Painel de análise de risco

Compatível com:

O painel Análise de risco permite visualizar seu ambiente com base em riscos. Ao visualizar as tendências de risco das entidades, você identifica comportamentos incomuns e entende o risco potencial que elas representam para sua empresa.

O painel Análise de dados de risco lista as entidades em risco e os detalhes dos fatores de risco. Em sistemas que usam RBAC de dados, apenas usuários com escopo global podem acessar a análise de risco. Para mais informações, consulte Impacto do RBAC de dados nas análises de risco.

Para acessar o painel Análise de risco, siga estas etapas:

  1. Na barra de navegação, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.

Contagem de entidades, pontuação de risco e tabela de entidades

O painel Análise de risco mostra, com base nos filtros escolhidos, apenas as 10 mil principais entidades com o maior risco na empresa. Todos os gráficos e tabelas no painel representam apenas esse conjunto de entidades.

O gráfico Contagem total de entidades no canto superior esquerdo mostra o número de entidades que estão sendo rastreadas na sua empresa com um risco maior que 0. As entidades com uma pontuação de risco 0 ainda estão sendo rastreadas, mas não serão representadas neste gráfico. A contagem total é dividida entre Ativos e Usuários.

Para mais informações sobre entidades, consulte Objetos lógicos: evento e entidade. Para mais informações sobre como as pontuações de risco são calculadas, consulte Cálculo da pontuação de risco.

Na tabela Entidades, há várias colunas relacionadas à pontuação de risco da entidade:

Coluna Valor
Nome da entidade Nome da entidade.
Tipo de entidade Tipo de entidade (recurso ou usuário).
Normalizada As pontuações normalizadas são calculadas entre entidades, escalonadas entre 0 e 1.000 usando a normalização mínimo-máximo.
Mudança normalizada Mudança na pontuação de risco normalizada da entidade desde a janela de cálculo de risco anterior.
Tendência normalizada Aumento ou diminuição na mudança percentual da pontuação de risco normalizada em comparação com a janela de risco anterior.
Base A pontuação de risco básica da entidade é igual à pontuação de risco máxima da descoberta mais a ponderação vezes a soma das pontuações de risco das descobertas restantes.

A ponderação padrão é 0,2 e pode ser alterada nas configurações.
Mudança básica Mudança na pontuação de risco básica da entidade desde a janela de cálculo de risco anterior.
Tendência básica Aumento ou diminuição na mudança percentual da pontuação de risco básica em comparação com a janela de risco anterior.
Número de descobertas O número de descobertas (alertas e detecções) que incluem essa entidade durante a janela de cálculo de risco.
Primeira vez na janela Carimbo de data/hora de quando a entidade apareceu pela primeira vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.
Última vez na janela Carimbo de data/hora de quando a entidade apareceu pela última vez em uma descoberta (alerta ou detecção) durante a janela de cálculo de risco.

Ajustar a janela de cálculo de risco

O risco calculado representado por uma entidade muda dependendo do período em análise. Mudar a configuração Período de cálculo de risco no canto superior direito (selecione Período de 24 horas ou Período de 7 dias) altera a pontuação de risco calculada exibida aqui. Talvez seja necessário mudar essa configuração dependendo do tipo de ataque que você está procurando. Por exemplo, ataques de força bruta ficam mais evidentes quando a Janela de cálculo de risco é definida como 24 horas. Períodos mais longos permitem identificar ataques de longo prazo. As pontuações de risco da entidade mudam conforme a janela de cálculo de risco selecionada.

As pontuações de risco da entidade são recalculadas várias vezes por dia para janelas de lookback de 24 horas e 7 dias, com base nas descobertas geradas nesses períodos. O painel de risco mostra as pontuações de risco calculadas mais recentemente. Também é possível conferir as pontuações de risco históricas selecionando uma data e hora específicas no seletor ao lado da configuração "Período de cálculo de risco". Isso vai mostrar os riscos da entidade calculados para a janela de 24 horas ou 7 dias que termina na data e hora escolhidas.

Restringir sua pesquisa com filtros rápidos

Com os filtros rápidos, você pode restringir a pesquisa mostrando apenas os resultados relevantes para suas necessidades específicas.

Para usar os filtros rápidos no painel Análise de risco, siga estas etapas:

  1. Clique em filter_alt acima da tabela Entidades. A janela Filtros será exibida.
  2. Selecione uma das colunas:
    • Número de descobertas
    • Pontuação de risco normalizada da entidade
    • Tendência de risco normalizada da entidade
    • Tipo
  3. Selecione Mostrar apenas ou Filtrar.
  4. Selecione um valor (é possível selecionar mais de um para expandir o intervalo):
    • Número de descobertas: valores de 0 a mais de 1.000.
    • Pontuação de risco normalizada da entidade: valores de 0 a 1.000.
    • Tendência de risco normalizada da entidade: porcentagens de menos de -99% a mais de 199%.
    • Tipo: selecione Recursos ou Usuários.
  5. (Opcional) Para adicionar mais filtros, clique em Adicionar filtro e repita esse processo desde a etapa 2.
  6. Depois de configurar os filtros, clique em Aplicar.

Por exemplo, se você selecionar Tendência de pontuação de risco normalizada da entidade, Mostrar apenas e marcar >199%, apenas as entidades com uma mudança de risco normalizada maior que 199% serão mostradas.

Investigar uma entidade usando a página de entidades

Para investigar uma entidade, siga estas etapas:

  1. Role a coluna Nome da entidade ou use a barra de pesquisa para encontrar uma entidade.
  2. Clique na entidade que você quer investigar.

Isso abre a página da entidade. Nela, você pode examinar apenas as descobertas associadas a essa entidade. O gráfico Cronograma de descobertas na parte de cima rastreia as pontuações de risco e as descobertas de entidades ao longo do tempo. Ele é composto de métricas pré-calculadas exibidas em um formato de gráfico de linhas para mostrar tendências ao longo do tempo. As anomalias podem ser vistas como picos no gráfico de linhas. Abaixo do gráfico está a tabela Descobertas, que mostra os eventos e atividades associados à entidade selecionada.

Há um painel recolhível Ver detalhes da entidade na parte inferior direita que contém um resumo de detalhes importantes sobre a entidade selecionada. Para concluir uma análise detalhada da entidade selecionada, clique em Ver detalhes da entidade para conferir a entidade na visualização Recurso ou Usuário, dependendo se a entidade é um recurso ou um usuário, respectivamente. Para mais informações, consulte Investigar uma entidade de recurso ou Investigar um usuário.

Investigar uma entidade usando a análise de entidade

A análise de entidades oferece aos analistas do SOC e aos caçadores de ameaças uma visão detalhada do comportamento de uma entidade, incluindo o perfil de referência, as anomalias e os enriquecimentos contextuais.

Na página da entidade, selecione um período de até 90 dias na linha do tempo de descobertas e clique em Ver análises da seleção. Isso abre uma barra lateral que mostra as análises associadas a essa entidade no período selecionado. Cada análise mostra um agregado de todos os valores dentro do período. Quando detectada, uma análise inclui uma lista de alertas e detecções relacionados que podem ser examinados mais detalhadamente. Para isso, clique em Ver mais e abra a visualização correspondente de Alertas ou Detecção. Para mais informações, consulte Investigar um alerta.

As seguintes análises de entidade são fornecidas:

  • Contagem de nomes de eventos de alerta
  • Sucesso nas tentativas de autenticação
  • Falha nas tentativas de autenticação
  • Total de tentativas de autenticação
  • Bytes de DNS de saída
  • Falha nas consultas DNS
  • Sucesso das consultas DNS
  • Total de consultas DNS
  • Execuções de arquivo concluídas
  • Falha na execução de arquivos
  • Total de execuções de arquivos
  • Sucesso das consultas HTTP
  • Falha nas consultas HTTP
  • Total de consultas HTTP
  • Bytes de entrada da rede
  • Bytes de saída da rede
  • Total de bytes da rede
  • Total de tentativas de autenticação do Workspace
  • Total de e-mails do Workspace enviados
  • Bytes de saída da rede do Workspace
  • Total de bytes da rede do Workspace
  • Ações de mudança total do espaço de trabalho
  • Total de ações de download do Workspace

Modificar uma pontuação de risco da entidade

Quando informações ou eventos externos afetam o risco real de uma entidade, é possível atualizar a pontuação de risco dela.

Por exemplo, é possível diminuir temporariamente a pontuação de risco de um funcionário que acabou de concluir um exercício de equipe vermelha (como teste de penetração) para que os analistas não precisem perder tempo investigando por que esse funcionário teve um aumento de risco. Você também pode aumentar temporariamente a pontuação de risco de um funcionário envolvido em um caso judicial.

  1. Na tabela Entidades da página Análise de risco, mantenha o ponteiro sobre a coluna mais à direita da linha. Talvez seja necessário rolar a tela para a direita. Clique em more_vert

    e selecione Atualizar pontuação de risco da entidade.

  2. Na caixa de diálogo Atualizar pontuação de risco da entidade, configure os valores para o seguinte:

    • Fator de multiplicação: permite aumentar ou diminuir a pontuação de risco de uma entidade com um fator de multiplicação de 0,0 a 100,0. Por exemplo, se você descobriu novas evidências sobre uma entidade que a torna duas vezes mais arriscada, atualize o fator de multiplicação para 50 para refletir o verdadeiro fator de risco da entidade.
    • Período: período em que o fator de multiplicação é aplicado. Você pode selecionar Agora ou entre 1 dia e 14 dias. Se você selecionar Agora, o fator de multiplicação será aplicado à pontuação de risco da entidade referente à janela de cálculo de risco atual. O cálculo inclui apenas os alertas e as detecções atuais. Quando esse período terminar, as atualizações da pontuação de risco da entidade vão parar, e a pontuação de risco vai voltar ao normal.
    • Motivo: permite deixar mais contexto para outros usuários sobre o motivo da atualização. Escolha uma das seguintes opções: Nova evidência, Pontuação de risco incorreta, Perfil de risco alterado, Requisitos de compliance ou Outro.

Se você tentar fazer uma mudança que já foi feita (por exemplo, atualizar o fator de multiplicação de uma entidade para 25%, mas outro membro da equipe já fez essa mudança), uma caixa de diálogo vai aparecer informando que a mudança já foi feita, incluindo informações sobre quem fez a mudança e quando.

Ver atualizações da pontuação de risco nos detalhes da entidade

É possível conferir todas as atualizações de pontuação de risco de uma entidade na página Perfil da entidade.

  1. Clique na entidade cujo histórico de atualização da pontuação de risco você quer ver para abrir a página Perfil da entidade.
  2. No Gráfico de linha do tempo de eventos, cada vez que alguém muda a pontuação de risco da entidade, isso é indicado pelo rótulo Modificação da pontuação de risco em texto branco.
  3. Passe o cursor sobre o texto para mostrar uma caixa de diálogo com a data, o usuário e o motivo da mudança.

Listas de interesses

Na página Listas de interesses, você pode monitorar entidades específicas em toda a sua empresa.

  1. Na barra de navegação à esquerda, clique em Detecção.
  2. Em Detecção, clique em Análise de risco.
  3. Clique na guia Listas de observação.

Adicionar uma lista de sites de interesse

Para adicionar uma lista de observação à sua conta do Google Security Operations, siga estas etapas: É possível configurar até 200 listas de observação.

  1. Clique em Criar lista de observação.
  2. Especifique um Nome da lista de interesses.
  3. (Opcional) Especifique uma Descrição.
  4. (Opcional) Especifique um fator de multiplicação entre 0 e 100. O padrão é 1.
  5. (Opcional) Especifique as entidades no lado direito da janela seguindo a seção Adicionar entidades a uma lista de observação. Você pode adicionar os seguintes tipos de entidades aqui:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. Clique em Criar lista de observação.

Fixar uma lista de interesses

  1. Clique em Editar exibição.
  2. Clique na caixa de seleção ao lado da lista de observação que você quer fixar.
  3. Clique em Salvar.

Liberar uma lista de interesses

  1. No painel Lista de interesses, selecione a lista que você quer desfixar e clique em more_vert .
  2. Clique em Remover da exibição.

Editar uma lista de interesses

  1. No painel Listas de observação, selecione a lista que você quer editar e clique no ícone more_vert .
  2. Clique em Editar lista de observação.

Excluir uma lista de sites de interesse

  1. No painel Listas de interesses, selecione a lista que você quer excluir e clique em more_vert .
  2. Clique em Excluir lista de observação.

Adicionar entidades a uma lista de interesses

Para adicionar entidades a uma lista de observação, especifique o nome, o tipo e o namespace (opcional) da entidade linha por linha usando um dos seguintes formatos.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE pode ser:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE só pode ser especificado para os tipos de entidade de recurso:

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

Exemplo:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

Este exemplo representa duas entidades adicionadas à lista de observação: um endereço IP de recurso 205.148.5.0 e um nome de host website.com no namespace chronicle. É possível ter até 10.000 entidades em uma lista de sites de interesse.

Remover entidades de uma lista de interesses

Para remover entidades de uma lista de observação, remova as linhas que representam as entidades que você quer remover e clique em Salvar.

Mudar as configurações da pontuação de risco

Na página Pontuação de risco da entidade, você define como as pontuações de risco são calculadas para entidades, alertas e detecções. Nesta página, você pode personalizar como o risco é calculado com base nas necessidades exclusivas da sua pesquisa.

Há três campos na página Pontuação de risco da entidade que podem ser atualizados:

Para mudar qualquer uma dessas configurações, siga estas etapas:

  1. Na barra de navegação, selecione Configurações > Pontuações de risco da entidade.
  2. Atualize as pontuações de risco de acordo.
  3. Clique em Salvar. Quando você voltar à página principal do Risk Analytics, uma mensagem vai aparecer na parte de cima da tela confirmando que uma mudança foi feita na Pontuação de risco da entidade.
  4. (Opcional) Para redefinir qualquer um desses valores, clique em Redefinir à direita do valor.

As atualizações só serão aplicadas a novos alertas e detecções. Pode levar até 30 minutos para que as mudanças entrem em vigor.

Ponderação da pontuação de risco da entidade

A ponderação define como as pontuações de risco de alerta e detecção contribuem para os cálculos da pontuação de risco da entidade. A ponderação é um valor de 0 a 1, e o padrão é 0,2.

Confira alguns exemplos de como números diferentes afetam o cálculo da pontuação de risco da entidade:

  • Ponderação da pontuação de risco da entidade 0. A pontuação de risco bruta é a pontuação máxima de risco de detecção entre todas as detecções da entidade.
  • Ponderação da pontuação de risco da entidade 1. A pontuação de risco bruta é a soma de todas as pontuações de risco de detecção da entidade.
  • Ponderação da pontuação de risco da entidade 0.5. A pontuação de risco dá peso total à detecção com pontuação máxima para a entidade e metade do peso para todas as outras detecções.

Pontuação de risco padrão para detecções

Com a pontuação de risco padrão para detecções, é possível atribuir um valor padrão a essas pontuações. As pontuações de risco de detecção são usadas para calcular as pontuações de risco da entidade. As pontuações de risco para detecções são definidas quando uma regra é escrita. Se nenhum score de risco for definido na regra, o valor padrão será usado. A pontuação padrão é 15, e o intervalo de pontuação de risco é de 0 a 100.

Pontuação de risco padrão para alertas

Semelhante à Pontuação de risco padrão para detecções, esse campo permite atribuir um valor padrão para as pontuações de risco de alerta. Se nenhuma pontuação de risco for definida na regra, será usado o valor padrão de 40. O intervalo da pontuação de risco é de 0 a 1.000.

Para informações sobre como definir a pontuação de risco em uma regra, consulte Sintaxe da seção de resultado.

Coeficiente de alerta fechado

O coeficiente de alerta fechado modifica a pontuação de risco dos alertas marcados como fechados pela equipe de análise. É um modificador de ponto flutuante entre 0 e 1 (incluindo ambos). O padrão é 1,0, o que significa que todos os alertas abertos e fechados mantêm as pontuações originais. Se o coeficiente de alerta fechado tiver um valor de 0,0, todos os alertas fechados vão receber uma pontuação de risco de 0 e não vão mais aumentar a pontuação de risco da entidade geral.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.