuação de risco das descobertas e é modificado com base em um conjunto de parâmetros que você pode especificar e em um conjunto de parâmetros controlado pelas operações de segurança do Google. Os parâmetros que você pode controlar podem ser acessados na barra de navegação e clicando em Configurações > Pontuações de risco da entidade:
Coeficiente de alerta fechado: se os analistas de segurança marcarem um alerta como fechado, ele será multiplicado por esse modificador de ponto flutuante. O intervalo é de 0 a 1. O valor padrão é 1.
Pontuação de risco de detecção padrão: especifique a pontuação de risco para detecções no mecanismo de regras. O intervalo é de 0 a 1000. O valor padrão é 15.
Os seguintes parâmetros são especificados pelas Operações de segurança do Google:
Modificação da pontuação de risco com TTL: a pontuação de risco básica da entidade é modificada por um fator de multiplicação do intervalo de tempo.
Modificação da pontuação de risco sem TTL: a pontuação de risco de detecção é modificada com um fator de multiplicação.
Veja a seguir as fórmulas usadas para calcular a pontuação de risco e a pontuação de risco normalizada:
Cálculo da pontuação de risco: (pontuação de risco básica da entidade) = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes para as descobertas))
Pontuação de risco normalizada: as pontuações de risco básicas da entidade são normalizadas em todas as entidades. A pontuação de risco básica da entidade usa a normalização mín-máx e varia de 1 a 1.000. Entidades com risco zero não são incluídas.
Exemplo: cálculo da pontuação de risco
Confira a seguir a sequência completa de como uma pontuação de detecção de risco é calculada para uma entidade:
- Entrada: as detecções são agrupadas por indicador.
- (Opcional) Coeficiente de alerta fechado: se a pontuação de risco de detecção for para um alerta fechado, ela será multiplicada pelo coeficiente de alerta fechado.
- (Opcional) Modificação da pontuação de risco padrão Se não estiver definida explicitamente em uma regra, a pontuação de risco de detecção padrão será aplicada. As pontuações de risco de detecção padrão ou não alerta podem ser alteradas nas configurações de pontuações de risco da entidade.
- Cálculo da pontuação de risco: o fator de ponderação é multiplicado à soma de todas as detecções (exceto a pontuação máxima de risco) e adicionado à pontuação máxima. Esse valor representa a pontuação de risco bruta da entidade.
- Peso da modificação: a pontuação de risco da entidade bruta é multiplicada pelo peso da modificação. Essa modificação é uma operação única, a menos que um TTL esteja definido. Esse valor é a pontuação de risco básica da entidade.
- Peso da lista de interesses: se uma entidade fizer parte de uma lista de interesses, ela será adicionada à pontuação de risco de detecção.
- Pontuação de risco normalizada: a pontuação de risco básica da entidade é normalizada em todas as entidades usando a normalização mín-máx.
Configurações da pontuação de risco
A página Pontuações de risco da entidade permite definir como as pontuações de risco são calculadas para entidades, alertas e detecções. É possível aplicar ponderação aos cálculos de pontuação de risco da entidade e definir pontuações padrão de risco de detecção e alerta. As alterações se aplicam apenas a novos alertas e detecções e podem levar até 30 minutos para entrar em vigor.
Ponderação da pontuação de risco da entidade: a ponderação define como as pontuações de risco de alerta e detecção são fatoradas nos cálculos da pontuação de risco da entidade. A ponderação é um valor de 0 a 1. A fórmula da pontuação de risco básica da entidade é definida da seguinte maneira:
Pontuação de risco básica da entidade = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))
Pontuações de risco padrão para alertas: especifique a pontuação de risco de alerta padrão na página Configurações. O padrão é 40. É possível modificar as pontuações de risco de alertas individuais nas próprias regras. Eles substituem os padrões definidos na página Configurações.
Pontuações de risco padrão para detecções: especifique a pontuação de risco de detecção padrão na página Configurações. O padrão é 15. É possível modificar as pontuações de risco de detecção individuais nas próprias regras. Eles substituem todos os padrões configurados na página Configurações.