Tableau de bord Analyse des risques

Compatible avec :

Le tableau de bord Analyse des risques vous permet de visualiser votre environnement sous l'angle des risques. La visualisation des tendances de risque des entités vous aide à identifier les comportements inhabituels et à comprendre le risque potentiel que les entités représentent pour votre entreprise.

Le tableau de bord Analyse des risques liste les entités à risque et les détails des facteurs de risque. Sur les systèmes qui utilisent le RBAC des données, seuls les utilisateurs disposant d'un champ d'application global peuvent accéder aux analyses des risques. Pour en savoir plus, consultez Impact du RBAC sur les données dans l'analyse des risques.

Pour accéder au tableau de bord Analyse des risques, procédez comme suit :

  1. Dans la barre de navigation, cliquez sur Détection.
  2. Dans Détection, cliquez sur Analyse des risques.

Nombre d'entités, score de risque et tableau des entités

Le tableau de bord Analyse des risques n'affiche, en fonction des filtres choisis, que les 10 000 entités les plus à risque de l'entreprise. Tous les graphiques et tableaux du tableau de bord ne représentent que cet ensemble d'entités.

Le graphique Nombre total d'entités en haut à gauche affiche le nombre d'entités suivies dans votre entreprise présentant un risque supérieur à 0. Les entités dont le score de risque est de 0 sont toujours suivies, mais ne sont pas représentées dans ce graphique. Le nombre total est divisé entre Composants et Utilisateurs.

Pour en savoir plus sur les entités, consultez Objets logiques : événement et entité. Pour en savoir plus sur le calcul des scores de risque, consultez Calcul du score de risque.

Dans le tableau Entités, plusieurs colonnes sont liées au score de risque de l'entité :

Colonne Valeur
Nom de l'entité Nom de l'entité.
Type d'entité Type d'entité (composant ou utilisateur).
Normalisés Les scores normalisés sont calculés sur toutes les entités et mis à l'échelle entre 0 et 1 000 grâce à la normalisation min-max.
Modification du score normalisé Variation du score de risque normalisé de l'entité depuis la précédente période de calcul du risque.
Tendance du score normalisé Augmentation ou diminution de la variation en pourcentage du score de risque normalisé par rapport à la période de risque précédente.
Couches Le score de risque de base de l'entité est égal au score de risque maximal des résultats plus la pondération multipliée par la somme des scores de risque des résultats restants.

La pondération est définie par défaut sur 0,2 et peut être modifiée dans les paramètres.
Modification du score de base Variation du score de risque de base de l'entité depuis la précédente période de calcul du risque.
Tendance du score de base Augmentation ou diminution de la variation en pourcentage du score de risque de base par rapport à la période de risque précédente.
Nombre de résultats Nombre de résultats (alertes et détections) comprenant cette entité pendant la période de calcul du risque.
Première apparition pendant la période Code temporel du moment où l'entité est apparue pour la première fois dans un résultat (alerte ou détection) pendant la période de calcul du risque.
Dernière apparition pendant la période Code temporel du moment où l'entité est apparue pour la dernière fois dans un résultat (alerte ou détection) pendant la période de calcul du risque.

Ajuster la période de calcul du risque

Le risque calculé posé par une entité change en fonction de la période examinée. Si vous modifiez le paramètre Période de calcul du risque en haut à droite (en sélectionnant Période de 24 heures ou Période de 7 jours), le score de risque calculé affiché ici change. Vous pouvez modifier ce paramètre en fonction du type d'attaque que vous recherchez. Par exemple, les attaques par force brute sont plus évidentes lorsque la période de calcul du risque est définie sur 24 heures. Les périodes plus longues vous permettent de repérer les attaques à long terme. Les scores de risque des entités évoluent en fonction de la période de calcul du risque sélectionnée.

Les scores de risque des entités sont recalculés plusieurs fois par jour pour les périodes d'analyse de 24 heures et de 7 jours, en fonction des résultats générés au cours de ces périodes respectives. Le tableau de bord des risques fournit les scores de risque les plus récents. Vous pouvez également afficher les scores de risque historiques en sélectionnant une date et une heure spécifiques dans le sélecteur de date à côté du paramètre "Période de calcul du risque". Les risques d'entité calculés pour la période de 24 heures ou de sept jours se terminant à la date et à l'heure choisies s'affichent.

Affiner votre recherche avec des filtres rapides

Les filtres rapides vous permettent d'affiner votre recherche en n'affichant que les résultats correspondant à vos besoins spécifiques.

Pour utiliser les filtres rapides dans le tableau de bord Analyse des risques, procédez comme suit :

  1. Cliquez sur filter_alt au-dessus du tableau Entités. La fenêtre Filtres s'affiche.
  2. Sélectionnez l'une des colonnes suivantes :
    • Nombre de résultats
    • Score de risque normalisé de l'entité
    • Tendance du risque normalisé de l'entité
    • Type
  3. Sélectionnez Afficher uniquement ou Filtrer.
  4. Sélectionnez une ou plusieurs valeurs pour élargir la plage :
    • Nombre de résultats : valeurs comprises entre 0 et plus de 1 000.
    • Score de risque normalisé de l'entité : valeurs comprises entre 0 et 1 000.
    • Tendance de risque normalisé de l'entité : pourcentages allant de moins de -99 % à plus de 199 %.
    • Type : sélectionnez Composants ou Utilisateurs.
  5. (Facultatif) Pour ajouter des filtres, cliquez sur Ajouter un filtre et répétez cette procédure à partir de l'étape 2.
  6. Une fois les filtres configurés, cliquez sur Appliquer.

Par exemple, si vous sélectionnez Tendance de risque normalisé de l'entité, puis Afficher uniquement et cochez > 199 %, seules les entités dont le risque normalisé a augmenté de plus de 199 % s'affichent.

Examiner une entité à l'aide de la page de l'entité

Pour examiner une entité, procédez comme suit :

  1. Faites défiler la colonne Nom de l'entité ou utilisez la barre de recherche pour trouver une entité.
  2. Cliquez sur l'entité que vous souhaitez examiner.

La page de l'entité s'ouvre. Cette page vous permet d'examiner uniquement les résultats associés à cette entité. Le graphique Chronologie des résultats en haut de la page suit les scores de risque et les résultats des entités au fil du temps. Ce graphique est composé de métriques précalculées affichées sous forme de graphique linéaire pour montrer les tendances au fil du temps. Les anomalies peuvent être considérées comme des pics sur le graphique en courbes. Sous le graphique se trouve le tableau Résultats, qui indique les événements et activités auxquels l'entité sélectionnée a été associée.

En bas à droite, un panneau Afficher les détails de l'entité peut être réduit. Il contient un récapitulatif des informations importantes sur l'entité sélectionnée. Pour examiner en détail l'entité sélectionnée, cliquez sur Afficher les détails de l'entité pour afficher l'entité dans la vue Élément ou Utilisateur, selon que l'entité est un élément ou un utilisateur. Pour en savoir plus, consultez Examiner une entité d'asset ou Examiner un utilisateur.

Examiner une entité à l'aide de l'analyse des entités

L'analyse des entités fournit aux analystes SOC et aux chasseurs de menaces une vue détaillée du comportement d'une entité, y compris son profil de référence, ses anomalies et ses enrichissements contextuels.

Sur la page de l'entité, sélectionnez une période de 90 jours maximum dans la chronologie des résultats, puis cliquez sur Afficher les données analytiques pour la sélection. Une barre latérale s'ouvre et affiche les données analytiques associées à cette entité au cours de la période sélectionnée. Chaque analyse affiche un agrégat de toutes les valeurs d'analyse dans la plage de dates. Lorsqu'une analyse est détectée, elle inclut une liste d'alertes et de détections associées que vous pouvez examiner plus en détail en cliquant sur Afficher plus pour ouvrir la vue Alertes ou Détection correspondante. Pour en savoir plus, consultez Examiner une alerte.

Les analyses d'entités suivantes sont fournies :

  • Nombre de noms d'événements d'alerte
  • Authentification réussie
  • Échec des tentatives d'authentification
  • Nombre total de tentatives d'authentification
  • Octets DNS sortants
  • Échec des requêtes DNS
  • Requêtes DNS réussies
  • Nombre total de requêtes DNS
  • Exécutions de fichiers réussies
  • Échec des exécutions de fichiers
  • Nombre total d'exécutions de fichiers
  • Requêtes HTTP réussies
  • Échec des requêtes HTTP
  • Total des requêtes HTTP
  • Octets réseau entrants
  • Octets réseau sortants
  • Total des octets réseau
  • Nombre total de tentatives d'authentification Workspace
  • Nombre total d'e-mails Workspace envoyés
  • Octets réseau sortants Workspace
  • Nombre total d'octets réseau Workspace
  • Actions de modification totale de l'espace de travail
  • Nombre total d'actions de téléchargement dans l'espace de travail

Modifier un score de risque d'entité

Lorsque des informations ou des événements externes affectent le risque réel d'une entité, vous pouvez mettre à jour son score de risque.

Par exemple, vous pouvez réduire temporairement le score de risque d'un employé qui vient de terminer un exercice de red team (comme un test d'intrusion) afin que les analystes n'aient pas à perdre de temps à déterminer pourquoi le risque de cet employé a augmenté. Vous pouvez également augmenter temporairement le score de risque d'un employé impliqué dans une procédure judiciaire.

  1. Dans le tableau Entités de la page Analyse des risques, pointez sur la colonne la plus à droite de la ligne. Vous devrez peut-être faire défiler l'écran vers la droite. Cliquez sur more_vert.

    , puis sélectionnez Mettre à jour le score de risque de l'entité.

  2. Dans la boîte de dialogue Mettre à jour le score de risque de l'entité, configurez les valeurs suivantes :

    • Facteur de multiplication : vous permet d'augmenter ou de diminuer le score de risque d'une entité avec un facteur de multiplication compris entre 0,0 et 100,0. Par exemple, si vous avez découvert de nouvelles preuves concernant une entité qui la rendent deux fois plus risquée, mettez à jour le facteur de multiplication à 50 pour refléter le véritable facteur de risque de l'entité.
    • Période : période pendant laquelle le facteur de multiplication est appliqué. Vous pouvez sélectionner Maintenant ou une durée comprise entre 1 jour et 14 jours. Si vous sélectionnez Maintenant, le facteur de multiplication est appliqué au score de risque de l'entité pour la fenêtre actuelle de calcul du risque. Seules les alertes et détections existantes sont incluses dans le calcul. Lorsque la période sélectionnée se termine, les mises à jour du score de risque de l'entité s'arrêtent et le score de risque revient à la normale.
    • Motif : vous permet de fournir aux autres utilisateurs des informations supplémentaires sur la raison de cette modification. Choisissez l'une des options suivantes : Nouvelle preuve, Score de risque incorrect, Profil de risque modifié, Exigences de conformité ou Autre.

Si vous essayez d'apporter une modification qui a déjà été effectuée (par exemple, vous souhaitez modifier le facteur de multiplication d'une entité à 25 %, mais un autre membre de l'équipe a déjà effectué cette modification), une boîte de dialogue s'affiche pour vous indiquer que la modification a déjà été effectuée, y compris des informations sur la personne qui l'a effectuée et la date.

Afficher les mises à jour du score de risque dans les détails de l'entité

Vous pouvez consulter toutes les mises à jour du score de risque d'une entité sur la page Profil de l'entité.

  1. Cliquez sur l'entité dont vous souhaitez afficher l'historique des mises à jour du score de risque pour ouvrir la page Profil de l'entité.
  2. Dans le graphique de la chronologie des événements, chaque modification du score de risque de l'entité est indiquée par le libellé Modification du score de risque en blanc.
  3. Pointez sur le texte pour afficher une boîte de dialogue indiquant la date, l'utilisateur et la raison de la modification.

Listes de surveillance

La page Listes de surveillance vous permet de surveiller des entités spécifiques dans toute votre entreprise.

  1. Dans la barre de navigation de gauche, cliquez sur Détection.
  2. Dans Détection, cliquez sur Analyse des risques.
  3. Cliquez sur l'onglet Listes de suivi.

Ajouter une liste

Pour ajouter une liste de surveillance à votre compte Google Security Operations, procédez comme suit. Vous pouvez configurer jusqu'à 200 listes de surveillance.

  1. Cliquez sur Créer une liste de suivi.
  2. Spécifiez un nom pour la liste de surveillance.
  3. (Facultatif) Spécifiez une description.
  4. (Facultatif) Spécifiez un facteur de multiplication compris entre 0 et 100. La valeur par défaut est 1.
  5. (Facultatif) Spécifiez les entités à droite de la fenêtre, dans la section Ajouter des entités à une liste de surveillance. Vous pouvez ajouter les types d'entités suivants :
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Cliquez sur Créer une liste de suivi.

Épingler une liste

  1. Cliquez sur Modifier l'affichage.
  2. Cochez la case à côté de la liste de suivi que vous souhaitez épingler.
  3. Cliquez sur Enregistrer.

Désépingler une liste

  1. Dans le tableau de bord Listes de suivi, sélectionnez la liste de suivi que vous souhaitez détacher, puis more_vert .
  2. Cliquez sur Supprimer de l'affichage.

Modifier une liste de surveillance

  1. Dans le tableau de bord Listes de surveillance, sélectionnez la liste de surveillance que vous souhaitez modifier, puis cliquez sur l'icône more_vert .
  2. Cliquez sur Modifier la liste de suivi.

Supprimer une liste

  1. Dans le tableau de bord Listes de surveillance, sélectionnez la liste de surveillance que vous souhaitez supprimer, puis cliquez sur more_vert .
  2. Cliquez sur Supprimer la liste de suivi.

Ajouter des entités à une liste de surveillance

Pour ajouter des entités à une liste de surveillance, vous devez spécifier le nom, le type et (facultativement) l'espace de noms de l'entité, ligne par ligne, en utilisant l'un des formats suivants.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE peut être :

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE ne peut être spécifié que pour les types d'entités "asset" (ressource) :

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemple :

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Cet exemple représente deux entités ajoutées à la liste de surveillance : une adresse IP de composant 205.148.5.0 et un nom d'hôte website.com sous l'espace de noms chronicle. Vous pouvez ajouter jusqu'à 10 000 entités à une liste de surveillance.

Supprimer des entités d'une liste de surveillance

Pour supprimer des entités d'une liste de surveillance, supprimez les lignes qui représentent les entités que vous souhaitez supprimer, puis cliquez sur Enregistrer.

Modifier les paramètres du score de risque

La page Score de risque des entités vous permet de définir comment les scores de risque sont calculés pour les entités, les alertes et les détections. Cette page vous permet de personnaliser le calcul du risque en fonction des besoins spécifiques de votre recherche.

Vous pouvez modifier trois champs sur la page Score de risque de l'entité :

Pour modifier l'un de ces paramètres :

  1. Dans la barre de navigation, sélectionnez Paramètres > Scores de risque des entités.
  2. Mettez à jour les scores de risque en conséquence.
  3. Cliquez sur Enregistrer. Lorsque vous revenez à la page principale Risk Analytics, un message s'affiche en haut de l'écran pour confirmer qu'une modification a été apportée au score de risque de l'entité.
  4. (Facultatif) Pour réinitialiser l'une de ces valeurs, cliquez sur Réinitialiser à droite de la valeur.

Les modifications ne s'appliqueront qu'aux nouvelles alertes et détections. La prise en compte des modifications peut prendre jusqu'à 30 minutes.

Pondération des scores de risque des entités

La pondération définit la contribution des scores de risque des alertes et des détections aux calculs du score de risque des entités. La pondération est une valeur comprise entre 0 et 1.La valeur par défaut est 0,2.

Voici quelques exemples de l'impact de différents nombres sur le calcul du score de risque des entités :

  • Pondération des scores de risque des entités 0. Le score de risque brut correspond au score de risque de détection maximal parmi toutes les détections pour l'entité.
  • Pondération des scores de risque des entités 1. Le score de risque brut correspond à la somme de tous les scores de risque de détection pour l'entité.
  • Pondération des scores de risque des entités 0.5. Le score de risque accorde une pondération complète à la détection avec le score de risque maximal pour l'entité et une pondération moitié pour toutes les autres détections.

Score de risque par défaut pour les détections

L'option Score de risque des détections par défaut vous permet d'attribuer une valeur par défaut aux scores de risque des détections. Les scores de risque des détections sont utilisés pour calculer les scores de risque des entités. Les scores de risque des détections sont définis lorsqu'une règle est écrite. Si aucun score de risque n'est défini dans la règle, la valeur par défaut est utilisée. Le score par défaut est de 15, et la plage de scores de risque est comprise entre 0 et 100.

Score de risque par défaut pour les alertes

Semblable à Score de risque par défaut pour les détections, ce champ vous permet d'attribuer une valeur par défaut aux scores de risque des alertes. Si aucun score de risque n'est défini dans la règle, la valeur par défaut de 40 est utilisée. La plage du score de risque est comprise entre 0 et 1 000.

Pour savoir comment définir le score de risque dans une règle, consultez la section Syntaxe de la section "Résultat".

Coefficient d'alerte clôturée

Le coefficient d'alerte clôturée modifie le score de risque des alertes marquées comme clôturées par les analystes. Il s'agit d'un modificateur à virgule flottante compris entre 0 et 1 inclus. La valeur par défaut est 1,0, ce qui signifie que toutes les alertes ouvertes et fermées conservent leurs scores d'origine. Si le coefficient d'alertes clôturées est défini sur 0,0, toutes les alertes clôturées reçoivent un score de risque de 0 et n'augmentent plus le score de risque de l'entité globale.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.