风险分析快速入门指南
支持的平台:
Google SecOps
SIEM
了解如何使用风险分析信息中心来识别异常行为,并了解实体对贵企业的潜在风险。在使用基于角色的访问控制 (RBAC) 的系统中,只有具有全球范围的用户才能访问风险分析。如需了解详情,请参阅用户角色。
“风险分析”信息中心包含以下部分:
- 行为分析:按 Google SecOps 实体风险得分列出实体。
- 观察名单:根据内部企业风险计算列出实体。
右上角的风险计算窗口会更改“风险分析”信息中心中显示的计算风险得分。您可以根据要搜索的攻击类型更改此设置。例如,将风险计算期限设置为 24 小时后,系统会更明显地显示暴力破解攻击。如需查看长期攻击,请将风险计算期设置为 7 天。
您可以在风险计算窗口期旁边的日期选择器中选择特定日期和时间,以查看历史风险得分。此部分会显示系统为 24 小时或 7 天(截止于所选日期和时间)的回溯期计算的实体风险。
准备工作
如需前往“风险分析”信息中心,请按以下步骤操作:
- 在导航栏中,点击检测。
- 在检测下,点击风险分析。
行为分析
行为分析包括:
行为分析页面包含以下部分:
- 摘要指标部分:风险分析信息中心的顶层视图,可让您根据 Google SecOps 实体风险建模来调查风险实体。您最多可以跟踪 1 万个实体。
- 实体:一个表格,用于补充现有的风险得分,可用于跟踪实体随时间推移的风险,作为检测用例的指标,以及调查背景信息。实体也称为实体风险指标,是环境中元素的上下文表示。实体的示例包括用户账号、服务器、笔记本电脑或手机。您可以点击实体名称,以展开细目查看每个实体。您将进入实体分析页面。
如需详细了解实体,请参阅逻辑对象:事件和实体。如需详细了解风险得分的计算方式,请参阅风险得分计算。
实体分析
实体分析页面由右上角的事件范围窗口、发现时间轴部分和详细的发现表格组成。
选择要分析风险的时间范围
- 在事件范围窗口中,选择最长 90 天的时间范围(例如“过去 3 个月”)。
- 对于所选,点击查看对所选实体的分析。系统随即会打开一个边栏,其中会显示与此实体在所选时间范围内相关联的分析数据。每个分析都会显示相应时间范围内所有分析值的汇总。
- 点击展开,打开相应的“提醒”或“检测”视图。检测到分析后,系统会列出相关提醒和检测,以便您进一步检查。
如需了解详情,请参阅调查提醒。
使用场景
以下是风险分析信息中心的一些使用场景。
用例 1:下载量大
下载数据量过大可能会导致机密信息泄露。Google SecOps 会为下载量高的实体计算较高的风险得分。
用例 2:登录失败尝试次数可疑
登录尝试失败次数异常高,表示黑客或恶意软件正在尝试访问用户账号。Google SecOps 会为登录失败尝试次数存在可疑情况的实体计算高风险得分。不过,如果是在内部进行渗透测试,您可以修改实体风险信号。
用例 3:对话消息冒充 Google
冒充 Google 并要求更新 Chrome 浏览器的对话框消息会尝试获取用户账号的访问权限。Google SecOps 会针对在代码中检测到这些对话框消息的实体计算高风险得分。