Kurzanleitung für Risikoanalysen
Im Hilfeartikel Dashboard für Risikoanalysen erfahren Sie, wie Sie mit diesem Dashboard ungewöhnliches Verhalten erkennen und das potenzielle Risiko ermitteln können, das Entitäten für Ihr Unternehmen darstellen. In Systemen mit rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC) können nur Nutzer mit globalem Zugriff auf Risikoanalysen zugreifen. Weitere Informationen finden Sie unter Nutzerrollen.
Das Dashboard „Risikoanalyse“ besteht aus den folgenden Abschnitten:
- Verhaltensanalyse: Entitäten werden nach den Risikobewertungen der Google SecOps-Entitäten aufgelistet.
- Beobachtungsliste: Enthält Entitäten gemäß internen Risikoberechnungen des Unternehmens.
Im Risikoberechnungsfenster rechts oben wird die berechnete Risikobewertung geändert, die im Dashboard für Risikoanalysen angezeigt wird. Sie können diese Einstellung je nach Art des Angriffs ändern, nach dem Sie suchen. Wenn Sie beispielsweise das Risikoberechnungsfenster auf 24 Stunden festlegen, werden Brute-Force-Angriffe besser sichtbar. Wenn Sie einen langfristigen Angriff sehen möchten, legen Sie für den Zeitraum für die Risikoberechnung den Wert 7 Tage fest.
Sie können sich bisherige Risikobewertungen ansehen, indem Sie in der Datumsauswahl neben dem Risikoberechnungszeitraum ein bestimmtes Datum und eine bestimmte Uhrzeit auswählen. Hier sehen Sie die Entitätsrisiken, die für den Zeitraum von 24 Stunden oder 7 Tagen berechnet wurden und am ausgewählten Datum und zur ausgewählten Uhrzeit enden.
Hinweis
So rufen Sie das Dashboard „Risikoanalyse“ auf:
- Klicken Sie in der Navigationsleiste auf Erkennung.
- Klicken Sie unter Erkennung auf Risikoanalyse.
Verhaltensanalysen
Die Verhaltensanalyse umfasst:
Die Seite Verhaltensanalysen enthält Folgendes:
- Bereich Zusammenfassungsmesswerte: Hier sehen Sie eine Übersicht eines Risikoanalyse-Dashboards, mit dem Sie Risikoentitäten anhand der Google SecOps-Modellierung von Entitätsrisiken untersuchen können. Sie können bis zu 10.000 Entitäten beobachten.
- Entitäten: Eine Tabelle, die die vorhandene Risikobewertung ergänzt, die zum Überwachen des Risikos einer Entität im Zeitverlauf, als Messwert für Anwendungsfälle der Erkennung und als Kontext für Untersuchungen verwendet wird. Eine Entität, auch Entitätsrisikomesswerte genannt, ist eine kontextbezogene Darstellung von Elementen in Ihrer Umgebung. Beispiele für Entitäten sind Nutzerkonten, Server, Laptops oder Smartphones. Sie können die Daten für einzelne Entitäten aufschlüsseln, indem Sie auf den Namen der Entität klicken. Daraufhin wird die Seite Entitätsanalyse geöffnet.
Weitere Informationen zu Entitäten finden Sie unter Logische Objekte: Ereignis und Entität. Weitere Informationen zur Berechnung von Risikobewertungen finden Sie unter Berechnung der Risikobewertung.
Entitätsanalyse
Die Seite Entitätsanalyse enthält oben rechts ein Fenster für den Ereigniszeitraum, den Bereich Zeitachse der Ergebnisse und eine detaillierte Tabelle mit den Ergebnissen.
Zeitraum für die Risikoanalyse auswählen
- Wählen Sie im Fenster Ereigniszeitraum einen Zeitraum von bis zu 90 Tagen aus („Letzte 3 Monate“).
- Klicken Sie unter Auswahl auf Analysen für Auswahl ansehen. Daraufhin wird eine Seitenleiste geöffnet, in der die Analysen für dieses Element im ausgewählten Zeitraum angezeigt werden. Für jede Analyse wird ein Gesamtwert aller Analysewerte im angegebenen Zeitraum angezeigt.
- Klicken Sie auf Mehr anzeigen, um die entsprechende Ansicht für Benachrichtigungen oder Erkennungen zu öffnen. Wenn eine Analyse erkannt wird, enthält sie eine Liste ähnlicher Benachrichtigungen und Erkennungen, die genauer untersucht werden können.
Weitere Informationen finden Sie unter Benachrichtigungen untersuchen.
Anwendungsbereiche
Im Folgenden sind einige Anwendungsfälle für das Dashboard „Risikoanalyse“ aufgeführt.
Anwendungsfall 1: Hohes Downloadvolumen
Ein hohes Downloadvolumen von Daten birgt das Risiko, dass vertrauliche Informationen in die Hände Unbefugter gelangen. Google SecOps berechnet einen hohen Risikowert für Entitäten mit hohem Downloadvolumen.
Anwendungsfall 2: Verdächtig hohe Anzahl fehlgeschlagener Anmeldeversuche
Eine verdächtig hohe Anzahl fehlgeschlagener Anmeldeversuche weist darauf hin, dass ein Hacker oder Malware versucht, auf ein Nutzerkonto zuzugreifen. Google SecOps berechnet die Risikobewertung für Entitäten mit einer verdächtig hohen Anzahl fehlgeschlagener Anmeldeversuche. Wenn dies jedoch intern im Rahmen von Penetrationstests geschieht, können Sie den Risikowert der Entität ändern.
Anwendungsfall 3: Dialognachricht, die vorgibt, von Google zu stammen
In einem Dialogfeld, das vorgeblich von Google stammt, wird der Nutzer aufgefordert, den Chrome-Browser zu aktualisieren. Damit wird versucht, Zugriff auf Nutzerkonten zu erhalten. Google SecOps berechnet einen hohen Risikowert für Entitäten, in deren Code diese Dialognachrichten erkannt werden.