Guide de démarrage rapide d'Analyse des risques

Compatible avec:

Découvrez comment utiliser le tableau de bord d'analyse des risques pour identifier les comportements inhabituels et comprendre les risques potentiels que les entités représentent pour votre entreprise. Sur les systèmes qui utilisent le contrôle des accès basé sur les rôles (RBAC), seuls les utilisateurs disposant d'une portée globale peuvent accéder aux analyses des risques. Pour en savoir plus, consultez la section Rôles utilisateur.

Le tableau de bord "Analyse des risques" comprend les sections suivantes:

Une fenêtre de calcul du risque en haut à droite modifie le score de risque calculé affiché dans le tableau de bord "Analyse des risques". Vous pouvez modifier ce paramètre en fonction du type d'attaque que vous recherchez. Par exemple, les attaques par force brute sont plus visibles en définissant la fenêtre de calcul des risques sur 24 heures. Pour afficher les attaques à long terme, définissez la fenêtre de calcul des risques sur 7 jours.

Pour consulter l'historique des scores de risque, sélectionnez une date et une heure spécifiques dans le sélecteur de dates à côté de la section Période de calcul du risque. Il affiche les risques des entités calculés pour la période de 24 heures ou de sept jours se terminant à la date et à l'heure choisies.

Avant de commencer

Pour accéder au tableau de bord "Analyse des risques", procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Detection (Détection).
  2. Dans Détection, cliquez sur Analyse des risques.

Analyse comportementale

L'analyse comportementale comprend les éléments suivants:

La page Analyse comportementale comprend les éléments suivants:

  • Section Métriques récapitulatives: vue d'ensemble d'un tableau de bord d'analyse des risques qui vous permet d'examiner les entités à risque en fonction de la modélisation des risques des entités Google SecOps. Vous pouvez suivre jusqu'à 10 000 entités.
  • Entités: tableau qui complète le score de risque existant utilisé pour suivre le risque d'une entité au fil du temps, en tant que métrique pour les cas d'utilisation de détection et en tant que contexte d'investigation. Également appelée métrique de risque d'entité, une entité est une représentation contextuelle des éléments de votre environnement. Les exemples d'entités sont les comptes utilisateur, les serveurs, les ordinateurs portables ou les téléphones. Vous pouvez accéder à chaque entité en cliquant sur son nom. Vous êtes alors redirigé vers la page Analyse des entités.

Pour en savoir plus sur les entités, consultez la section Objets logiques: événement et entité. Pour en savoir plus sur le calcul des scores de risque, consultez la section Calcul du score de risque.

Analyse des entités

La page Analyse des entités comprend une fenêtre Plage d'événements en haut à droite, une section Chronologie des résultats et un tableau détaillé des résultats.

Sélectionner une période pour analyser les risques

  1. Dans la fenêtre Période d'événement, sélectionnez une période maximale de 90 jours ("3 derniers mois").
  2. Pour Sélection, cliquez sur Afficher les données analytiques pour la sélection. Une barre latérale s'ouvre et affiche les données analytiques associées à cette entité au cours de la période sélectionnée. Chaque analyse affiche un agrégat de toutes les valeurs analytiques au cours de la période.
  3. Cliquez sur Afficher plus pour ouvrir la vue "Alertes" ou "Détections" correspondante. Lorsqu'une analyse est détectée, elle inclut une liste d'alertes et de détections associées que vous pouvez examiner plus en détail.

Pour en savoir plus, consultez Examiner une alerte.

Cas d'utilisation

Voici quelques cas d'utilisation du tableau de bord "Analyse des risques".

Cas d'utilisation 1: Volume de téléchargement élevé

Un volume de téléchargement de données élevé présente le risque de fuite d'informations confidentielles. Google SecOps calcule des scores de risque élevés pour les entités ayant des volumes de téléchargement élevés.

Cas d'utilisation 2: Nombre suspect de tentatives de connexion infructueuses

Un nombre suspect de tentatives de connexion infructueuses indique qu'un pirate informatique ou un logiciel malveillant tente d'accéder à un compte utilisateur. Google SecOps calcule un score de risque élevé pour les entités présentant un nombre suspect de tentatives de connexion infructueuses. Toutefois, si vous effectuez cette opération en interne, dans le cadre d'un test d'intrusion, vous pouvez modifier le score de risque de l'entité.

Cas d'utilisation 3: Message de boîte de dialogue usurpant l'identité de Google

Un message de boîte de dialogue usurpant l'identité de Google et demandant de mettre à jour le navigateur Chrome tente d'accéder aux comptes utilisateur. Google SecOps calcule des scores de risque élevé pour les entités où ces messages de boîte de dialogue sont détectés dans le code.

Étape suivante