风险分析快速入门指南
了解如何使用风险分析信息中心来识别异常行为,并了解实体对贵企业的潜在风险。在使用基于角色的访问控制 (RBAC) 的系统中,只有具有全球范围的用户才能访问风险分析。如需了解详情,请参阅用户角色。
“风险分析”信息中心包含以下部分:
- 行为分析:按 Google SecOps 实体风险得分列出实体。
- 观察名单:根据内部企业风险计算列出实体。
右上角的风险计算窗口会更改风险分析信息中心中显示的计算风险得分。您可以根据要搜索的攻击类型更改此设置。例如,将风险计算期限设置为 24 小时后,系统会更明显地显示暴力破解攻击。如需查看长期攻击,请将风险计算期设置为 7 天。
您可以在风险计算窗口期旁边的日期选择器中选择特定日期和时间,以查看历史风险得分。此部分会显示系统为 24 小时或 7 天(以所选日期和时间结束)的回溯期计算的实体风险。
准备工作
如需前往“风险分析”信息中心,请按以下步骤操作:
- 在导航栏中,点击检测。
- 在检测下,点击风险分析。
行为分析
行为分析包括:
行为分析页面包含以下部分:
- 摘要指标部分:风险分析信息中心的顶层视图,可让您根据 Google SecOps 实体风险建模来调查风险实体。您最多可以跟踪 1 万个实体。
- 实体:一个表格,用于补充现有的风险得分,可用于跟踪实体随时间推移的风险,作为检测用例的指标,以及调查背景信息。实体也称为实体风险指标,是环境中元素的上下文表示。实体的示例包括用户账号、服务器、笔记本电脑或手机。您可以点击实体名称,以展开细目查看每个实体。您将进入实体分析页面。
如需详细了解实体,请参阅逻辑对象:事件和实体。如需详细了解风险得分的计算方式,请参阅风险得分计算。
实体分析
实体分析页面由右上角的事件范围窗口、发现时间轴部分和详细的发现表格组成。
选择要分析风险的时间范围
- 在事件范围窗口中,选择最长 90 天的时间范围(例如“过去 3 个月”)。
- 对于所选,点击查看对所选实体的分析。系统随即会打开一个边栏,其中会显示与此实体在所选时间范围内相关联的分析数据。每个分析都会显示相应时间范围内所有分析值的汇总。
- 点击查看更多,打开相应的“提醒”或“检测”视图。检测到分析后,系统会列出相关提醒和检测,以便您进一步检查。
如需了解详情,请参阅调查提醒。
使用场景
以下是风险分析信息中心的一些使用场景。
用例 1:下载量大
下载数据量过大可能会导致机密信息泄露。Google SecOps 会为下载量高的实体计算较高的风险评分。
用例 2:登录失败尝试次数可疑
登录尝试失败次数异常高,表示黑客或恶意软件正在尝试访问用户账号。Google SecOps 会为登录失败尝试次数存在可疑情况的实体计算高风险得分。不过,如果是在内部进行渗透测试时执行此操作,您可以修改实体风险信号。
用例 3:对话消息冒充 Google
冒充 Google 并要求更新 Chrome 浏览器的对话框消息会尝试获取用户账号的访问权限。Google SecOps 会针对在代码中检测到这些对话框消息的实体计算高风险得分。
后续步骤
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。