Guia de início rápido da Análise de dados de risco

Compatível com:

Saiba como usar o Painel de Análise de Risco para identificar comportamentos incomuns e entender o possível risco que as entidades representam para sua empresa. Em sistemas que usam o controle de acesso baseado em função (RBAC), apenas usuários com escopo global podem acessar a análise de risco. Para mais informações, consulte Funções do usuário.

O painel de Análise de risco é composto pelas seguintes seções:

Uma janela de cálculo de risco no canto superior direito muda a pontuação de risco calculada exibida no painel de Análise de risco. É possível mudar essa configuração de acordo com o tipo de ataque que você está procurando. Por exemplo, os ataques de força bruta ficam mais visíveis quando a janela de cálculo de risco é definida como 24 horas. Para ver ataques de longo prazo, defina a Janela de cálculo de risco como 7 dias.

Para conferir as pontuações de risco históricas, selecione uma data e hora específicas no seletor de data ao lado da Janela de cálculo de risco. Isso mostra os riscos de entidade calculados para a janela de 24 horas ou 7 dias, que termina na data e hora escolhidas.

Antes de começar

Para acessar o painel "Análise de risco", siga estas etapas:

  1. Na barra de navegação, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.

Análises comportamentais

A Análise comportamental consiste em:

A página Análise comportamental é composta por:

  • Seção Métricas de resumo: uma visão de alto nível de um painel de análise de risco que permite investigar entidades de risco com base na modelagem de risco de entidade do Google SecOps. É possível acompanhar até 10.000 entidades.
  • Entidades: uma tabela que complementa a pontuação de risco usada para rastrear o risco de uma entidade ao longo do tempo, como uma métrica para casos de uso de detecção e como contexto investigativo. Também chamadas de métricas de risco de entidade, uma entidade é uma representação contextual de elementos no seu ambiente. Exemplos de entidades são contas de usuário, servidores, laptops ou smartphones. Para conferir detalhes sobre cada entidade, clique no nome dela. Isso vai levar você à página Análise de entidades.

Para mais informações sobre entidades, consulte Objetos lógicos: evento e entidade. Para mais informações sobre como as pontuações de risco são calculadas, consulte Cálculo da pontuação de risco.

Análise de entidades

A página Entity Analytics consiste em uma janela Event range no canto superior direito, uma seção Findings Timeline e uma tabela detalhada Findings.

Selecione um período para analisar os riscos

  1. Na janela Intervalo de eventos, selecione um período de até 90 dias (“Últimos 3 meses”).
  2. Em Seleção, clique em Analisar dados de "Seleção". Isso abre uma barra lateral que mostra as análises associadas a essa entidade no período selecionado. Cada análise mostra um agregado de todos os valores de análise no período.
  3. Clique em Ver mais para abrir a visualização de alertas ou de detecção correspondente. Quando detectada, uma análise inclui uma lista de alertas e detecções relacionadas que podem ser examinadas.

Para mais informações, consulte Investigar um alerta.

Casos de uso

Confira alguns casos de uso do painel de Análise de risco.

Caso de uso 1: alto volume de downloads

Um volume alto de downloads de dados aumenta o risco de vazamento de informações confidenciais. O Google SecOps calcula números de pontuação de alto risco para entidades com grandes volumes de downloads.

Caso de uso 2: número suspeito de tentativas de login com falha

Números suspeitos de tentativas de login malsucedidas indicam que um hacker ou malware está tentando acessar uma conta de usuário. O Google SecOps vai calcular os números de pontuação de alto risco para entidades com números suspeitos de tentativas de login com falha. No entanto, se isso for feito internamente, como parte dos testes de penetração, você poderá modificar a pontuação de risco da entidade.

Caso de uso 3: mensagem de diálogo que falsifica o Google

Uma mensagem de caixa de diálogo que falsifica o Google para pedir a atualização do navegador Chrome está tentando acessar as contas de usuário. O Google SecOps calcula números de pontuação de alto risco para entidades em que essas mensagens de diálogo são detectadas no código.

A seguir