Guia de início rápido do Risk Analytics

Saiba como usar o painel de controlo de estatísticas de risco para identificar comportamentos invulgares e compreender o potencial risco que as entidades representam para a sua empresa. Em sistemas que usam o controlo de acesso baseado em funções (RBAC), apenas os utilizadores com âmbito global podem aceder às estatísticas de risco. Para mais informações, consulte o artigo Funções de utilizador.

O painel de controlo da análise de risco é composto pelas seguintes secções:

• Análise comportamental: apresenta entidades de acordo com as classificações de risco das entidades do Google Security Operations.
• Lista de observação: apresenta entidades de acordo com os cálculos de risco empresariais internos.

Uma janela de cálculo de risco na parte superior direita altera a pontuação de risco calculada apresentada no painel de controlo do Risk Analytics. Pode alterar esta definição consoante o tipo de ataque que está a pesquisar. Por exemplo, os ataques de força bruta são mais visíveis se definir o período de cálculo de risco como 24 horas. Para ver um ataque a longo prazo, defina o Período de cálculo de risco como 7 dias.

Pode ver as classificações de risco do histórico selecionando uma data e uma hora específicas no seletor de datas junto à janela de cálculo de risco. Isto apresenta os riscos da entidade calculados para o período de 24 horas ou 7 dias, que termina na data e hora escolhidas.

Antes de começar

Para navegar para o painel de controlo do Risk Analytics, siga estes passos:

1. Na barra de navegação, clique em Deteção.
2. Em Deteção, clique em Análise de risco.

Análise comportamental

A análise comportamental consiste no seguinte:

A página Análise comportamental é composta por:

• Secção Métricas de resumo: uma vista de nível superior de um painel de controlo de estatísticas de risco que lhe permite investigar entidades de risco com base na modelagem de risco de entidades do Google SecOps. Pode monitorizar até 10 000 entidades.
• Entidades: uma tabela que complementa a classificação de risco existente usada para acompanhar o risco de uma entidade ao longo do tempo, como uma métrica para casos de utilização de deteção e como contexto de investigação. Também denominadas métricas de risco de entidades, uma entidade é uma representação contextual de elementos no seu ambiente. Os exemplos de entidades são contas de utilizador, servidores, portáteis ou telemóveis. Pode ver detalhes de cada entidade clicando no nome da entidade. Esta ação encaminha a página para a página Estatísticas de entidades.

Para mais informações sobre entidades, consulte o artigo Objetos lógicos: evento e entidade. Para mais informações sobre como são calculadas as classificações de risco, consulte o artigo Cálculo da classificação de risco.

Estatísticas de entidades

A página Estatísticas de entidades consiste numa janela de Intervalo de eventos no canto superior direito, numa secção Linha cronológica de conclusões e numa tabela Conclusões detalhada.

Selecione um intervalo de tempo para analisar os riscos

1. Na janela Intervalo de eventos, selecione um intervalo de tempo de até 90 dias ("Últimos 3 meses").
2. Em Seleção, clique em Ver estatísticas da seleção. Esta ação abre uma barra lateral que lhe mostra as estatísticas associadas a esta entidade no intervalo de tempo selecionado. Cada análise apresenta um agregado de todos os valores de análise no intervalo de tempo.
3. Clique em Ver mais para abrir as vistas de alertas ou deteção correspondentes. Quando detetada, uma análise inclui uma lista de alertas e deteções relacionados que podem ser examinados mais detalhadamente.

Veja deteções compostas

A tabela Deteções apresenta todas as deteções de uma entidade que ocorreram no intervalo de tempo selecionado. Um alerta é uma deteção composta quando:

• A coluna Entradas mostra Deteção como origem.

• A coluna Tipo de deteção apresenta uma etiqueta Alerta ou Deteção com um número junto à mesma (por exemplo, Alert (3)).

Isto indica que uma deteção ou uma cadeia de deteções acionou o alerta, em vez de eventos ou entidades não processados isoladamente.

Pode ver e analisar estas deteções subjacentes na tabela Deteções através das seguintes funcionalidades:

• Expanda as linhas para ver deteções aninhadas, dados de eventos associados e informações de entidades relacionadas.

• Personalize a vista através do gestor de colunas para selecionar e organizar as colunas na tabela.

Para mais informações, consulte o artigo Investigue um alerta.

Exemplos de utilização

Seguem-se alguns exemplos de utilização do painel de controlo de estatísticas de risco.

Exemplo de utilização 1: volume de transferências elevado

Um volume elevado de transferências de dados representa o risco de fuga de informações confidenciais. O Google SecOps calcula números de pontuação de risco elevado para entidades com volumes de transferência elevados.

Exemplo de utilização 2: número suspeito de tentativas de início de sessão falhadas

Um número suspeito de tentativas de início de sessão falhadas indica que um hacker ou um software malicioso está a tentar obter acesso a uma conta de utilizador. A Google SecOps calcula números de pontuação de risco elevados para entidades com números suspeitos de tentativas de início de sessão falhadas. No entanto, se isto for feito internamente, como parte dos testes de penetração, pode modificar a pontuação de risco da entidade.

Exemplo de utilização 3: mensagem de caixa de diálogo que se faz passar pelo Google

Uma mensagem de diálogo que se faz passar pela Google a pedir a atualização do navegador Chrome está a tentar obter acesso às contas de utilizador. O Google SecOps calcula números de pontuação de risco elevado para entidades onde estas mensagens de diálogo são detetadas no código.

O que se segue?

• Modifique uma pontuação de risco da entidade
• Investigue um recurso

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.