Dashboard di analisi dei rischi

Supportato in:

La dashboard Analisi dei rischi ti consente di visualizzare il tuo ambiente in base ai rischi. La visualizzazione delle tendenze di rischio delle entità ti aiuta a identificare comportamenti insoliti e a comprendere il potenziale rischio che le entità rappresentano per la tua azienda.

La dashboard Analisi dei rischi elenca le entità a rischio e i dettagli dei fattori di rischio. Nei sistemi che utilizzano il controllo degli accessi basato sui ruoli (RBAC) dei dati, solo gli utenti con ambito globale possono accedere all'analisi del rischio. Per saperne di più, consulta Impatto di RBAC sui dati su Analisi del rischio.

Per accedere alla dashboard Analisi dei rischi:

  1. Nella barra di navigazione, fai clic su Rilevamento.
  2. In Rilevamento, fai clic su Analisi del rischio.

Conteggio entità, punteggio di rischio e tabella delle entità

La dashboard Analisi del rischio mostra, in base ai filtri scelti, solo le prime 10.000 entità con il rischio più elevato nell'impresa. Tutti i grafici e le tabelle nella dashboard rappresentano solo questo insieme di entità.

Il grafico Conteggio totale entità in alto a sinistra mostra il numero di entità monitorate nella tua azienda con un rischio superiore a 0. Le entità con un punteggio di rischio pari a 0 vengono comunque monitorate, ma non saranno rappresentate in questo grafico. Il conteggio totale è suddiviso tra Asset e Utenti.

Per saperne di più sulle entità, consulta Oggetti logici: evento ed entità. Per ulteriori informazioni su come vengono calcolati i punteggi di rischio, consulta Calcolo del punteggio di rischio.

Nella tabella Entità, sono presenti più colonne relative al punteggio di rischio dell'entità:

Colonna Valore
Nome entità Nome dell'entità.
Tipo di entità Tipo di entità (asset o utente).
Normalizzato I punteggi normalizzati vengono calcolati tra le entità e scalati tra 0 e 1000 utilizzando la normalizzazione min-max.
Variazione punteggio normalizzato Variazione del punteggio di rischio dell'entità normalizzato rispetto alla finestra di calcolo del rischio precedente.
Tendenza punteggio normalizzato Aumento o diminuzione della variazione percentuale del punteggio di rischio normalizzato rispetto alla finestra di rischio precedente.
Livelli Il punteggio di rischio di base dell'entità è uguale al punteggio di rischio per il massimo dei risultati più la ponderazione moltiplicata per la somma dei punteggi di rischio dei risultati rimanenti.

La ponderazione predefinita è 0,2 e può essere modificata in Impostazioni.
Variazione punteggio di base Variazione del punteggio di rischio dell'entità di base rispetto alla finestra di calcolo del rischio precedente.
Tendenza punteggio di base Aumento o diminuzione della variazione percentuale del punteggio di rischio di base rispetto alla finestra di rischio precedente.
Conteggio risultati Il numero di risultati (avvisi e rilevamenti) che includono questa entità durante la finestra di calcolo del rischio.
Pima apparizione nella finestra Timestamp in cui l'entità è stata rilevata per la prima volta in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.
Ultima apparizione nella finestra Timestamp dell'ultima volta che l'entità è stata vista in un risultato (avviso o rilevamento) durante la finestra di calcolo del rischio.

Modificare la finestra di calcolo del rischio

Il rischio calcolato posto da un'entità cambia a seconda del periodo di tempo in esame. Se modifichi l'impostazione Finestra di calcolo del rischio in alto a destra (seleziona Finestra di 24 ore o Finestra di 7 giorni), il punteggio di rischio calcolato visualizzato qui cambia. Potresti voler modificare questa impostazione a seconda del tipo di attacco che stai cercando. Ad esempio, gli attacchi di forza bruta sono più evidenti se imposti la finestra di calcolo del rischio su 24 ore. Periodi di tempo più lunghi ti consentono di individuare attacchi a lungo termine. I punteggi di rischio dell'entità cambiano a seconda della finestra di calcolo del rischio selezionata.

I punteggi di rischio dell'entità vengono ricalcolati più volte al giorno per le finestre temporali di 24 ore e 7 giorni, in base ai risultati generati nei rispettivi periodi di analisi retrospettiva. La dashboard del rischio fornisce i punteggi di rischio calcolati più di recente. Puoi anche visualizzare i punteggi di rischio storici selezionando una data e un'ora specifiche nel selettore di date accanto all'impostazione "Finestra di calcolo del rischio". Verranno visualizzati i rischi dell'entità calcolati per il periodo di 24 ore o 7 giorni che termina alla data e all'ora scelte.

Restringere la ricerca con i filtri rapidi

I filtri rapidi ti consentono di restringere la ricerca mostrando solo i risultati pertinenti alle tue esigenze specifiche.

Per utilizzare i filtri rapidi nella dashboard Risk Analytics:

  1. Fai clic su filter_alt sopra la tabella Entità. Viene visualizzata la finestra Filtri.
  2. Seleziona una delle colonne:
    • Numero di risultati
    • Punteggio di rischio normalizzato dell'entità
    • Tendenza di rischio normalizzata dell'entità
    • Tipo
  3. Seleziona Mostra solo o Filtra.
  4. Seleziona un valore (puoi selezionarne più di uno per espandere l'intervallo):
    • Numero di risultati: valori da 0 a più di 1000.
    • Punteggio di rischio normalizzato dell'entità: valori da 0 a 1000.
    • Tendenza di rischio normalizzata dell'entità: percentuali inferiori a -99% e superiori a 199%.
    • Tipo: seleziona Asset o Utenti.
  5. (Facoltativo) Per aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questa procedura dal passaggio 2.
  6. Dopo aver configurato i filtri, fai clic su Applica.

Ad esempio, se selezioni Tendenza di rischio normalizzata dell'entità, seleziona Mostra solo e seleziona >199%, vengono visualizzate solo le entità con una variazione del rischio normalizzato dell'entità superiore al 199%.

Esaminare un'entità utilizzando la pagina dell'entità

Per esaminare un'entità:

  1. Scorri la colonna Nome entità o utilizza la barra di ricerca per trovare un'entità.
  2. Fai clic sull'entità che vuoi esaminare.

Viene visualizzata la pagina dell'entità. Questa pagina ti consente di esaminare solo i risultati associati a una singola entità. Il grafico Cronologia dei risultati nella parte superiore monitora i punteggi di rischio e i risultati delle entità nel tempo. Questo grafico è composto da metriche precalcolate visualizzate in formato di grafico a linee per mostrare le tendenze nel tempo. Le anomalie possono essere visualizzate come picchi nel grafico a linee. Sotto il grafico si trova la tabella Risultati, che mostra gli eventi e le attività a cui è stata associata l'entità selezionata.

In basso a destra è presente un riquadro comprimibile Visualizza dettagli entità che contiene un riepilogo dei dettagli importanti sull'entità selezionata. Per completare un esame dettagliato dell'entità selezionata, fai clic su Visualizza dettagli entità per visualizzare l'entità nella visualizzazione Asset o Utente a seconda che l'entità sia un asset o un utente. Per ulteriori informazioni, vedi Esaminare un'entità risorsa o Esaminare un utente.

Esaminare un'entità utilizzando l'analisi delle entità

L'analisi delle entità fornisce agli analisti SOC e ai cacciatori di minacce una visione dettagliata del comportamento di un'entità, inclusi il profilo di base, le anomalie e gli arricchimenti contestuali.

Nella pagina dell'entità, seleziona un intervallo di tempo massimo di 90 giorni nella cronologia dei risultati e fai clic su Visualizza dati e analisi per la selezione. Si apre una barra laterale che mostra le analisi associate a questa entità nell'intervallo di tempo selezionato. Ogni analisi mostra un aggregato di tutti i valori nell'intervallo di tempo. Quando viene rilevata, un'analisi include un elenco di avvisi e rilevamenti correlati che possono essere esaminati ulteriormente facendo clic su Visualizza altro per aprire la visualizzazione corrispondente di Avvisi o Rilevamento. Per ulteriori informazioni, vedi Esaminare un avviso.

Vengono fornite le seguenti analisi delle entità:

  • Conteggio nome evento avviso
  • Tentativi di autenticazione riusciti
  • Tentativi di autenticazione non riusciti
  • Tentativi di autenticazione totali
  • Byte in uscita DNS
  • Query DNS non riuscite
  • Query DNS riuscite
  • Query DNS totali
  • Esecuzioni dei file riuscite
  • Esecuzioni dei file non riuscite
  • Totale esecuzioni file
  • Query HTTP riuscite
  • Query HTTP non riuscite
  • Totale query HTTP
  • Byte di rete in entrata
  • Byte di rete in uscita
  • Byte di rete totali
  • Tentativi di autenticazione di Workspace totali
  • Totale email di Workspace inviate
  • Byte di rete in uscita del workspace
  • Totale byte di rete di Workspace
  • Azioni di modifica totali dello spazio di lavoro
  • Azioni di download totali di Workspace

Modificare un punteggio di rischio dell'entità

Quando informazioni o eventi esterni influiscono sul rischio effettivo di un'entità, puoi aggiornare il punteggio di rischio dell'entità.

Ad esempio, puoi diminuire temporaneamente il punteggio di rischio di un dipendente che ha appena terminato un esercizio di red team (come il penetration test) in modo che gli analisti non debbano perdere tempo a indagare sul motivo per cui il rischio del dipendente è aumentato. Potresti anche aumentare temporaneamente il punteggio di rischio di un dipendente coinvolto in una causa giudiziaria.

  1. Nella tabella Entità della pagina Analisi dei rischi, tieni il puntatore sopra la colonna all'estrema destra della riga. Potrebbe essere necessario scorrere verso destra sul display. Fai clic su more_vert.

    e seleziona Aggiorna punteggio di rischio dell'entità.

  2. Nella finestra di dialogo Aggiorna punteggio di rischio dell'entità, configura i valori per quanto segue:

    • Fattore di moltiplicazione: consente di aumentare o diminuire il punteggio di rischio di un'entità con un fattore di moltiplicazione compreso tra 0 e 100. Ad esempio, se hai scoperto nuove prove su un'entità che la rendono due volte più rischiosa, aggiorna il fattore di moltiplicazione a 50 per riflettere il vero fattore di rischio dell'entità.
    • Periodo di tempo: il periodo di tempo in cui viene applicato il fattore di moltiplicazione. Puoi selezionare Ora o un periodo compreso tra 1 giorno e 14 giorni. Se selezioni Adesso, il fattore di moltiplicazione viene applicato al punteggio di rischio dell'entità per la finestra di calcolo del rischio attuale. Nel calcolo vengono inclusi solo gli avvisi e i rilevamenti esistenti. Al termine del periodo di tempo selezionato, gli aggiornamenti al punteggio di rischio dell'entità vengono interrotti e il punteggio di rischio torna alla normalità.
    • Motivo: consente di fornire agli altri utenti un contesto aggiuntivo sul motivo per cui è stato eseguito questo aggiornamento. Scegli una delle seguenti opzioni: Nuove prove, Punteggio di rischio errato, Profilo di rischio modificato, Requisiti di conformità o Altro.

Se tenti di apportare una modifica già eseguita (ad esempio, vuoi aggiornare il fattore di moltiplicazione di un'entità al 25%, ma un altro membro del team ha già apportato la modifica), viene visualizzata una finestra di dialogo che indica che la modifica è già stata apportata, incluse informazioni su chi ha apportato la modifica e quando.

Visualizzare gli aggiornamenti del punteggio di rischio nei dettagli dell'entità

Puoi visualizzare tutti gli aggiornamenti del punteggio di rischio per un'entità nella pagina Profilo dell'entità.

  1. Fai clic sull'entità di cui vuoi visualizzare la cronologia degli aggiornamenti del punteggio di rischio per aprire la pagina Profilo entità.
  2. Nel grafico della sequenza temporale degli eventi, ogni volta che qualcuno ha modificato il punteggio di rischio dell'entità è indicato dall'etichetta Modifica punteggio di rischio in testo bianco.
  3. Tieni il puntatore sopra il testo per visualizzare una finestra di dialogo con la data, l'utente e il motivo della modifica.

Liste di titoli

La pagina Elenchi di controllo ti consente di monitorare entità specifiche della tua organizzazione.

  1. Nella barra di navigazione a sinistra, fai clic su Rilevamento.
  2. In Rilevamento, fai clic su Analisi del rischio.
  3. Fai clic sulla scheda Liste di visualizzazione.

Aggiungere una lista di titoli

Per aggiungere un elenco osservati al tuo account Google Security Operations, completa i seguenti passaggi. Puoi configurare fino a 200 watchlist.

  1. Fai clic su Crea lista di controllo.
  2. Specifica un Nome lista di titoli.
  3. (Facoltativo) Specifica una Descrizione.
  4. (Facoltativo) Specifica un fattore di moltiplicazione compreso tra 0 e 100. Il valore predefinito è 1.
  5. (Facoltativo) Specifica le entità sul lato destro della finestra seguendo la sezione Aggiungere entità a una watchlist. Qui puoi aggiungere i seguenti tipi di entità:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Fai clic su Crea lista di controllo.

Bloccare una lista di titoli

  1. Fai clic su Modifica visualizzazione.
  2. Fai clic sulla casella di controllo accanto alla lista personale da bloccare.
  3. Fai clic su Salva.

Rimuovere una lista di titoli dall'alto

  1. Nella dashboard Elenchi di titoli, seleziona l'elenco di titoli che vuoi rimuovere e seleziona more_vert .
  2. Fai clic su Rimuovi dalla visualizzazione.

Modificare una lista di titoli

  1. Nella dashboard Liste di controllo, seleziona la lista di controllo che vuoi modificare e fai clic sull'icona more_vert .
  2. Fai clic su Modifica lista di controllo.

Eliminare una lista di titoli

  1. Nella dashboard Elenchi di titoli, seleziona l'elenco di titoli che vuoi eliminare e fai clic su more_vert .
  2. Fai clic su Elimina watchlist.

Aggiungere entità a una lista di titoli

Per aggiungere entità a un elenco di controllo, specifica il nome, il tipo e (facoltativo) lo spazio dei nomi dell'entità riga per riga utilizzando uno dei seguenti formati.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE può essere uno dei seguenti:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE può essere specificato solo per i tipi di entità asset:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Ad esempio:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Questo esempio rappresenta due entità aggiunte alla watchlist, un indirizzo IP asset 205.148.5.0 e un nome host website.com nello spazio dei nomi chronicle. Puoi avere fino a 10.000 entità in una lista di titoli.

Rimuovere entità da una lista di controllo

Per rimuovere entità da un elenco di titoli, rimuovi le righe che rappresentano le entità che vuoi rimuovere e fai clic su Salva.

Modificare le impostazioni del punteggio di rischio

La pagina Punteggio di rischio dell'entità ti consente di definire la modalità di calcolo dei punteggi di rischio per entità, avvisi e rilevamenti. Questa pagina ti consente di personalizzare il modo in cui viene calcolato il rischio in base alle esigenze specifiche della tua ricerca.

Nella pagina Punteggio di rischio dell'entità sono presenti tre campi che puoi aggiornare:

Per modificare una di queste impostazioni, segui questi passaggi:

  1. Nella barra di navigazione, seleziona Impostazioni > Punteggi di rischio entità.
  2. Aggiorna i punteggi di rischio di conseguenza.
  3. Fai clic su Salva. Quando torni alla pagina principale di Analisi del rischio, nella parte superiore dello schermo viene visualizzato un messaggio che conferma che è stata apportata una modifica al punteggio di rischio dell'entità.
  4. (Facoltativo) Per reimpostare uno di questi valori, fai clic su Reimposta a destra del valore.

Gli aggiornamenti verranno applicati solo ai nuovi avvisi e rilevamenti. Potrebbero essere necessari fino a 30 minuti prima che le modifiche abbiano effetto.

Ponderazione del punteggio di rischio dell'entità

La ponderazione definisce il modo in cui i punteggi di rischio di avvisi e rilevamenti contribuiscono ai calcoli del punteggio di rischio dell'entità. La ponderazione è un valore compreso tra 0 e 1 e il valore predefinito è 0,2.

Ecco alcuni esempi di come numeri diversi influiscono sul calcolo del punteggio di rischio dell'entità:

  • Ponderazione del punteggio di rischio dell'entità 0. Il punteggio di rischio non elaborato è il punteggio di rischio di rilevamento massimo tra tutti i rilevamenti per l'entità.
  • Ponderazione del punteggio di rischio dell'entità 1. Il punteggio di rischio non elaborato è la somma di tutti i punteggi di rischio di rilevamento per l'entità.
  • Ponderazione del punteggio di rischio dell'entità 0.5. Il punteggio di rischio assegna un peso completo al rilevamento con il punteggio di rischio massimo per l'entità e metà del peso per tutti gli altri rilevamenti.

Punteggio di rischio predefinito per i rilevamenti

Punteggio di rischio predefinito per i rilevamenti ti consente di assegnare un valore predefinito per i punteggi di rischio dei rilevamenti. I punteggi di rischio dei rilevamenti vengono utilizzati per calcolare i punteggi di rischio dell'entità. I punteggi di rischio dei rilevamenti vengono definiti quando viene scritta una regola. Se non è definito alcun punteggio di rischio nella regola, viene utilizzato il valore predefinito. Il punteggio predefinito è 15 e l'intervallo del punteggio di rischio è 0-100.

Punteggio di rischio predefinito per gli avvisi

Analogamente a Punteggio di rischio predefinito per i rilevamenti, questo campo ti consente di assegnare un valore predefinito per i punteggi di rischio degli avvisi. Se nella regola non è definito alcun punteggio di rischio, viene utilizzato il valore predefinito 40. L'intervallo del punteggio di rischio è 0-1000.

Per informazioni sulla definizione del punteggio di rischio in una regola, vedi Sintassi della sezione Risultato.

Coefficiente di avviso chiuso

Il coefficiente di avviso chiuso modifica il punteggio di rischio degli avvisi contrassegnati come chiusi dagli analisti. È un modificatore a virgola mobile compreso tra 0 e 1 inclusi. Il valore predefinito è 1,0, il che significa che tutti gli avvisi aperti e chiusi mantengono i punteggi originali. Se il coefficiente di avviso chiuso ha un valore pari a 0,0, tutti gli avvisi chiusi ricevono un punteggio di rischio pari a 0 e non aumentano più il punteggio di rischio dell'entità complessiva.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.