Dasbor Analisis Risiko

Didukung di:

Dasbor Analisis Risiko memungkinkan Anda melihat lingkungan melalui perspektif berbasis risiko. Memvisualisasikan tren risiko entitas membantu Anda mengidentifikasi perilaku yang tidak biasa dan memahami potensi risiko yang ditimbulkan entitas terhadap perusahaan Anda.

Dasbor Analisis Risiko mencantumkan entitas yang berisiko dan detail faktor risiko. Pada sistem yang menggunakan RBAC data, hanya pengguna dengan cakupan global yang dapat mengakses analisis risiko. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data pada Analisis risiko.

Untuk membuka dasbor Analisis Risiko, ikuti langkah-langkah berikut:

  1. Di menu navigasi, klik Deteksi.
  2. Dari Deteksi, klik Analisis Risiko.

Jumlah entity, skor risiko, dan tabel entity

Dasbor Risk Analytics menampilkan, berdasarkan filter yang dipilih, hanya 10.000 entitas teratas dengan risiko tertinggi di perusahaan. Semua grafik dan tabel di dasbor hanya menampilkan kumpulan entitas ini.

Grafik Jumlah total entitas di kiri atas menampilkan jumlah entitas yang dilacak di perusahaan Anda dengan risiko lebih besar dari 0. Entitas dengan skor risiko 0 masih dilacak, tetapi tidak akan ditampilkan dalam grafik ini. Jumlah total dibagi antara Aset dan Pengguna.

Untuk mengetahui informasi selengkapnya tentang entity, lihat Objek logis: Peristiwa dan Entity. Untuk mengetahui informasi selengkapnya tentang cara penghitungan skor risiko, lihat Penghitungan skor risiko.

Di tabel Entities, ada beberapa kolom yang terkait dengan skor risiko entity:

Kolom Nilai
Nama entity Nama entitas.
Jenis entitas Jenis entitas (Aset atau Pengguna).
Dinormalisasi Skor yang dinormalisasi dihitung di seluruh entity, dan diskalakan antara 0-1000 menggunakan normalisasi min-maks.
Perubahan skor yang dinormalisasi Perubahan skor risiko entity yang dinormalisasi sejak periode penghitungan risiko sebelumnya.
Tren yang dinormalisasi Peningkatan atau penurunan perubahan persentase skor risiko yang dinormalisasi dibandingkan dengan periode risiko sebelumnya.
Dasar Skor risiko entity dasar sama dengan skor risiko temuan maksimum ditambah pembobotan dikalikan jumlah skor risiko temuan yang tersisa.

Pembobotan default adalah 0,2 dan dapat diubah di Setelan.
Perubahan dasar Perubahan skor risiko entity dasar sejak periode penghitungan risiko sebelumnya.
Tren dasar Peningkatan atau penurunan perubahan persentase skor risiko dasar dibandingkan dengan periode risiko sebelumnya.
Jumlah temuan Jumlah temuan (pemberitahuan dan deteksi) yang menyertakan entity ini selama periode penghitungan risiko.
Pertama kali terlihat dalam periode Stempel waktu ketika entity pertama kali terlihat dalam temuan (pemberitahuan atau deteksi) selama periode penghitungan risiko.
Terakhir kali terlihat dalam periode Stempel waktu ketika entity terakhir kali terlihat dalam temuan (pemberitahuan atau deteksi) selama periode penghitungan risiko.

Menyesuaikan periode penghitungan risiko

Risiko yang diperkirakan ditimbulkan oleh entity berubah bergantung pada jangka waktu yang diperiksa. Mengubah setelan Periode Penghitungan Risiko di kanan atas (pilih Periode 24 Jam atau Periode 7 Hari) akan mengubah skor risiko yang dihitung dan ditampilkan di sini. Anda mungkin ingin mengubah setelan ini, bergantung pada jenis serangan yang Anda cari. Misalnya, serangan brute force lebih terlihat dengan menyetel Periode Penghitungan Risiko ke 24 Jam. Jangka waktu yang lebih panjang memungkinkan Anda mendeteksi serangan jangka panjang. Skor risiko entity akan berubah bergantung pada periode penghitungan risiko yang dipilih.

Skor risiko entity dihitung ulang beberapa kali setiap hari untuk periode lihat kembali 24 jam dan 7 hari, berdasarkan temuan yang dihasilkan dalam periode lihat kembali masing-masing. Dasbor risiko memberikan skor risiko yang terakhir dihitung. Anda juga dapat melihat skor risiko historis dengan memilih tanggal dan waktu tertentu di pemilih tanggal di samping setelan "Periode Penghitungan Risiko". Bagian ini akan menampilkan risiko entitas yang dihitung untuk periode 24 jam atau 7 hari yang berakhir pada tanggal dan waktu yang dipilih.

Mempersempit penelusuran dengan filter cepat

Filter cepat memungkinkan Anda mempersempit penelusuran dengan hanya menampilkan hasil yang relevan dengan kebutuhan spesifik Anda.

Untuk menggunakan Filter cepat di dasbor Analisis Risiko, ikuti langkah-langkah berikut:

  1. Klik filter_alt di atas tabel Entitas. Jendela Filter akan muncul.
  2. Pilih salah satu kolom:
    • Jumlah temuan
    • Skor risiko entity yang dinormalisasi
    • Tren risiko entity yang dinormalisasi
    • Jenis
  3. Pilih Tampilkan hanya atau Kecualikan.
  4. Pilih nilai (Anda dapat memilih lebih dari satu nilai untuk memperluas rentang):
    • Jumlah temuan: Nilai dari 0 hingga lebih dari 1.000.
    • Skor risiko entitas yang dinormalisasi: Nilai dari 0 hingga 1000.
    • Tren risiko entity yang dinormalisasi: Persentase dari kurang dari -99% hingga lebih dari 199%.
    • Jenis: Pilih Aset atau Pengguna.
  5. (Opsional) Untuk menambahkan filter lain, klik Tambahkan filter, lalu ulangi proses ini dari langkah 2.
  6. Setelah Anda selesai mengonfigurasi filter, klik Terapkan.

Misalnya, jika Anda memilih Tren risiko entitas yang dinormalisasi, pilih Tampilkan saja, lalu centang >199%, hanya entitas dengan perubahan risiko entitas yang dinormalisasi lebih dari 199% yang ditampilkan.

Menyelidiki entity menggunakan halaman entity

Untuk menyelidiki entitas, ikuti langkah-langkah berikut:

  1. Scroll kolom Nama Entitas atau gunakan kotak penelusuran untuk menemukan entitas.
  2. Klik entitas yang ingin Anda selidiki.

Tindakan ini akan membuka halaman entitas. Halaman ini memungkinkan Anda memeriksa temuan yang terkait dengan satu entity tersebut. Diagram Linimasa temuan di bagian atas melacak skor risiko entity dan temuan dari waktu ke waktu. Diagram ini dibuat dari metrik yang telah dihitung sebelumnya dan ditampilkan dalam format grafik garis untuk menunjukkan tren dari waktu ke waktu. Anomali dapat dilihat sebagai lonjakan pada grafik garis. Di bawah diagram terdapat tabel Temuan, yang menunjukkan peristiwa dan aktivitas yang terkait dengan entitas yang dipilih.

Ada panel Lihat detail entitas yang dapat diciutkan di kanan bawah yang berisi ringkasan detail penting tentang entitas yang dipilih. Untuk menyelesaikan pemeriksaan mendetail entitas yang dipilih, klik Lihat detail entitas untuk melihat entitas dalam tampilan Aset atau Pengguna, bergantung pada apakah entitas tersebut adalah aset atau pengguna. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki entitas aset atau Menyelidiki pengguna.

Menyelidiki entity menggunakan analisis entity

Analisis entitas memberikan tampilan mendetail tentang perilaku entitas kepada analis SOC dan pemburu ancaman, termasuk profil dasar entitas, anomali, dan pengayaan kontekstual.

Dari halaman entitas, pilih rentang waktu hingga 90 hari di linimasa Temuan, lalu klik Lihat analisis untuk pilihan. Tindakan ini akan membuka sidebar yang menampilkan analisis yang terkait dengan entitas ini dalam rentang waktu yang dipilih. Setiap analisis menampilkan gabungan dari semua nilai analisis dalam rentang waktu. Jika terdeteksi, analisis mencakup daftar pemberitahuan dan deteksi terkait yang dapat diperiksa lebih lanjut dengan mengklik Lihat lainnya untuk membuka tampilan Pemberitahuan atau Deteksi yang sesuai. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki pemberitahuan.

Analisis entitas berikut disediakan:

  • Jumlah Nama Peristiwa Pemberitahuan
  • Keberhasilan Upaya Autentikasi
  • Upaya Autentikasi Gagal
  • Total Upaya Autentikasi
  • DNS Bytes Outbound
  • Kueri DNS Gagal
  • Keberhasilan Kueri DNS
  • Total Kueri DNS
  • Keberhasilan Eksekusi File
  • Eksekusi File Gagal
  • Total Eksekusi File
  • Keberhasilan Kueri HTTP
  • Kueri HTTP Gagal
  • Total Kueri HTTP
  • Byte Jaringan Masuk
  • Byte Jaringan Keluar
  • Total Byte Jaringan
  • Total Upaya Autentikasi Workspace
  • Total Email Workspace yang Terkirim
  • Byte Jaringan Workspace Keluar
  • Total Byte Jaringan Workspace
  • Tindakan Perubahan Total Workspace
  • Total Tindakan Download Workspace

Mengubah skor risiko entity

Jika informasi atau peristiwa eksternal memengaruhi risiko sebenarnya suatu entitas, Anda dapat memperbarui skor risiko entitas tersebut.

Misalnya, Anda dapat mengurangi skor risiko karyawan yang baru saja menyelesaikan latihan tim merah (seperti pengujian penetrasi) untuk sementara agar analis tidak membuang waktu untuk menyelidiki mengapa karyawan tersebut mengalami peningkatan risiko. Anda juga dapat meningkatkan skor risiko karyawan yang terlibat dalam kasus pengadilan untuk sementara.

  1. Dari tabel Entitas di halaman Analisis Risiko, arahkan kursor ke kolom paling kanan baris. Anda mungkin perlu men-scroll tampilan ke kanan. Klik more_vert

    dan pilih Perbarui skor risiko entity.

  2. Dari dialog Perbarui skor risiko entity, konfigurasi nilai untuk berikut:

    • Faktor perkalian: Memungkinkan Anda menaikkan atau menurunkan skor risiko entity dengan faktor perkalian 0,0 - 100,0. Misalnya, jika Anda telah menemukan bukti baru tentang entity yang membuat entity tersebut dua kali lebih berisiko, perbarui faktor perkalian menjadi 50 untuk mencerminkan faktor risiko sebenarnya dari entity tersebut.
    • Periode waktu: Periode waktu saat faktor perkalian diterapkan. Anda dapat memilih Sekarang atau antara 1 hari dan 14 hari. Jika Anda memilih Sekarang, faktor pengali akan diterapkan ke skor risiko entity untuk periode penghitungan risiko saat ini. Hanya pemberitahuan dan deteksi yang sudah ada yang akan disertakan dalam penghitungan. Saat jangka waktu yang dipilih berakhir, pembaruan pada skor risiko entity akan dihentikan dan skor risiko akan kembali normal.
    • Alasan: Memungkinkan Anda memberikan konteks tambahan kepada pengguna lain tentang alasan pembaruan ini dilakukan. Pilih salah satu opsi berikut: Bukti baru, Skor risiko salah, Profil risiko berubah, Persyaratan kepatuhan, atau Lainnya.

Jika Anda mencoba melakukan perubahan yang telah dilakukan (misalnya, Anda ingin memperbarui faktor perkalian entitas menjadi 25%, tetapi anggota tim lain telah melakukan perubahan tersebut), dialog akan muncul yang menyatakan bahwa perubahan telah dilakukan, termasuk informasi tentang siapa yang melakukan perubahan dan kapan.

Melihat pembaruan skor risiko di detail entity

Anda dapat melihat semua pembaruan skor risiko untuk entity di halaman Profil entity.

  1. Klik entitas yang historis pembaruan skor risikonya ingin Anda lihat untuk membuka halaman Profil entitas.
  2. Dalam Diagram linimasa peristiwa, setiap kali seseorang mengubah skor risiko entitas ditunjukkan oleh label Modifikasi Skor Risiko dalam teks putih.
  3. Arahkan kursor ke teks untuk menampilkan dialog dengan tanggal, pengguna, dan alasan perubahan.

Daftar pantauan

Halaman Daftar pantauan memungkinkan Anda memantau entitas tertentu dari seluruh perusahaan Anda.

  1. Di menu navigasi kiri, klik Deteksi.
  2. Dari Deteksi, klik Analisis risiko.
  3. Klik tab Daftar Tontonan.

Menambahkan daftar pantauan

Untuk menambahkan daftar pantauan ke akun Google Security Operations Anda, selesaikan langkah-langkah berikut. Anda dapat mengonfigurasi hingga 200 daftar pantauan.

  1. Klik Buat daftar pantauan.
  2. Tentukan Nama daftar tontonan.
  3. (Opsional) Tentukan Deskripsi.
  4. (Opsional) Tentukan Faktor pengali antara 0-100. Defaultnya adalah 1.
  5. (Opsional) Tentukan entitas di sisi kanan jendela dengan mengikuti bagian Tambahkan entitas ke daftar pantauan. Anda dapat menambahkan jenis entity berikut di sini:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Klik Buat daftar pantauan.

Menyematkan daftar pantauan

  1. Klik Edit tampilan.
  2. Klik kotak centang di samping daftar pantauan yang ingin Anda sematkan.
  3. Klik Simpan.

Melepas pin daftar tontonan

  1. Dari dasbor Daftar Pantauan, pilih daftar pantauan yang ingin Anda lepaskan dan pilih more_vert .
  2. Klik Hapus dari tampilan.

Mengedit daftar pantauan

  1. Dari dasbor Daftar pantauan, pilih daftar pantauan yang ingin Anda edit, lalu klik ikon more_vert .
  2. Klik Edit daftar pantauan.

Menghapus daftar pantauan

  1. Dari dasbor Daftar pantauan, pilih daftar pantauan yang ingin Anda hapus lalu klik more_vert .
  2. Klik Hapus daftar tontonan.

Menambahkan entitas ke daftar pantauan

Untuk menambahkan entitas ke daftar pantauan, Anda menentukan nama, jenis, dan (opsional) baris namespace entitas satu per satu menggunakan salah satu format berikut.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE dapat berupa salah satu dari berikut ini:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE hanya dapat ditentukan untuk jenis entitas aset:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Contoh:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Contoh ini menampilkan dua entitas yang ditambahkan ke daftar pantauan, yaitu alamat IP aset 205.148.5.0 dan nama host website.com dalam namespace chronicle. Anda dapat memiliki hingga 10.000 entitas dalam daftar pantauan.

Menghapus entitas dari daftar pantauan

Untuk menghapus entitas dari daftar pantauan, hapus garis yang merepresentasikan entitas yang ingin Anda hapus, lalu klik Simpan.

Mengubah setelan skor risiko

Halaman Skor Risiko Entity memungkinkan Anda menentukan cara penghitungan skor risiko untuk entity, pemberitahuan, dan deteksi. Halaman ini memungkinkan Anda menyesuaikan cara penghitungan risiko berdasarkan kebutuhan unik penelusuran Anda.

Ada tiga kolom di halaman Skor Risiko Entity yang dapat Anda perbarui:

Untuk mengubah salah satu setelan ini, ikuti langkah-langkah berikut:

  1. Dari menu navigasi, pilih Setelan > Skor Risiko Entitas.
  2. Perbarui skor risiko dengan tepat.
  3. Klik Simpan. Saat kembali ke halaman Analisis Risiko utama, Anda akan melihat pesan di bagian atas layar yang mengonfirmasi bahwa perubahan telah dilakukan pada Skor Risiko Entitas.
  4. (Opsional) Untuk menyetel ulang salah satu nilai ini, klik Reset di sebelah kanan nilai.

Perubahan hanya akan diterapkan untuk pemberitahuan dan deteksi baru. Mungkin diperlukan waktu hingga 30 menit agar perubahan diterapkan.

Pembobotan skor risiko entity

Pembobotan menentukan bagaimana skor risiko pemberitahuan dan deteksi berkontribusi pada penghitungan skor risiko entity. Bobot adalah nilai dari 0-1 dan defaultnya adalah 0,2.

Berikut beberapa contoh pengaruh angka yang berbeda terhadap penghitungan skor risiko entitas:

  • Pembobotan skor risiko entitas 0. Skor risiko mentah adalah skor risiko deteksi maksimum di antara semua deteksi untuk entity.
  • Pembobotan skor risiko entitas 1. Skor risiko mentah adalah jumlah semua skor risiko deteksi untuk entity.
  • Pembobotan skor risiko entitas 0.5. Skor risiko memberikan bobot penuh pada deteksi dengan skor risiko maksimum untuk entitas dan setengah bobot untuk semua deteksi lainnya.

Skor risiko default untuk deteksi

Skor risiko default untuk deteksi memungkinkan Anda menetapkan nilai default untuk skor risiko deteksi. Skor risiko deteksi digunakan untuk menghitung skor risiko entity. Skor risiko untuk deteksi ditetapkan saat aturan ditulis. Jika tidak ada skor risiko yang ditentukan dalam aturan, nilai default akan digunakan. Skor default adalah 15 dan rentang skor risiko adalah 0-100.

Skor risiko default untuk pemberitahuan

Serupa dengan Skor risiko default untuk deteksi, kolom ini memungkinkan Anda menetapkan nilai default untuk skor risiko pemberitahuan. Jika tidak ada skor risiko yang ditetapkan dalam aturan, nilai default 40 akan digunakan. Rentang skor risiko adalah 0-1000.

Untuk mengetahui informasi tentang cara menentukan skor risiko dalam aturan, lihat Sintaksis bagian hasil.

Koefisien Pemberitahuan Tertutup

Koefisien pemberitahuan tertutup mengubah skor risiko pemberitahuan yang ditandai sebagai tertutup oleh analis. Ini adalah pengubah floating point antara dan sama dengan 0 dan 1. Defaultnya adalah 1.0, yang berarti semua pemberitahuan terbuka dan tertutup mempertahankan skor aslinya. Jika koefisien peringatan tertutup memiliki nilai 0,0, semua peringatan tertutup akan menerima skor risiko 0 dan tidak akan lagi meningkatkan skor risiko entitas secara keseluruhan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.