Dashboard für Risikoanalysen

Unterstützt in:

Im Dashboard Risikoanalyse können Sie Ihre Umgebung aus risikobasierter Sicht betrachten. Wenn Sie Risikotrends für Entitäten visualisieren, können Sie ungewöhnliches Verhalten erkennen und das potenzielle Risiko nachvollziehen, das Entitäten für Ihr Unternehmen darstellen.

Im Dashboard Risikoanalyse werden gefährdete Entitäten und Details zu Risikofaktoren aufgeführt. In Systemen, in denen die rollenbasierte Zugriffssteuerung (RBAC) für Daten verwendet wird, können nur Nutzer mit globalem Bereich auf Risikoanalysen zugreifen. Weitere Informationen finden Sie unter Auswirkungen von RBAC auf Risikoanalysen.

So rufen Sie das Dashboard Risikoanalyse auf:

  1. Klicken Sie in der Navigationsleiste auf Detection (Erkennung).
  2. Klicken Sie unter Erkennung auf Risikoanalyse.

Anzahl der Entitäten, Risikobewertung und Entitätentabelle

Im Dashboard Risikoanalyse werden basierend auf den ausgewählten Filtern nur die 10.000 Entitäten mit dem höchsten Risiko im Unternehmen angezeigt. Alle Diagramme und Tabellen im Dashboard beziehen sich nur auf diese Gruppe von Einheiten.

Im Diagramm Gesamtzahl der Entitäten oben links sehen Sie die Anzahl der Entitäten, die in Ihrem Unternehmen mit einem Risiko von mehr als 0 verfolgt werden. Entitäten mit einem Risikowert von 0 werden weiterhin erfasst, aber nicht in diesem Diagramm dargestellt. Die Gesamtzahl wird auf Assets und Nutzer aufgeteilt.

Weitere Informationen zu Entitäten finden Sie unter Logische Objekte: Ereignis und Entität. Weitere Informationen zur Berechnung von Risikobewertungen finden Sie unter Berechnung der Risikobewertung.

Die Tabelle Entitäten enthält mehrere Spalten, die sich auf den Risikowert der Entität beziehen:

Spalte Wert
Entitätsname Name der Entität.
Entitätstyp Typ der Entität (Asset oder Nutzer).
Normalized Normalisierte Werte werden für alle Entitäten berechnet, wobei eine Skala von 0 bis 1.000 unter Verwendung der Min-Max-Normalisierung verwendet wird.
Änderung von „Normalisiert“ Änderung der normalisierten Risikobewertung für die Entität seit dem vorherigen Risikoberechnungsfenster.
Trend von „Normalisiert“ Zunahme oder Abnahme der prozentualen Änderung der normalisierten Risikobewertung im Vergleich zum vorherigen Risikoberechnungsfenster.
Basis Der Risikowert für Basisentitäten entspricht der maximalen Risikobewertung für Ergebnisse plus der Gewichtung multipliziert mit der Summe der verbleibenden Risikobewertungen für Ergebnisse.

Die Standardgewichtung ist 0,2 und kann in den Einstellungen geändert werden.
Änderung von „Basis“ Änderung der Basisrisikobewertung für die Entität seit dem vorherigen Risikoberechnungsfenster.
Trend von „Basis“ Erhöhung oder Verringerung der prozentualen Änderung der Basisrisikobewertung im Vergleich zum vorherigen Risikofenster.
Anzahl der Ergebnisse Die Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), in denen diese Entität während des Risikoberechnungsfensters vorkommt.
Zuerst im Fenster gefunden Zeitstempel, der angibt, wann die Entität zuerst in einem Ergebnis (Benachrichtigung oder Erkennung) während des Risikoberechnungsfensters gefunden wurde.
Zuletzt im Fenster gefunden Zeitstempel, der angibt, wann die Entität zuletzt in einem Ergebnis (Benachrichtigung oder Erkennung) während des Risikoberechnungsfensters gefunden wurde.

Zeitraum für die Risikoberechnung anpassen

Das berechnete Risiko, das von einer Entität ausgeht, ändert sich je nach untersuchtem Zeitraum. Wenn Sie die Einstellung Risikoberechnungsfenster oben rechts ändern (wählen Sie entweder 24-Stunden-Fenster oder 7-Tage-Fenster aus), ändert sich die hier angezeigte berechnete Risikobewertung. Je nach Art des Angriffs, nach dem Sie suchen, kann es sinnvoll sein, diese Einstellung zu ändern. Brute-Force-Angriffe sind beispielsweise deutlicher zu erkennen, wenn Sie das Risikoberechnungsfenster auf 24 Stunden festlegen. Bei längeren Zeiträumen lassen sich langfristige Angriffe erkennen. Risikobewertungen für Entitäten ändern sich je nach ausgewähltem Risikoberechnungsfenster.

Risikobewertungen für Entitäten werden mehrmals täglich für 24-Stunden- und 7-Tage-Lookback-Windows neu berechnet. Die Berechnung basiert auf den Ergebnissen, die innerhalb der jeweiligen Lookback-Zeiträume generiert wurden. Das Risikodashboard enthält die zuletzt berechneten Risikobewertungen. Sie können auch historische Risikobewertungen aufrufen, indem Sie in der Datumsauswahl neben der Einstellung „Risikoberechnungsfenster“ ein bestimmtes Datum und eine bestimmte Uhrzeit auswählen. Hier werden die Risiken für Entitäten angezeigt, die für das 24-Stunden- oder 7‑Tages-Fenster berechnet wurden, das am ausgewählten Datum und zur ausgewählten Uhrzeit endet.

Suche mit Schnellfiltern eingrenzen

Mit Schnellfiltern können Sie Ihre Suche eingrenzen, indem Sie nur Ergebnisse anzeigen lassen, die für Ihre spezifischen Anforderungen relevant sind.

So verwenden Sie Schnellfilter im Dashboard Risikoanalyse:

  1. Klicken Sie über der Tabelle Entitäten auf  filter_alt . Das Fenster Filter wird angezeigt.
  2. Wählen Sie eine der Spalten aus:
    • Anzahl der Ergebnisse
    • Normalisierte Risikobewertung für Entität
    • Normalisierter Risikotrend für Entität
    • Typ
  3. Wählen Sie Nur anzeigen oder Herausfiltern aus.
  4. Wählen Sie einen Wert aus. Sie können auch mehrere Werte auswählen, um den Bereich zu erweitern:
    • Anzahl der Ergebnisse: Werte von 0 bis über 1.000.
    • Normalisierte Risikobewertung für Entität: Werte von 0 bis 1.000.
    • Normalisierter Risikotrend für Entität: Prozentsätze von unter -99 % bis über 199%.
    • Typ: Wählen Sie Assets oder Nutzer aus.
  5. Optional: Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Vorgang ab Schritt 2.
  6. Klicken Sie nach der Konfiguration der Filter auf Übernehmen.

Wenn Sie beispielsweise den normalisierten Risikotrend für Entitäten auswählen, Nur anzeigen auswählen und >199% anklicken, werden nur die Entitäten mit einer Änderung des normalisierten Risikos für Entitäten von mehr als 199% angezeigt.

Entität über die Entitätsseite untersuchen

So untersuchen Sie eine Entität:

  1. Scrollen Sie durch die Spalte Name der Rechtspersönlichkeit oder verwenden Sie die Suchleiste, um eine Rechtspersönlichkeit zu finden.
  2. Klicken Sie auf die Entität, die Sie untersuchen möchten.

Dadurch wird die Seite für die Einheit geöffnet. Auf dieser Seite können Sie sich nur die Ergebnisse ansehen, die mit dieser einen Entität verknüpft sind. Im Diagramm Zeitachse der Ergebnisse oben werden Risikobewertungen für Entitäten und Ergebnisse im Zeitverlauf dargestellt. Dieses Diagramm besteht aus vorab berechneten Messwerten, die in einem Liniendiagramm dargestellt werden, um Trends im Zeitverlauf zu veranschaulichen. Anomalien sind im Liniendiagramm als Spitzen zu sehen. Unter dem Diagramm befindet sich die Tabelle Ergebnisse, in der die Ereignisse und Aktivitäten aufgeführt sind, denen die ausgewählte Einheit zugeordnet wurde.

Unten rechts befindet sich der minimierbare Bereich Entitätsdetails ansehen, der eine Zusammenfassung wichtiger Details zur ausgewählten Entität enthält. Wenn Sie die ausgewählte Entität genauer untersuchen möchten, klicken Sie auf Entitätsdetails ansehen, um die Entität in der Asset- oder Nutzer-Ansicht aufzurufen, je nachdem, ob es sich um ein Asset oder einen Nutzer handelt. Weitere Informationen finden Sie unter Asset-Entität untersuchen oder Nutzer untersuchen.

Entität mit der Entitätsanalyse untersuchen

Die Entitätsanalyse bietet SOC-Analysten und Threat Huntern eine detaillierte Ansicht des Verhaltens einer Entität, einschließlich des Baseline-Profils der Entität, Anomalien und kontextbezogener Erweiterungen.

Wählen Sie auf der Elementseite in der Zeitachse für Ergebnisse einen Zeitraum von bis zu 90 Tagen aus und klicken Sie auf Analysen für Auswahl ansehen. Daraufhin wird eine Seitenleiste geöffnet, in der die Analysedaten für diese Einheit im ausgewählten Zeitraum angezeigt werden. Jede Analyse zeigt eine Zusammenfassung aller Analysewerte im Zeitraum an. Wenn eine Analyse erkannt wird, enthält sie eine Liste der zugehörigen Benachrichtigungen und Erkennungen, die weiter untersucht werden können. Klicken Sie dazu auf Mehr ansehen, um die entsprechende Ansicht Benachrichtigungen oder Erkennung zu öffnen. Weitere Informationen finden Sie unter Benachrichtigung untersuchen.

Die folgenden Analysen für Entitäten sind verfügbar:

  • Anzahl der Benachrichtigungsereignisnamen
  • Erfolgreiche Authentifizierungsversuche
  • Authentifizierungsversuche schlagen fehl
  • Authentifizierungsversuche insgesamt
  • Ausgehende DNS-Bytes
  • DNS-Abfragen schlagen fehl
  • Erfolgreiche DNS-Abfragen
  • DNS-Abfragen insgesamt
  • Erfolgreiche Dateiausführungen
  • Fehler bei der Dateiausführung
  • Gesamtzahl der Dateiausführungen
  • Erfolgreiche HTTP-Anfragen
  • HTTP-Abfragen schlagen fehl
  • HTTP-Anfragen insgesamt
  • Eingehende Netzwerk-Byte
  • Ausgehende Netzwerk-Byte
  • Gesamtzahl der Netzwerk-Byte
  • Gesamtzahl der Authentifizierungsversuche für Workspace
  • Insgesamt gesendete Workspace-E‑Mails
  • Workspace-Netzwerk-Byte ausgehend
  • Workspace-Netzwerk-Byte insgesamt
  • Workspace-Aktionen insgesamt
  • Workspace-Downloadaktionen insgesamt

Risikobewertung für eine Entität ändern

Wenn externe Informationen oder Ereignisse das tatsächliche Risiko einer Entität beeinflussen, können Sie die Risikobewertung der Entität aktualisieren.

Sie können beispielsweise den Risikoscore eines Mitarbeiters, der gerade einen Red-Team-Test (z. B. Penetrationstest) abgeschlossen hat, vorübergehend senken, damit Analysten keine Zeit damit verschwenden müssen, zu untersuchen, warum das Risiko dieses Mitarbeiters gestiegen ist. Sie können auch den Risikowert eines Mitarbeiters, der in einen Gerichtsfall verwickelt ist, vorübergehend erhöhen.

  1. Bewegen Sie auf der Seite Risikoanalyse in der Tabelle Entitäten den Mauszeiger auf die Spalte ganz rechts in der Zeile. Möglicherweise müssen Sie auf dem Display nach rechts scrollen. Klicken Sie auf das Dreipunkt-Menü more_vert.

    und wählen Sie Risikobewertung für Entität aktualisieren aus.

  2. Konfigurieren Sie im Dialogfeld Risikobewertung für Entität aktualisieren Werte für Folgendes:

    • Multiplikationsfaktor: Mit einem Multiplikationsfaktor von 0,0 bis 100,0 können Sie die Risikobewertung einer Entität erhöhen oder verringern. Wenn Sie beispielsweise neue Beweise für eine Entität gefunden haben, die das Risiko der Entität verdoppeln, aktualisieren Sie den Multiplikationsfaktor auf 50, um den tatsächlichen Risikofaktor der Entität widerzuspiegeln.
    • Zeitraum: Zeitraum, in dem der Multiplikationsfaktor angewendet wird. Sie können Jetzt oder einen Zeitraum zwischen 1 Tag und 14 Tage auswählen. Wenn Sie Jetzt auswählen, wird der Multiplikationsfaktor auf die Risikobewertung für Entitäten im aktuellen Risikoberechnungsfenster angewendet. Es werden nur vorhandene Benachrichtigungen und Erkennungen in die Berechnung einbezogen. Nach Ablauf des ausgewählten Zeitraums wird die Risikobewertung für Entitäten nicht mehr aktualisiert und der Risikowert kehrt zum Normalzustand zurück.
    • Grund: Hier können Sie anderen Nutzern zusätzlichen Kontext dazu geben, warum diese Änderung vorgenommen wurde. Wählen Sie eine der folgenden Optionen aus: Neue Nachweise, Falsche Risikobewertung, Geändertes Risikoprofil, Compliance-Anforderungen oder Sonstiges.

Wenn Sie versuchen, eine Änderung vorzunehmen, die bereits erfolgt ist (z. B. wenn Sie den Multiplikationsfaktor einer Einheit auf 25 % aktualisieren möchten, ein anderes Teammitglied diese Änderung aber bereits vorgenommen hat), wird ein Dialogfeld mit der Meldung angezeigt, dass die Änderung bereits vorgenommen wurde. Außerdem wird angegeben, wer die Änderung wann vorgenommen hat.

Aktualisierungen der Risikobewertung in den Entitätsdetails ansehen

Alle Aktualisierungen der Risikobewertung für eine Entität finden Sie auf der Seite Entitätsprofil.

  1. Klicken Sie auf die Entität, deren Verlauf der Risikobewertungsaktualisierung Sie aufrufen möchten, um die Seite Entitätsprofil zu öffnen.
  2. Im Diagramm zur Ereigniszeitachse wird jede Änderung des Risikoscores der Einheit durch das Label Risikoscore-Änderung in weißer Schrift angegeben.
  3. Bewegen Sie den Mauszeiger auf den Text, um ein Dialogfeld mit dem Datum, dem Nutzer und dem Grund für die Änderung aufzurufen.

Beobachtungslisten

Auf der Seite Beobachtungslisten können Sie bestimmte Entitäten in Ihrem gesamten Unternehmen im Blick behalten.

  1. Klicken Sie in der linken Navigationsleiste auf Erkennung.
  2. Klicken Sie unter Erkennung auf Risikoanalyse.
  3. Klicke auf den Tab Merklisten.

Beobachtungsliste hinzufügen

So fügen Sie Ihrem Google Security Operations-Konto eine Beobachtungsliste hinzu: Du kannst bis zu 200 Beobachtungslisten konfigurieren.

  1. Klicken Sie auf Beobachtungsliste erstellen.
  2. Geben Sie einen Namen für die Beobachtungsliste an.
  3. Optional: Geben Sie eine Beschreibung an.
  4. Optional: Geben Sie einen Multiplikationsfaktor zwischen 0 und 100 an. Der Standardwert ist 1.
  5. Optional: Geben Sie rechts im Fenster Entitäten an, wie im Abschnitt Entitäten in eine Beobachtungsliste einfügen beschrieben. Sie können die folgenden Entitätstypen hinzufügen:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klicken Sie auf Beobachtungsliste erstellen.

Beobachtungsliste anpinnen

  1. Klicken Sie auf Anzeige bearbeiten.
  2. Klicke auf das Kästchen neben der Beobachtungsliste, die du anpinnen möchtest.
  3. Klicken Sie auf Speichern.

Beobachtungsliste loslösen

  1. Wählen Sie im Dashboard Merklisten die Merkliste aus, die Sie lösen möchten, und wählen Sie  more_vert aus.
  2. Klicken Sie auf Aus der Anzeige entfernen.

Beobachtungsliste bearbeiten

  1. Wählen Sie im Dashboard Beobachtungslisten die Beobachtungsliste aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol  more_vert .
  2. Klicken Sie auf Beobachtungsliste bearbeiten.

Beobachtungsliste löschen

  1. Wählen Sie im Dashboard Beobachtungslisten die Beobachtungsliste aus, die Sie löschen möchten, und klicken Sie auf das more_vert .
  2. Klicke auf Beobachtungsliste löschen.

Entitäten einer Beobachtungsliste hinzufügen

Wenn Sie einer Beobachtungsliste Elemente hinzufügen möchten, geben Sie den Namen, den Typ und (optional) den Namespace des Elements zeilenweise in einem der folgenden Formate an.

  • NAME, TYPE
  • NAME,TYPE,NAMESPACE

    TYPE kann eines der Folgenden sein:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE kann nur für die Asset-Entitätstypen angegeben werden:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Beispiel:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

In diesem Beispiel werden zwei Entitäten zur Beobachtungsliste hinzugefügt: eine Asset-IP-Adresse 205.148.5.0 und ein Hostname website.com unter dem Namespace chronicle. Eine Beobachtungsliste kann bis zu 10.000 Entitäten enthalten.

Einträge aus einer Merkliste entfernen

Wenn Sie Entitäten aus einer Beobachtungsliste entfernen möchten, löschen Sie die Zeilen, die die zu entfernenden Entitäten darstellen, und klicken Sie auf Speichern.

Einstellungen für Risikobewertungen ändern

Auf der Seite Risikobewertung für Entitäten können Sie definieren, wie Risikobewertungen für Entitäten, Benachrichtigungen und Erkennungen berechnet werden. Auf dieser Seite können Sie anpassen, wie das Risiko basierend auf den individuellen Anforderungen Ihrer Suche berechnet wird.

Auf der Seite Risikobewertung für Entität können Sie drei Felder aktualisieren:

So ändern Sie eine dieser Einstellungen:

  1. Wählen Sie in der Navigationsleiste Einstellungen > Risikobewertungen für Rechtssubjekte aus.
  2. Aktualisieren Sie die Risikobewertungen entsprechend.
  3. Klicken Sie auf Speichern. Wenn Sie zur Hauptseite Risikoanalyse zurückkehren, wird oben auf dem Bildschirm eine Meldung angezeigt, die bestätigt, dass eine Änderung am Risikoindex für Entitäten vorgenommen wurde.
  4. Optional: Wenn Sie einen dieser Werte zurücksetzen möchten, klicken Sie rechts neben dem Wert auf Zurücksetzen.

Aktualisierungen werden nur auf neue Benachrichtigungen und Erkennungen angewendet. Es kann bis zu 30 Minuten dauern, bis die Änderungen wirksam werden.

Gewichtung der Risikobewertung für Entitäten

Mit der Gewichtung wird festgelegt, wie Risikobewertungen für Benachrichtigungen und Erkennungen zur Berechnung von Risikobewertungen für Entitäten beitragen. Die Gewichtung ist ein Wert zwischen 0 und 1.Der Standardwert ist 0,2.

Hier einige Beispiele dafür, wie sich unterschiedliche Zahlen auf die Berechnung der Risikobewertung für Entitäten auswirken:

  • Gewichtung der Risikobewertung für Entitäten 0 Die Rohrisikobewertung ist die maximale Risikobewertung für die Erkennung unter allen Erkennungen für die Entität.
  • Gewichtung der Risikobewertung für Entitäten 1 Der Rohrisikowert ist die Summe aller Risikobewertungen für Erkennungen für die Entität.
  • Gewichtung der Risikobewertung für Entitäten 0.5 Bei der Risikobewertung wird der Erkennung mit der maximalen Risikobewertung für die Entität das volle Gewicht und allen anderen Erkennungen das halbe Gewicht zugewiesen.

Standardrisikobewertung für Erkennungen

Mit Standardrisikobewertung für Erkennungen können Sie einen Standardwert für Risikobewertungen für Erkennungen zuweisen. Risikobewertungen für Erkennungen werden verwendet, um Risikobewertungen für Entitäten zu berechnen. Risikobewertungen für Erkennungen werden beim Schreiben einer Regel definiert. Wenn in der Regel kein Risikowert definiert ist, wird der Standardwert verwendet. Die Standardbewertung ist 15 und der Risikobereich liegt zwischen 0 und 100.

Standardrisikobewertung für Benachrichtigungen

Ähnlich wie bei Standardrisikobewertung für Erkennungen können Sie in diesem Feld einen Standardwert für Warnungsrisikobewertungen zuweisen. Wenn Sie keine Risikobewertung in der Regel definieren, wird der Standardwert 40 verwendet. Der Bereich für die Risikobewertung liegt zwischen 0 und 1.000.

Informationen zum Definieren des Risikowerts in einer Regel finden Sie unter Syntax für den Ergebnisbereich.

Koeffizient für geschlossene Benachrichtigungen

Der Koeffizient für geschlossene Benachrichtigungen ändert die Risikobewertung von Benachrichtigungen, die von Analysten als geschlossen markiert wurden. Er ist ein Gleitkomma-Modifikator zwischen 0 und 1 (einschließlich). Der Standardwert ist 1,0.Das bedeutet, dass alle offenen und geschlossenen Benachrichtigungen ihre ursprünglichen Werte behalten. Wenn der Koeffizient für geschlossene Benachrichtigungen den Wert 0,0 hat, erhalten alle geschlossenen Benachrichtigungen einen Risikowert von 0 und erhöhen den Risikowert der Gesamtidentität nicht mehr.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten