リスク分析のクイックスタート ガイド

以下でサポートされています。

リスク分析ダッシュボードを使用して異常な動作を特定し、エンティティが企業に及ぼす潜在的なリスクを把握する方法について学びます。ロールベースのアクセス制御(RBAC)を使用するシステムでは、グローバル スコープを持つユーザーのみがリスク分析にアクセスできます。詳細については、ユーザーロールをご覧ください。

リスク分析ダッシュボードは、次のセクションで構成されています。

右上の [リスク計算期間] を変更すると、リスク分析ダッシュボードに表示される計算されたリスクスコアが変更されます。この設定は、検索する攻撃の種類に応じて変更できます。たとえば、[リスク計算期間] を [24 時間] に設定すると、ブルートフォース攻撃がより明確に表示されます。長期的な攻撃を確認するには、[リスク計算期間] を [7 日間] に設定します。

過去のリスクスコアを確認するには、[リスク計算期間] の横にある期間選択ツールで特定の日時を選択します。選択した日時で終了する 24 時間または 7 日間の期間について計算されたエンティティ リスクが表示されます。

始める前に

リスク分析ダッシュボードに移動する手順は次のとおりです。

  1. ナビゲーション バーで [検出] をクリックします。
  2. [検出] で [リスク分析] をクリックします。

行動分析

行動分析は次の要素で構成されています。

[行動分析] ページには次の項目が表示されます。

  • [概要指標] セクション: Google SecOps エンティティ リスク モデリングに基づいてリスク エンティティを調査できるリスク分析ダッシュボードのトップレベル ビュー。最大 10,000 個のエンティティを追跡できます。
  • エンティティ: エンティティのリスクの経時的な追跡、検出ユースケースの指標、調査コンテキストに使用される既存のリスクスコアを補完する表。エンティティは、環境内の要素のコンテキスト表現であり、エンティティ リスク指標とも呼ばれます。エンティティの例としては、ユーザー アカウント、サーバー、ノートパソコン、スマートフォンなどがあります。エンティティ名をクリックすると、各エンティティにドリルダウンできます。[Entity Analytics] ページが表示されます。

エンティティの詳細については、論理オブジェクト: イベントとエンティティをご覧ください。リスクスコアの計算方法の詳細については、リスクスコアの計算をご覧ください。

エンティティ解析

[エンティティ分析] ページには、右上の [イベント範囲] ウィンドウ、[検出結果のタイムライン] セクション、詳細な [検出結果] テーブルがあります。

リスクを分析する期間を選択する

  1. [イベント範囲] ウィンドウで、最大 90 日間([過去 3 か月間])の期間を選択します。
  2. [選択] で [選択の分析情報を表示] をクリックします。サイドバーが開き、選択した期間内のこのエンティティに関連付けられたアナリティクスが表示されます。各分析には、期間内のすべての分析値の集計が表示されます。
  3. [詳細を表示] をクリックすると、対応するアラートまたは検出ビューが開きます。検出された場合、分析には関連するアラートと検出のリストが含まれます。このリストは、さらに確認できます。

詳細については、アラートの調査をご覧ください。

ユースケース

リスク分析ダッシュボードのユースケースをいくつかご紹介します。

ユースケース 1: ダウンロード量が多い

ダウンロードするデータの量が多いと、機密情報の漏洩のリスクが生じます。Google SecOps は、ダウンロード数が非常に多いエンティティに対して高いリスクスコア値を計算します。

ユースケース 2: 不審な数のログイン試行の失敗

不審な数のログイン試行が失敗した場合は、ハッカーまたはマルウェアがユーザー アカウントにアクセスしようとしていることを示しています。Google SecOps は、ログイン試行の失敗回数が不審なエンティティに対して高リスクスコア値を計算します。ただし、内部で侵入テストの一環として実施する場合は、エンティティ リスクスコアを変更できます。

ユースケース 3: Google になりすましたダイアログ メッセージ

Google を装ったダイアログ メッセージで Chrome ブラウザの更新を求め、ユーザー アカウントへのアクセスを試みる。Google SecOps は、コード内でこれらのダイアログ メッセージが検出されたエンティティに対して、高いリスク スコア値を計算します。

次のステップ