Dashboard di Risk Analytics

Supportato in:

La dashboard Risk Analytics ti consente di visualizzare il tuo ambiente in base ai rischi. La visualizzazione delle tendenze di rischio delle entità ti aiuta a identificare comportamenti insoliti e a comprendere il potenziale rischio che le entità rappresentano per la tua azienda.

La dashboard Risk Analytics elenca le entità a rischio e i dettagli dei fattori di rischio. Nei sistemi che utilizzano l'accesso in base al ruolo RBAC per i dati, solo gli utenti con ambito globale possono accedere all'analisi dei rischi. Per ulteriori informazioni, consulta l'impatto del RBAC dei dati su Dati e analisi dei rischi.

Per accedere alla dashboard Risk Analytics:

  1. Nella barra di navigazione, fai clic su Rilevamento.
  2. In Rilevamento, fai clic su Risk Analytics.

Conteggio entità, punteggio di rischio e tabella delle entità

La dashboard Risk Analytics mostra, in base ai filtri scelti, solo le 10.000 entità con il rischio più elevato nell'azienda. Tutti i grafici e le tabelle della dashboard rappresentano solo questo insieme di entità.

Il grafico Conteggio totale delle entità in alto a sinistra mostra il numero di entità monitorate nella tua azienda con un rischio maggiore di 0. Le entità con un voto di rischio pari a 0 vengono comunque monitorate, ma non saranno rappresentate in questo grafico. Il conteggio totale è suddiviso tra Asset e Utenti.

Per saperne di più sulle entità, consulta Oggetti logici: Event ed Entity. Per ulteriori informazioni su come vengono calcolati i punteggi di rischio, consulta la sezione Calcolo del punteggio di rischio.

Nella tabella Entità sono presenti più colonne relative al punteggio di rischio dell'entità:

Colonna Valore
Nome entità Nome dell'entità.
Tipo di entità Tipo di entità (risorsa o utente).
Normalizzato I punteggi normalizzati vengono calcolati tra le entità e scalati tra 0 e 1000 utilizzando la normalizzazione min-max.
Variazione punteggio normalizzato Variazione del punteggio di rischio dell'entità normalizzato rispetto alla finestra di calcolo del rischio precedente.
Tendenza punteggio normalizzato Aumento o diminuzione della variazione percentuale del punteggio di rischio normalizzato rispetto alla finestra di rischio precedente.
Livelli Il punteggio di rischio di base dell'entità è uguale al punteggio di rischio massimo per i risultati più la ponderazione moltiplicata per la somma dei punteggi di rischio dei risultati rimanenti.

Il valore predefinito della ponderazione è 0,2 e può essere modificato in Impostazioni.
Variazione punteggio di base Variazione del punteggio di rischio dell'entità di base rispetto alla finestra di calcolo del rischio precedente.
Tendenza punteggio di base Aumento o diminuzione della variazione percentuale del punteggio di rischio di base rispetto alla finestra di rischio precedente.
Conteggio risultati Il numero di risultati (avvisi e rilevamenti) che includono questa entità durante la finestra di calcolo del rischio.
Pima apparizione nella finestra Timestamp in cui l'entità è stata rilevata per la prima volta in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.
Ultima apparizione nella finestra Timestamp dell'ultima volta che l'entità è stata vista in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.

Modificare la finestra di calcolo del rischio

Il rischio calcolato rappresentato da un'entità cambia a seconda del periodo di tempo esaminato. La modifica dell'impostazione Finestra di calcolo del rischio in alto a destra (seleziona Finestra di 24 ore o Finestra di 7 giorni) modifica il punteggio di rischio calcolato visualizzato qui. Ti consigliamo di modificare questa impostazione in base al tipo di attacco che stai cercando. Ad esempio, gli attacchi di forza bruta sono più evidenti impostando la Finestra di calcolo del rischio su 24 ore. I periodi di tempo più lunghi ti consentono di rilevare gli attacchi a lungo termine.

I punteggi di rischio dell'entità cambiano a seconda della finestra di calcolo del rischio selezionata. I punteggi di rischio dell'entità vengono calcolati in base ai risultati generati durante la finestra di rischio.

Restringere la ricerca con i filtri rapidi

I filtri rapidi ti consentono di restringere la ricerca mostrando solo i risultati pertinenti alle tue esigenze specifiche.

Per utilizzare i filtri rapidi nella dashboard Risk Analytics:

  1. Fai clic su filter_alt sopra la tabella Entità. Viene visualizzata la finestra Filtri.
  2. Seleziona una delle colonne:
    • Numero di risultati
    • Punteggio di rischio dell'entità normalizzato
    • Tendenza di rischio normalizzata dell'entità
    • Tipo
  3. Seleziona Mostra solo o Escludi.
  4. Seleziona un valore (puoi selezionare più di un valore per espandere l'intervallo):
    • Numero di risultati: valori da 0 a più di 1000.
    • Punteggio di rischio dell'entità normalizzato: valori da 0 a 1000.
    • Tendenza di rischio normalizzata dell'entità: percentuali da meno del -99% a più del 199%.
    • Tipo: seleziona Risorse o Utenti.
  5. (Facoltativo) Per aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti la procedura dal passaggio 2.
  6. Dopo aver configurato i filtri, fai clic su Applica.

Ad esempio, se selezioni la Tendenza di rischio normalizzata dell'entità, seleziona Mostra solo e seleziona >199%, vengono visualizzate solo le entità con una variazione del rischio normalizzato dell'entità superiore al 199%.

Esaminare un'entità utilizzando la pagina dell'entità

Per esaminare un'entità:

  1. Scorri la colonna Nome entità o utilizza la barra di ricerca per trovare un'entità.
  2. Fai clic sull'entità che vuoi esaminare.

Viene visualizzata la pagina dell'entità. Questa pagina ti consente di esaminare solo i risultati associati a quell'entità. Il grafico Cronologia dei risultati in alto monitora i punteggi di rischio delle entità e i risultati nel tempo. Questo grafico è costituito da metriche precalcolate visualizzate in un formato grafico a linee per mostrare le tendenze nel tempo. Le anomalie possono essere visualizzate come picchi sul grafico a linee. Sotto il grafico è presente la tabella Risultati, che mostra a quali eventi e attività è stata associata l'entità selezionata.

In basso a destra è presente un riquadro comprimibile Visualizza i dettagli dell'entità che contiene un riepilogo dei dettagli importanti dell'entità selezionata. Per completare un esame dettagliato dell'entità selezionata, fai clic su Visualizza dettagli entità per visualizzarla nella visualizzazione Asset o Utente, a seconda che si tratti rispettivamente di un asset o di un utente. Per ulteriori informazioni, vedi Esaminare un'entità della risorsa o Esaminare un utente.

Esaminare un'entità utilizzando l'analisi delle entità

L'analisi delle entità fornisce agli analisti SOC e ai cacciatori di minacce una visualizzazione dettagliata del comportamento di un'entità, inclusi il profilo di riferimento, le anomalie e gli arricchimenti contestuali dell'entità.

Nella pagina dell'entità, seleziona un intervallo di tempo massimo di 90 giorni nella Cronologia risultati e fai clic su Visualizza analisi per la selezione. Si apre una barra laterale che mostra i dati e le analisi associati a questa entità nell'intervallo di tempo selezionato. Ogni analisi mostra un insieme di tutti i valori dell'analisi all'interno dell'intervallo di tempo. Quando viene rilevata, un'analisi include un elenco di avvisi e rilevamenti correlati che possono essere esaminati ulteriormente facendo clic su Visualizza altro per aprire la visualizzazione Avvisi o Rilevamento corrispondente. Per ulteriori informazioni, consulta Esaminare un avviso.

Vengono forniti i seguenti dati e analisi delle entità:

  • Conteggio nomi eventi di avviso
  • Tentativi di autenticazione riusciti
  • I tentativi di autenticazione non vanno a buon fine
  • Totale tentativi di autenticazione
  • Byte DNS in uscita
  • Query DNS non riuscite
  • Query DNS riuscite
  • Totale query DNS
  • Esecuzioni file riuscite
  • Esecuzioni file non riuscite
  • Totale esecuzioni file
  • Richieste HTTP andate a buon fine
  • Richieste HTTP non riuscite
  • Totale query HTTP
  • Byte di rete in entrata
  • Byte di rete in uscita
  • Totale byte di rete
  • Totale tentativi di autenticazione Workspace
  • Totale email di Workspace inviate
  • Byte di rete in uscita di Workspace
  • Totale byte di rete di Workspace
  • Azioni di modifica totale dello spazio di lavoro
  • Azioni di download totali di Workspace

Modificare un punteggio di rischio dell'entità

Quando informazioni o eventi esterni influiscono sul rischio reale di un'entità, puoi aggiornare il relativo punteggio di rischio.

Ad esempio, puoi diminuire temporaneamente il punteggio di rischio di un dipendente che ha appena completato un'esercitazione del team di red team (ad esempio un test di penetrazione) in modo che gli analisti non debbano perdere tempo a indagare sul motivo per cui il rischio è aumentato per quel dipendente. Puoi anche aumentare temporaneamente il punteggio di rischio di un dipendente coinvolto in una causa.

  1. Nella tabella Entità della pagina Analisi dei rischi, tieni premuto il cursore sulla colonna all'estrema destra della riga. Potresti dover scorrere il display verso destra. Fai clic su more_vert.

    e seleziona Aggiorna punteggio di rischio dell'entità.

  2. Nella finestra di dialogo Aggiorna punteggio di rischio dell'entità, configura i valori per quanto segue:

    • Fattore di moltiplicazione: consente di aumentare o diminuire il punteggio di rischio di un'entità con un fattore di moltiplicazione compreso tra 0,0 e 100,0. Ad esempio, se hai scoperto nuove prove su un'entità che la rendono due volte più rischiosa, aggiorna il fattore di moltiplicazione su 50 per riflettere il vero fattore di rischio dell'entità.
    • Periodo di tempo: periodo di tempo in cui viene applicato il coefficiente di moltiplicazione. Puoi selezionare Ora o un periodo compreso tra 1 giorno e 14 giorni. Se selezioni Adesso, il fattore di moltiplicazione viene applicato al punteggio di rischio dell'entità per la finestra di calcolo del rischio attuale. Nel calcolo vengono inclusi solo gli avvisi e i rilevamenti esistenti. Al termine del periodo di tempo selezionato, gli aggiornamenti al punteggio di rischio dell'entità vengono interrotti e il punteggio di rischio torna alla normalità.
    • Motivo: ti consente di fornire agli altri utenti un contesto aggiuntivo sul motivo per cui è stato apportato questo aggiornamento. Scegli tra le seguenti opzioni: Nuove evidenze, Punteggio di rischio errato, Profilo di rischio modificato, Requisiti di conformità o Altro.

Se provi a apportare una modifica che è già stata apportata (ad esempio, vuoi aggiornare il fattore di moltiplicazione di un'entità al 25%, ma un altro membro del team ha già apportato questa modifica), viene visualizzata una finestra di dialogo che indica che la modifica è stata già apportata, incluse informazioni su chi ha apportato la modifica e quando.

Visualizzare gli aggiornamenti del punteggio di rischio nei dettagli dell'entità

Puoi visualizzare tutti gli aggiornamenti del punteggio di rischio di un'entità nella pagina Profilo dell'entità.

  1. Fai clic sull'entità di cui vuoi visualizzare la cronologia degli aggiornamenti del punteggio di rischio per aprire la pagina Profilo dell'entità.
  2. Nel grafico della sequenza temporale degli eventi, ogni volta che qualcuno ha modificato il voto di rischio dell'entità viene visualizzata l'etichetta Modifica del punteggio di rischio in testo bianco.
  3. Tieni il cursore sopra il testo per visualizzare una finestra di dialogo con la data, l'utente e il motivo della modifica.

Liste di titoli

La pagina Elenchi di titoli ti consente di monitorare entità specifiche dell'intera tua azienda.

  1. Nella barra di navigazione a sinistra, fai clic su Rilevamento.
  2. In Rilevamento, fai clic su Analisi dei rischi.
  3. Fai clic sulla scheda Elenchi di titoli.

Aggiungere una lista di titoli

Per aggiungere una lista di controllo al tuo account Google Security Operations, completa i seguenti passaggi. Puoi configurare fino a 200 liste di titoli.

  1. Fai clic su Crea una lista di titoli.
  2. Specifica un nome per la lista di titoli.
  3. (Facoltativo) Specifica una Descrizione.
  4. (Facoltativo) Specifica un Fattore di moltiplicazione compreso tra 0 e 100. Il valore predefinito è 1.
  5. (Facoltativo) Specifica le entità sul lato destro della finestra seguendo la sezione Aggiungere entità a una lista di controllo. Qui puoi aggiungere i seguenti tipi di entità:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Fai clic su Crea una lista di titoli.

Mettere in primo piano una lista di titoli

  1. Fai clic su Modifica visualizzazione.
  2. Fai clic sulla casella di controllo accanto alla lista di titoli che vuoi fissare.
  3. Fai clic su Salva.

Sbloccare una lista di titoli

  1. Nella dashboard Elenchi di titoli, seleziona l'elenco di titoli che vuoi staccare e seleziona more_vert .
  2. Fai clic su Rimuovi dalla visualizzazione.

Modificare una lista di titoli

  1. Nella dashboard Elenchi di titoli, seleziona l'elenco di titoli che vuoi modificare e fai clic sull'icona more_vert .
  2. Fai clic su Modifica elenco di titoli.

Eliminare una lista di titoli

  1. Nella dashboard Elenchi di titoli, seleziona l'elenco di titoli che vuoi eliminare e fai clic su more_vert .
  2. Fai clic su Elimina elenco di titoli.

Aggiungere entità a una lista di titoli

Per aggiungere entità a una lista di controllo, specifica il nome, il tipo e lo spazio dei nomi (facoltativo) delle entità riga per riga utilizzando uno dei seguenti formati.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE può essere uno dei seguenti:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE può essere specificato solo per i tipi di entità asset:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Ad esempio:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Questo esempio mostra due entità aggiunte alla lista di controllo: un indirizzo IP dell'asset205.148.5.0 e un nome host website.com nello spazio dei nomi chronicle. Puoi avere fino a 10.000 entità in una lista di titoli.

Rimuovere entità da una lista di titoli

Per rimuovere entità da una lista di titoli, rimuovi le linee che rappresentano le entità che vuoi rimuovere e fai clic su Salva.

Modificare le impostazioni del punteggio di rischio

La pagina Punteggio di rischio dell'entità ti consente di definire la modalità di calcolo dei punteggi di rischio per entità, avvisi e rilevamenti. Questa pagina ti consente di personalizzare il calcolo del rischio in base alle esigenze specifiche della tua ricerca.

Nella pagina Punteggio di rischio dell'entità puoi aggiornare tre campi:

Per modificare una di queste impostazioni, segui questi passaggi:

  1. Nella barra di navigazione, seleziona Impostazioni > Punteggi di rischio delle entità.
  2. Aggiorna i punteggi di rischio di conseguenza.
  3. Fai clic su Salva. Quando torni alla pagina principale Analisi dei rischi, nella parte superiore dello schermo viene visualizzato un messaggio che conferma che è stata apportata una modifica al Punteggio di rischio dell'entità.
  4. (Facoltativo) Per reimpostare uno di questi valori, fai clic su Reimposta a destra del valore.

Gli aggiornamenti verranno applicati solo ai nuovi avvisi e rilevamenti. L'applicazione delle modifiche potrebbe richiedere fino a 30 minuti.

Ponderazione del punteggio di rischio dell'entità

La ponderazione definisce il modo in cui i punteggi di rischio di avvisi e rilevamenti contribuiscono ai calcoli del punteggio di rischio dell'entità. Il peso è un valore compreso tra 0 e 1 e il valore predefinito è 0,2.

Ecco alcuni esempi di come numeri diversi influiscono sul calcolo del punteggio di rischio dell'entità:

  • Ponderazione del punteggio di rischio dell'entità 0. Il punteggio di rischio non elaborato è il punteggio di rischio di rilevamento massimo tra tutti i rilevamenti per l'entità.
  • Ponderazione del punteggio di rischio dell'entità 1. Il punteggio di rischio non elaborato è la somma di tutti i punteggi di rischio di rilevamento per l'entità.
  • Ponderazione del punteggio di rischio dell'entità 0.5. Il punteggio di rischio attribuisce la massima importanza al rilevamento con il punteggio di rischio massimo per l'entità e metà del peso per tutti gli altri rilevamenti.

Punteggio di rischio predefinito per i rilevamenti

Il punteggio di rischio predefinito per i rilevamenti ti consente di assegnare un valore predefinito per i punteggi di rischio dei rilevamenti. I punteggi di rischio dei rilevamenti vengono utilizzati per calcolare i punteggi di rischio delle entità. I punteggi di rischio per i rilevamenti vengono definiti quando viene scritta una regola. Se nella regola non è definito alcun voto di rischio, viene utilizzato il valore predefinito. Il punteggio predefinito è 15 e l'intervallo del punteggio di rischio è 0-100.

Punteggio di rischio predefinito per gli avvisi

Come per il Punteggio di rischio predefinito per i rilevamenti, questo campo ti consente di assegnare un valore predefinito per i punteggi di rischio degli avvisi. Se nella regola non è definito alcun punteggio di rischio, viene utilizzato il valore predefinito 40. L'intervallo del punteggio di rischio è 0-1000.

Per informazioni sulla definizione del punteggio di rischio in una regola, consulta la Sintassi della sezione Risultato.

Coefficiente di avviso chiuso

Il coefficiente di avviso chiuso modifica il punteggio di rischio degli avvisi contrassegnati come chiusi dagli analisti. È un modificatore a virgola mobile compreso tra 0 e 1 inclusi. Il valore predefinito è 1,0, il che significa che tutti gli avvisi aperti e chiusi mantengono i relativi punteggi originali. Se il coefficiente di avviso chiuso ha un valore pari a 0, tutti gli avvisi chiusi ricevono un punteggio di rischio pari a 0 e non aumentano più il punteggio di rischio dell'entità complessiva.