Tableau de bord "Analyse des risques"

Compatible avec:

Le tableau de bord Analyse des risques vous permet de visualiser votre environnement sous l'angle des risques. Visualiser les tendances de risque des entités vous aide à identifier les comportements inhabituels et à comprendre le risque potentiel que les entités représentent pour votre entreprise.

Le tableau de bord Analyse des risques liste les entités à risque et les détails des facteurs de risque. Sur les systèmes qui utilisent le RBAC des données, seuls les utilisateurs disposant d'une portée globale peuvent accéder aux analyses des risques. Pour en savoir plus, consultez Impact du contrôle des accès basé sur les rôles (RBAC) sur les analyses des risques.

Pour accéder au tableau de bord Analyse des risques, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Detection (Détection).
  2. Dans Détection, cliquez sur Analyse des risques.

Nombre d'entités, score de risque et table des entités

Le tableau de bord Analyse des risques n'affiche, en fonction des filtres choisis, que les 10 000 entités présentant le risque le plus élevé dans l'entreprise. Tous les graphiques et tableaux du tableau de bord ne représentent que cet ensemble d'entités.

Le graphique Nombre total d'entités en haut à gauche indique le nombre d'entités suivies dans votre entreprise avec un risque supérieur à 0. Les entités ayant un score de risque de 0 sont toujours suivies, mais elles ne sont pas représentées dans ce graphique. Le nombre total est réparti entre les composants et les utilisateurs.

Pour en savoir plus sur les entités, consultez Objets logiques: événement et entité. Pour en savoir plus sur le calcul des scores de risque, consultez Calcul du score de risque.

Dans le tableau Entités, plusieurs colonnes sont associées au score de risque de l'entité:

Colonne Valeur
Nom de l'entité Nom de l'entité.
Type d'entité Type d'entité (composant ou utilisateur).
Normalisés Les scores normalisés sont calculés sur toutes les entités et mis à l'échelle entre 0 et 1 000 grâce à la normalisation min-max.
Modification du score normalisé Variation du score de risque normalisé de l'entité depuis la précédente période de calcul du risque.
Tendance du score normalisé Augmentation ou diminution du pourcentage de variation du score de risque normalisé par rapport à la période de risque précédente.
Couches Le score de risque de base de l'entité correspond au score de risque pour les résultats maximal, plus la pondération multipliée par la somme des scores de risque pour les résultats restants.

La pondération est définie par défaut sur 0,2 et peut être modifiée dans les paramètres.
Modification du score de base Variation du score de risque de base de l'entité depuis la précédente période de calcul du risque.
Tendance du score de base Augmentation ou diminution du pourcentage de variation du score de risque de base par rapport à la période de risque précédente.
Nombre de résultats Nombre de résultats (alertes et détections) comprenant cette entité pendant la période de calcul du risque.
Première apparition pendant la période Code temporel du moment où l'entité est apparue pour la première fois dans un résultat (alerte ou détection) pendant la période de calcul du risque.
Dernière apparition pendant la période Code temporel du moment où l'entité est apparue pour la dernière fois dans un résultat (alerte ou détection) pendant la période de calcul du risque.

Ajuster la fenêtre de calcul des risques

Le risque calculé qu'une entité représente change en fonction de la période examinée. Modifier le paramètre Période de calcul du risque en haut à droite (sélectionnez Période de 24 heures ou Période de 7 jours) modifie le score de risque calculé affiché ici. Vous pouvez modifier ce paramètre en fonction du type d'attaque que vous recherchez. Par exemple, les attaques par force brute sont plus apparentes en définissant la fenêtre de calcul des risques sur 24 heures. Les périodes plus longues vous permettent de repérer les attaques à long terme.

Les scores de risque des entités évoluent en fonction de la période de calcul du risque sélectionnée. Les scores de risque des entités sont calculés à l'aide des résultats générés pendant la période.

Affiner votre recherche avec des filtres rapides

Les filtres rapides vous permettent d'affiner votre recherche en n'affichant que les résultats pertinents pour vos besoins spécifiques.

Pour utiliser les filtres rapides dans le tableau de bord Analyse des risques, procédez comme suit:

  1. Cliquez sur filter_alt au-dessus du tableau Entités. La fenêtre Filtres s'affiche.
  2. Sélectionnez l'une des colonnes :
    • Nombre de résultats
    • Score de risque normalisé de l'entité
    • Tendance de risque normalisé de l'entité
    • Type
  3. Sélectionnez Afficher uniquement ou Exclure.
  4. Sélectionnez une valeur (vous pouvez en sélectionner plusieurs pour élargir la plage) :
    • Nombre de résultats: valeurs comprises entre 0 et plus de 1 000.
    • Score de risque normalisé de l'entité: valeurs comprises entre 0 et 1 000.
    • Tendance de risque normalisé de l'entité: pourcentages compris entre moins de -99 % et plus de 199%.
    • Type: sélectionnez Éléments ou Utilisateurs.
  5. (Facultatif) Pour ajouter d'autres filtres, cliquez sur Ajouter un filtre, puis répétez la procédure à partir de l'étape 2.
  6. Une fois les filtres configurés, cliquez sur Appliquer.

Par exemple, si vous sélectionnez Tendance de risque normalisé de l'entité, Afficher uniquement et cochez > 199%, seules les entités dont le risque normalisé de l'entité a changé de plus de 199% s'affichent.

Examiner une entité à l'aide de la page de l'entité

Pour examiner une entité, procédez comme suit:

  1. Faites défiler la colonne Nom de l'entité ou utilisez la barre de recherche pour trouver une entité.
  2. Cliquez sur l'entité que vous souhaitez examiner.

La page de l'entité s'ouvre. Cette page vous permet d'examiner uniquement les résultats associés à cette entité. Le graphique Chronologie des résultats en haut suit les scores de risque des entités et les résultats au fil du temps. Ce graphique est composé de métriques précalculées affichées sous forme de graphique en courbes pour montrer les tendances au fil du temps. Les anomalies apparaissent sous forme de pics sur le graphique en courbes. Sous le graphique se trouve le tableau Résultats, qui indique les événements et les activités auxquels l'entité sélectionnée a été associée.

Un panneau Afficher les détails de l'entité réductible s'affiche en bas à droite. Il contient un récapitulatif des informations importantes sur l'entité sélectionnée. Pour examiner en détail l'entité sélectionnée, cliquez sur Afficher les détails de l'entité afin de l'afficher dans la vue Élément ou Utilisateur, selon qu'il s'agit d'un élément ou d'un utilisateur. Pour en savoir plus, consultez Examiner une entité d'élément ou Examiner un utilisateur.

Examiner une entité à l'aide de l'analyse des entités

L'analyse des entités fournit aux analystes du SOC et aux chasseurs de menaces une vue détaillée du comportement d'une entité, y compris son profil de référence, ses anomalies et ses enrichissements contextuels.

Sur la page de l'entité, sélectionnez une période maximale de 90 jours dans le chronologie des résultats, puis cliquez sur Afficher les données analytiques pour la sélection. Une barre latérale s'ouvre et affiche les données analytiques associées à cette entité au cours de la période sélectionnée. Chaque analyse affiche un agrégat de toutes les valeurs analytiques au cours de la période. Lorsqu'une analyse est détectée, elle inclut une liste d'alertes et de détections associées que vous pouvez examiner plus en détail en cliquant sur Afficher plus pour ouvrir la vue Alertes ou Détection correspondante. Pour en savoir plus, consultez Examiner une alerte.

Les analyses d'entités suivantes sont fournies:

  • Nombre d'alertes par nom d'événement
  • Tentatives d'authentification réussies
  • Échecs des tentatives d'authentification
  • Nombre total de tentatives d'authentification
  • Octets DNS sortants
  • Échec des requêtes DNS
  • Réussite des requêtes DNS
  • Nombre total de requêtes DNS
  • Exécutions de fichiers réussies
  • Échec des exécutions de fichiers
  • Nombre total d'exécutions de fichiers
  • Réussite des requêtes HTTP
  • Échec des requêtes HTTP
  • Total des requêtes HTTP
  • Octets réseau entrants
  • Octets réseau sortants
  • Total des octets réseau
  • Nombre total de tentatives d'authentification Workspace
  • Nombre total d'e-mails Workspace envoyés
  • Octets réseau sortants Workspace
  • Nombre total d'octets réseau Workspace
  • Workspace Total Change Actions
  • Workspace Total Download Actions

Modifier le score de risque d'une entité

Lorsque des informations ou des événements externes affectent le risque réel d'une entité, vous pouvez mettre à jour son score de risque.

Par exemple, vous pouvez temporairement réduire le score de risque d'un employé qui vient de terminer un exercice de la Red Team (tel qu'un test d'intrusion) afin que les analystes n'aient pas à perdre de temps à déterminer pourquoi cet employé a vu son risque augmenter. Vous pouvez également augmenter temporairement le score de risque d'un employé impliqué dans une affaire judiciaire.

  1. Dans le tableau Entités de la page Analyse des risques, maintenez le pointeur sur la colonne tout à droite de la ligne. Vous devrez peut-être faire défiler l'écran vers la droite. Cliquez sur more_vert.

    et sélectionnez Mettre à jour le score de risque de l'entité.

  2. Dans la boîte de dialogue Mettre à jour le score de risque de l'entité, configurez les valeurs suivantes:

    • Facteur de multiplication: permet d'augmenter ou de diminuer le score de risque d'une entité avec un facteur de multiplication compris entre 0,0 et 100,0. Par exemple, si vous avez découvert de nouvelles preuves concernant une entité qui la rend deux fois plus risquée, définissez le facteur de multiplication sur 50 pour refléter le véritable facteur de risque de l'entité.
    • Période: période pendant laquelle le facteur de multiplication est appliqué. Vous pouvez sélectionner Maintenant ou une durée comprise entre 1 jour et 14 jours. Si vous sélectionnez Maintenant, le facteur de multiplication est appliqué au score de risque de l'entité pour la période de calcul du risque actuelle. Seules les alertes et détections existantes sont incluses dans le calcul. Lorsque la période sélectionnée se termine, les mises à jour du score de risque d'entité s'arrêtent et le score de risque revient à la normale.
    • Motif: permet de laisser un contexte supplémentaire aux autres utilisateurs sur la raison de cette mise à jour. Choisissez l'une des options suivantes: Nouvelles preuves, Score de risque incorrect, Profil de risque modifié, Exigences de conformité ou Autre.

Si vous essayez d'apporter une modification qui a déjà été effectuée (par exemple, vous souhaitez définir le facteur de multiplication d'une entité sur 25%, mais un autre membre de l'équipe a déjà effectué cette modification), une boîte de dialogue s'affiche pour vous indiquer que la modification a déjà été effectuée, y compris des informations sur la personne qui l'a effectuée et le moment où elle l'a fait.

Afficher les mises à jour du score de risque dans les détails de l'entité

Vous pouvez consulter toutes les mises à jour du score de risque d'une entité sur la page Profil de l'entité.

  1. Cliquez sur l'entité dont vous souhaitez consulter l'historique des mises à jour du score de risque pour ouvrir la page Profil de l'entité.
  2. Dans le graphique de chronologie des événements, chaque fois qu'un utilisateur a modifié le score de risque de l'entité, le libellé Modification du score de risque s'affiche en texte blanc.
  3. Maintenez le pointeur sur le texte pour afficher une boîte de dialogue contenant la date, l'utilisateur et le motif de la modification.

Listes de suivi

La page Listes de surveillance vous permet de surveiller des entités spécifiques de votre entreprise.

  1. Dans la barre de navigation de gauche, cliquez sur Détection.
  2. Sous Détection, cliquez sur Analyse des risques.
  3. Cliquez sur l'onglet Listes de lecture.

Ajouter une liste

Pour ajouter une liste de surveillance à votre compte Google Security Operations, procédez comme suit : Vous pouvez configurer jusqu'à 200 listes de lecture.

  1. Cliquez sur Créer une liste.
  2. Spécifiez un nom de liste.
  3. (Facultatif) Spécifiez une description.
  4. (Facultatif) Spécifiez un facteur de multiplication compris entre 0 et 100. La valeur par défaut est 1.
  5. (Facultatif) Spécifiez des entités sur le côté droit de la fenêtre après la section Ajouter des entités à une liste de surveillance. Vous pouvez ajouter les types d'entités suivants :
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Cliquez sur Créer une liste.

Épingler une liste

  1. Cliquez sur Modifier l'affichage.
  2. Cochez la case à côté de la liste de lecture que vous souhaitez épingler.
  3. Cliquez sur Enregistrer.

Désépingler une liste

  1. Dans le tableau de bord Listes, sélectionnez la liste que vous souhaitez enlever de l'épingle, puis more_vert .
  2. Cliquez sur Supprimer de l'affichage.

Modifier une liste de surveillance

  1. Dans le tableau de bord Listes de lecture, sélectionnez la liste de lecture que vous souhaitez modifier, puis cliquez sur l'icône more_vert .
  2. Cliquez sur Modifier la liste de lecture.

Supprimer une liste

  1. Dans le tableau de bord Watchlists (Listes), sélectionnez la liste que vous souhaitez supprimer, puis cliquez sur more_vert .
  2. Cliquez sur Supprimer la liste.

Ajouter des entités à une liste

Pour ajouter des entités à une liste de surveillance, vous devez spécifier le nom, le type et l'espace de noms (facultatif) de l'entité ligne par ligne à l'aide de l'un des formats suivants.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE peut être :

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE ne peut être spécifié que pour les types d'entités d'éléments suivants:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemple :

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Cet exemple représente deux entités ajoutées à la liste de surveillance, une adresse IP d'un composant 205.148.5.0 et un nom d'hôte website.com sous l'espace de noms chronicle. Vous pouvez ajouter jusqu'à 10 000 entités à une liste de surveillance.

Supprimer des entités d'une liste

Pour supprimer des entités d'une liste de surveillance, supprimez les lignes qui représentent les entités que vous souhaitez supprimer, puis cliquez sur Enregistrer.

Modifier les paramètres du score de risque

La page Score de risque des entités vous permet de définir comment les scores de risque sont calculés pour les entités, les alertes et les détections. Cette page vous permet d'adapter le calcul du risque en fonction des besoins spécifiques de votre recherche.

Sur la page Score de risque de l'entité, vous pouvez modifier trois champs:

Pour modifier l'un de ces paramètres, procédez comme suit:

  1. Dans la barre de navigation, sélectionnez Paramètres > Scores de risque des entités.
  2. Mettez à jour les scores de risque en conséquence.
  3. Cliquez sur Enregistrer. Lorsque vous revenez à la page principale Analyse des risques, un message s'affiche en haut de l'écran pour confirmer qu'une modification a été apportée au score de risque de l'entité.
  4. (Facultatif) Pour réinitialiser l'une de ces valeurs, cliquez sur Réinitialiser à droite de la valeur.

Les mises à jour ne s'appliqueront qu'aux nouvelles alertes et détections. La prise en compte des modifications peut prendre jusqu'à 30 minutes.

Pondération des scores de risque des entités

La pondération définit la façon dont les scores de risque des alertes et des détections contribuent aux calculs du score de risque des entités. La pondération est une valeur comprise entre 0 et 1, et la valeur par défaut est 0,2.

Voici quelques exemples de l'impact de différents nombres sur le calcul du score de risque des entités:

  • Pondération des scores de risque des entités 0. Le score de risque brut correspond au score de risque de détection maximal parmi toutes les détections de l'entité.
  • Pondération des scores de risque des entités 1. Le score de risque brut correspond à la somme de tous les scores de risque de détection de l'entité.
  • Pondération des scores de risque des entités 0.5. Le score de risque attribue une pondération complète à la détection avec un score de risque maximal pour l'entité et la moitié de la pondération pour toutes les autres détections.

Score de risque par défaut pour les détections

Score de risque par défaut pour les détections vous permet d'attribuer une valeur par défaut aux scores de risque des détections. Les scores de risque des détections sont utilisés pour calculer les scores de risque des entités. Les scores de risque des détections sont définis lorsqu'une règle est écrite. Si aucun score de risque n'est défini dans la règle, la valeur par défaut est utilisée. Le score par défaut est de 15 et la plage de scores de risque est comprise entre 0 et 100.

Score de risque par défaut pour les alertes

Comme pour le champ Score de risque par défaut pour les détections, ce champ vous permet d'attribuer une valeur par défaut aux scores de risque des alertes. Si aucun score de risque n'est défini dans la règle, la valeur par défaut de 40 est utilisée. La plage de score de risque est comprise entre 0 et 1 000.

Pour en savoir plus sur la définition du score de risque dans une règle, consultez la section Syntaxe de la section "Résultat".

Coefficient d'alerte clôturée

Le coefficient d'alerte clôturée modifie le score de risque des alertes marquées comme clôturées par les analystes. Il s'agit d'un modificateur à virgule flottante compris entre 0 et 1 inclus. La valeur par défaut est 1,0, ce qui signifie que toutes les alertes ouvertes et fermées conservent leur score d'origine. Si le coefficient d'alerte fermée a une valeur de 0,0, toutes les alertes fermées reçoivent un score de risque de 0 et n'augmentent plus le score de risque de l'entité globale.