风险得分概览
风险得分在整个 Google Security Operations 范围内使用。这些得分的定义和功能因您使用的特征而异。
风险分析可通过 Enterprise 和企业 Plus 版许可使用,或作为 Google SecOps SIEM 独立许可的插件使用。
风险分析中的实体
本部分介绍了风险分析信息中心中显示的实体、风险和发现结果的概念。
实体:您的环境中的资产或用户的情境式呈现。与实体关联的所有事件都提供了有关实体风险程度的背景信息。如需了解详情,请参阅逻辑对象:事件和实体。
风险计算期:可让您更改信息中心的时间范围,以便查看不同时间段的数据。例如,您可以使用较短的时间窗口来发现暴力登录尝试,或通过设置较长的时间窗口来检查长期恶意活动。
标准化:标准化分数介于 1-1000 之间,以区分没有分数的实体与在风险范围内检测到实验的实体。
标准化趋势:自上一个时段以来标准化实体风险得分的变化。
基准:基准分数是通过将实体在风险窗口期间的发现结果(提醒和检测)的风险分数相加而计算得出的,并且应用了加权。如果权重值为 1,则权重不会产生任何影响。如需了解详情,请参阅实体风险评分。
基准变化:自上一个时段以来基本实体风险得分的变化。
在该时间范围内首次/上次出现的时间:对应于风险窗口中指定的时间段内,实体在发现结果(提醒或检测)中首次或最后一次出现的时间对应的时间戳。
风险分析中的发现结果
实体个人资料页面上使用了以下术语(点击实体表中的某个实体即可在实体个人资料页面中将其打开)。
发现结果:风险期限内包含此实体的发现结果(提醒和检测)数量。
严重性:创建发现结果时,严重性由来源设置。
优先级:优先级由来源在创建发现结果时设置。
风险得分:风险得分由创建发现结果时的来源设置。如果未设置风险得分,则使用提醒和检测的默认风险得分。提醒的默认风险得分为 40。检测的默认风险得分为 15。
风险得分计算
每个实体的风险得分计算基于发现结果的风险得分,并且会根据您可以指定的一组参数和由 Google Security Operations 控制的一组参数进行修改。前往导航栏并点击设置 > 实体风险得分,即可访问您可以控制的参数:
已关闭警报系数:如果安全分析师将警报标记为已关闭,则将其与此浮点修饰符相乘。范围是 0-1。默认值为 1。
默认检测风险得分:指定规则引擎中检测的风险得分。范围是 0-1000。默认值为 15。
以下参数由 Google Security Operations 指定:
使用 TTL 修改风险得分:基本实体风险得分会按时间范围的放大系数进行修改。
不使用 TTL 修改风险得分:检测风险得分使用放大系数进行修改。
以下公式用于计算风险得分和标准化风险得分:
风险得分计算:(基础实体风险得分)=(发现结果的最高风险得分)+(权重 *(发现结果的剩余风险得分的总和))
标准化风险得分:基本实体风险得分对所有实体进行了标准化处理。基本实体风险得分使用最小值-最大值归一化,范围为 1-1000。风险为零的实体不包括在内。
示例:风险得分计算
下面介绍了计算实体风险检测分数的完整序列:
- 输入:检测结果按指示器进行分组。
- (可选)已关闭提醒系数:如果检测风险得分针对的是已关闭提醒,则得分将乘以已关闭提醒系数。
- (可选)默认风险得分修改。如果未在规则中明确设置,则应用默认检测风险得分。可以在实体风险得分设置中更改默认提醒或非提醒检测风险得分。
- 风险得分计算:将加权系数乘以所有检测(最高检测风险得分除外)的总和,然后加上最高检测风险得分。此值表示原始实体风险得分。
- 修改权重:原始实体风险得分乘以修改权重。除非设置了 TTL,否则此项修改是一次性操作。此值是基本实体风险得分。
- 监控列表权重:如果某个实体是监控列表的一部分,则监控列表权重会添加到检测风险得分中。
- 标准化风险得分:基本实体风险得分会使用最小-最高归一化对所有实体进行标准化。
风险得分设置
通过实体风险得分页面,您可以定义如何计算实体、提醒和检测的风险得分。您可以将加权应用于实体风险得分计算,并设置默认提醒和检测风险得分。更改仅会应用于新的提醒和检测,并且最多可能需要 30 分钟才能生效。
实体风险得分加权:权重定义了提醒和检测风险得分在实体风险得分计算中是如何考虑的。权重是一个 0 到 1 之间的值。基本实体风险得分的公式定义如下:
基本实体风险得分 =(发现结果的最高风险得分)+(权重 *(发现结果的剩余风险得分的总和))
提醒的默认风险得分:在设置页面中指定默认的提醒风险得分。默认值为 40。您可以在规则本身中修改各个提醒风险得分。这些设置会替换设置页面中配置的所有默认值。
检测的默认风险得分:在设置页面中指定默认检测风险得分。默认值为 15。您可以在规则本身中修改单个检测风险得分。这些设置会替换设置页面中配置的所有默认值。