Painel de controlo de estatísticas de risco

Compatível com:

O painel de controlo Risk Analytics permite-lhe ver o seu ambiente através de uma perspetiva baseada no risco. A visualização das tendências de risco das entidades ajuda a identificar comportamentos invulgares e a compreender o potencial risco que as entidades representam para a sua empresa.

O painel de controlo Risk Analytics apresenta as entidades em risco e os detalhes dos fatores de risco. Em sistemas que usam RBAC de dados, apenas os utilizadores com âmbito global podem aceder às estatísticas de risco. Para mais informações, consulte o artigo Impacto do RBAC de dados na análise de riscos.

Para aceder ao painel de controlo Risk Analytics, siga estes passos:

  1. Na barra de navegação, clique em Deteção.
  2. Em Deteção, clique em Análise de risco.

Contagem de entidades, pontuação de risco e tabela de entidades

O painel de controlo Risk Analytics mostra, com base nos filtros escolhidos, apenas as 10 000 principais entidades com o risco mais elevado na empresa. Todos os gráficos e tabelas no painel de controlo representam apenas este conjunto de entidades.

O gráfico Total de entidades na parte superior esquerda apresenta o número de entidades que estão a ser monitorizadas na sua empresa com um risco superior a 0. As entidades com uma pontuação de risco de 0 continuam a ser monitorizadas, mas não são representadas neste gráfico. A contagem total é dividida entre Recursos e Utilizadores.

Para mais informações sobre entidades, consulte o artigo Objetos lógicos: evento e entidade. Para mais informações sobre como as pontuações de risco são calculadas, consulte o artigo Cálculo da pontuação de risco.

Na tabela Entidades, existem várias colunas relacionadas com a pontuação de risco da entidade:

Coluna Valor
Nome da entidade Nome da entidade.
Tipo de entidade Tipo de entidade (recurso ou utilizador).
Normalizado As pontuações normalizadas são calculadas entre entidades, numa escala de 0 a 1000, através da normalização min-max.
Alteração normalizada Alteração na pontuação de risco da entidade normalizada desde a janela de cálculo de risco anterior.
Tendência normalizada Aumento ou diminuição na percentagem de alteração da pontuação de risco normalizada em comparação com a janela de risco anterior.
Base A pontuação de risco da entidade base é igual à pontuação de risco da descoberta máxima mais a ponderação multiplicada pela soma das pontuações de risco das descobertas restantes.

A ponderação predefinida é de 0,2 e pode ser alterada nas Definições.
Alteração da base Alteração na classificação de risco da entidade base desde a janela de cálculo de risco anterior.
Tendência base Aumento ou diminuição na percentagem de alteração da pontuação de risco base em comparação com o período de risco anterior.
Número de conclusões O número de resultados (alertas e deteções) que incluem esta entidade durante o período de cálculo do risco.
Visto pela primeira vez na janela Data/hora em que a entidade foi vista pela primeira vez num resultado (alerta ou deteção) durante o período de cálculo de risco.
Última visualização na janela Data/hora em que a entidade foi vista pela última vez numa descoberta (alerta ou deteção) durante o período de cálculo de risco.

Ajuste o período de cálculo do risco

O risco calculado representado por uma entidade muda consoante o período de tempo em análise. Alterar a definição Janela de cálculo de risco na parte superior direita (selecione Janela de 24 horas ou Janela de 7 dias) altera a pontuação de risco calculada apresentada aqui. Pode querer alterar esta definição consoante o tipo de ataque que procura. Por exemplo, os ataques de força bruta são mais evidentes se definir o período de cálculo de risco como 24 horas. Os intervalos de tempo mais longos permitem-lhe detetar ataques a longo prazo. As pontuações de risco das entidades mudam consoante o período de cálculo de risco selecionado.

As pontuações de risco das entidades são recalculadas várias vezes por dia para janelas retrospetivas de 24 horas e 7 dias, com base nas conclusões geradas nesses períodos retrospetivos. O painel de controlo de risco apresenta as classificações de risco calculadas mais recentemente. Também pode ver as pontuações de risco do histórico selecionando uma data e uma hora específicas no selecionador de datas junto à definição "Intervalo de cálculo de risco". Isto apresenta os riscos da entidade calculados para o período de 24 horas ou 7 dias que termina na data e hora escolhidas.

Limite a pesquisa com filtros rápidos

Os filtros rápidos permitem-lhe restringir a pesquisa mostrando apenas resultados relevantes para as suas necessidades específicas.

Para usar filtros rápidos no painel de controlo da análise de risco, siga estes passos:

  1. Clique em filter_alt acima da tabela Entidades. É apresentada a janela Filtros.
  2. Selecione uma das colunas:
    • Número de entradas
    • Pontuação de risco da entidade normalizada
    • Tendência de risco da entidade normalizada
    • Tipo
  3. Selecione Mostrar apenas ou Filtrar.
  4. Selecione um valor (pode selecionar mais do que um valor para expandir o intervalo):
    • Número de resultados: valores de 0 a mais de 1000.
    • Pontuação de risco da entidade normalizada: valores de 0 a 1000.
    • Tendência de risco da entidade normalizada: percentagens inferiores a -99% até superiores a 199%.
    • Tipo: selecione Recursos ou Utilizadores.
  5. (Opcional) Para adicionar filtros adicionais, clique em Adicionar filtro e repita este processo a partir do passo 2.
  6. Depois de terminar a configuração dos filtros, clique em Aplicar.

Por exemplo, se selecionar a opção Tendência de risco da entidade normalizada, selecione Mostrar apenas e selecione >199%. Só são apresentadas as entidades com uma alteração do risco da entidade normalizada superior a 199%.

Investigue uma entidade através da página da entidade

Para investigar uma entidade, siga estes passos:

  1. Desloque a página pela coluna Nome da entidade ou use a barra de pesquisa para encontrar uma entidade.
  2. Clique na entidade que quer investigar.

Esta ação abre a página da entidade. Esta página permite-lhe examinar apenas as conclusões associadas a essa entidade. O gráfico Linha cronológica das conclusões na parte superior monitoriza as pontuações de risco das entidades e as conclusões ao longo do tempo. Este gráfico é composto por métricas pré-calculadas apresentadas num formato de gráfico de linhas para mostrar tendências ao longo do tempo. As anomalias podem ser vistas como picos no gráfico de linhas. Abaixo do gráfico, encontra-se a tabela Resultados, que mostra os eventos e as atividades aos quais a entidade selecionada foi associada.

Existe um painel Ver detalhes da entidade minimizável na parte inferior direita que contém um resumo dos detalhes importantes acerca da entidade selecionada. Para concluir um exame detalhado da entidade selecionada, clique em Ver detalhes da entidade para ver a entidade na vista Recurso ou Utilizador, consoante a entidade seja um recurso ou um utilizador, respetivamente. Para mais informações, consulte os artigos Investigue uma entidade de recurso ou Investigue um utilizador.

Investigue uma entidade através das estatísticas de entidades

As estatísticas de entidades oferecem aos analistas do SOC e aos caçadores de ameaças uma vista detalhada do comportamento de uma entidade, incluindo o perfil de base da entidade, anomalias e enriquecimentos contextuais.

Na página da entidade, selecione um intervalo de tempo de até 90 dias na cronologia de conclusões e clique em Ver estatísticas da seleção. É aberta uma barra lateral que lhe mostra as estatísticas associadas a esta entidade no intervalo de tempo selecionado. Cada análise apresenta um agregado de todos os valores analíticos no intervalo de tempo. Quando detetada, uma análise inclui uma lista de alertas e deteções relacionados que podem ser examinados mais detalhadamente clicando em Ver mais para abrir a vista Alertas ou Deteção correspondente. Para mais informações, consulte o artigo Investigue um alerta.

São fornecidas as seguintes estatísticas de entidades:

  • Contagem do nome do evento de alerta
  • Autenticação bem-sucedida
  • As tentativas de autenticação falham
  • Total de tentativas de autenticação
  • Bytes de DNS de saída
  • As consultas DNS falham
  • Consultas DNS bem-sucedidas
  • Total de consultas DNS
  • Execuções de ficheiros com êxito
  • Falha nas execuções de ficheiros
  • Total de execuções de ficheiros
  • Consultas HTTP com êxito
  • As consultas HTTP falham
  • Total de consultas HTTP
  • Bytes de entrada da rede
  • Bytes de rede de saída
  • Total de bytes da rede
  • Total de tentativas de autenticação do Workspace
  • Total de emails do Workspace enviados
  • Bytes de saída da rede do Workspace
  • Workspace Network Bytes Total
  • Total de ações de alteração do espaço de trabalho
  • Total de ações de transferência do Workspace

Modifique a pontuação de risco de uma entidade

Quando as informações ou os eventos externos afetam o risco real de uma entidade, pode atualizar a pontuação de risco da entidade.

Por exemplo, pode diminuir temporariamente a pontuação de risco de um funcionário que acabou de concluir um exercício de equipa vermelha (como testes de penetração) para que os analistas não tenham de perder tempo a investigar o motivo pelo qual esse funcionário teve um aumento do risco. Também pode aumentar temporariamente a pontuação de risco de um funcionário envolvido num processo judicial.

  1. Na tabela Entidades na página Análise de risco, mantenha o ponteiro do rato sobre a coluna mais à direita da linha. Pode ter de deslocar o ecrã para a direita. Clique em more_vert

    e selecione Atualizar pontuação de risco da entidade.

  2. Na caixa de diálogo Atualizar pontuação de risco da entidade, configure os valores para o seguinte:

    • Fator de multiplicação: permite aumentar ou diminuir a pontuação de risco de uma entidade com um fator de multiplicação de 0,0 a 100,0. Por exemplo, se tiver descoberto novas provas sobre uma entidade que tornam a entidade duas vezes mais arriscada, atualize o fator de multiplicação para 50 para refletir o verdadeiro fator de risco da entidade.
    • Período: período durante o qual o fator de multiplicação é aplicado. Pode selecionar Agora ou entre 1 dia e 14 dias. Se selecionar Agora, o fator de multiplicação é aplicado à classificação de risco da entidade para o período de cálculo de risco atual. Apenas os alertas e as deteções existentes são incluídos no cálculo. Quando o período selecionado termina, as atualizações da classificação de risco da entidade param e a classificação de risco volta ao normal.
    • Motivo: permite-lhe deixar contexto adicional para outros utilizadores sobre o motivo pelo qual esta atualização foi feita. Escolha uma das seguintes opções: Novas provas, Pontuação de risco incorreta, Perfil de risco alterado, Requisitos de conformidade ou Outro.

Se tentar fazer uma alteração que já foi feita (por exemplo, quiser atualizar o fator de multiplicação de uma entidade para 25%, mas outro membro da equipa já tiver feito essa alteração), é apresentado um diálogo a indicar que a alteração já foi feita, incluindo informações sobre quem fez a alteração e quando.

Veja atualizações da classificação de risco nos detalhes da entidade

Pode ver todas as atualizações da pontuação de risco de uma entidade na página Perfil da entidade.

  1. Clique na entidade cujo histórico de atualizações da pontuação de risco quer ver para abrir a página Perfil da entidade.
  2. No gráfico da cronologia de eventos, cada vez que alguém alterou a pontuação de risco da entidade, é indicado pela etiqueta Modificação da pontuação de risco em texto branco.
  3. Mantenha o ponteiro sobre o texto para apresentar uma caixa de diálogo com a data, o utilizador e o motivo da alteração.

Listas de visualizações

A página Listas de observação permite-lhe monitorizar entidades específicas de toda a sua empresa.

  1. Na barra de navegação do lado esquerdo, clique em Deteção.
  2. Em Deteção, clique em Análise de risco.
  3. Clique no separador Listas de visualização.

Adicione uma lista de visualização

Para adicionar uma lista de observação à sua conta do Google Security Operations, conclua os passos seguintes. Pode configurar até 200 listas de visualização.

  1. Clique em Criar lista de visualizações.
  2. Especifique um nome da lista de visualização.
  3. (Opcional) Especifique uma descrição.
  4. (Opcional) Especifique o Fator de multiplicação entre 0 e 100. A predefinição é 1.
  5. (Opcional) Especifique entidades no lado direito da janela seguindo a secção Adicione entidades a uma lista de observação. Pode adicionar os seguintes tipos de entidades aqui:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Clique em Criar lista de visualizações.

Fixe uma lista de visualização

  1. Clique em Editar apresentação.
  2. Clique na caixa de verificação junto à lista de visualização que quer fixar.
  3. Clique em Guardar.

Desafixe uma lista de visualização

  1. No painel de controlo Listas de visualização, selecione a lista de visualização que quer desafixar e selecione more_vert .
  2. Clique em Remover da apresentação.

Edite uma lista de visualizações

  1. No painel de controlo Listas de observação, selecione a lista de observação que quer editar e clique no ícone more_vert .
  2. Clique em Editar lista de observação.

Elimine uma lista de visualização

  1. No painel de controlo Listas de visualização, selecione a lista de visualização que quer eliminar e clique em more_vert .
  2. Clique em Eliminar lista de visualização.

Adicione entidades a uma lista de visualização

Para adicionar entidades a uma lista de observação, especifique o nome, o tipo e o espaço de nomes (opcional) da entidade linha a linha através de um dos seguintes formatos.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE pode ser uma das seguintes opções:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE só pode ser especificado para os tipos de entidades de recursos:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Por exemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Este exemplo representa duas entidades adicionadas à lista de observação, um endereço IP de recurso 205.148.5.0 e um nome de anfitrião website.com no espaço de nomes chronicle. Pode ter até 10 000 entidades numa lista de observação.

Remova entidades de uma lista de visualização

Para remover entidades de uma lista de observação, remova as linhas que representam as entidades que quer remover e clique em Guardar.

Altere as definições da pontuação de risco

A página Classificação de risco da entidade permite-lhe definir como as classificações de risco são calculadas para entidades, alertas e deteções. Esta página permite-lhe personalizar a forma como o risco é calculado com base nas necessidades únicas da sua pesquisa.

Existem três campos na página Pontuação de risco da entidade que pode atualizar:

Para alterar qualquer uma destas definições, siga estes passos:

  1. Na barra de navegação, selecione Definições > Pontuações de risco das entidades.
  2. Atualize as classificações de risco em conformidade.
  3. Clique em Guardar. Quando regressa à página principal Risk Analytics, é apresentada uma mensagem na parte superior do ecrã a confirmar que foi feita uma alteração à Pontuação de risco da entidade.
  4. (Opcional) Para repor qualquer um destes valores, clique em Repor à direita do valor.

As atualizações aplicam-se apenas a novos alertas e deteções. As alterações podem demorar até 30 minutos a entrar em vigor.

Ponderação da classificação de risco da entidade

A ponderação define a forma como as classificações de risco de alertas e deteções contribuem para os cálculos da classificação de risco da entidade. A ponderação é um valor de 0 a 1 e o valor predefinido é 0,2.

Seguem-se alguns exemplos de como diferentes números afetam o cálculo da pontuação de risco da entidade:

  • Ponderação da pontuação de risco da entidade 0. A pontuação de risco não processada é a pontuação de risco de deteção máxima entre todas as deteções da entidade.
  • Ponderação da pontuação de risco da entidade 1. A pontuação de risco não processada é a soma de todas as pontuações de risco de deteção da entidade.
  • Ponderação da pontuação de risco da entidade 0.5. A pontuação de risco atribui peso total à deteção com a pontuação de risco máxima para a entidade e metade do peso a todas as outras deteções.

Classificação de risco predefinida para deteções

A pontuação de risco predefinida para deteções permite-lhe atribuir um valor predefinido às pontuações de risco de deteção. As pontuações de risco de deteção são usadas para calcular as pontuações de risco das entidades. As pontuações de risco para deteções são definidas quando é escrita uma regra. Se não for definido nenhum valor de risco na regra, é usado o valor predefinido. A pontuação predefinida é 15 e o intervalo da pontuação de risco é de 0 a 100.

Classificação de risco predefinida para alertas

Semelhante a Pontuação de risco predefinida para deteções, este campo permite-lhe atribuir um valor predefinido para as pontuações de risco de alertas. Se não for definida nenhuma pontuação de risco na regra, é usado o valor predefinido de 40. O intervalo da pontuação de risco é de 0 a 1000.

Para ver informações sobre a definição da pontuação de risco numa regra, consulte a sintaxe da secção de resultados.

Coeficiente de alertas fechados

O coeficiente de alerta fechado modifica a classificação de risco dos alertas marcados como fechados pelos analistas. É um modificador de vírgula flutuante entre 0 e 1, inclusive. A predefinição é 1,0, o que significa que todos os alertas abertos e fechados mantêm as respetivas pontuações originais. Se o coeficiente de alertas fechados tiver um valor de 0,0, todos os alertas fechados recebem uma pontuação de risco de 0 e deixam de aumentar a pontuação de risco da entidade geral.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.