“风险分析”信息中心

支持的语言:

借助风险分析信息中心,您可以从基于风险的角度查看环境。直观呈现实体风险趋势有助于您识别异常行为,并了解实体对企业的潜在风险。

风险分析信息中心会列出存在风险的实体和风险因素详情。 在采用数据 RBAC 的系统中,只有具有全局范围的用户才能访问风险分析。如需了解详情,请参阅数据 RBAC 对风险分析的影响

如需前往风险分析信息中心,请按以下步骤操作:

  1. 在导航栏中,点击检测
  2. 检测中,点击风险分析

实体数量、风险得分和实体表格

风险分析信息中心会根据所选过滤条件,仅显示企业中风险最高的前 10,000 个实体。信息中心内的所有图表和表格仅表示这一组实体。

左上角的实体总数图表显示了企业中正在跟踪的风险大于 0 的实体数量。风险分为 0 的实体仍在跟踪中,但不会显示在此图表中。总数分为资源用户

如需详细了解实体,请参阅逻辑对象:事件和实体。 如需详细了解风险得分的计算方式,请参阅风险得分计算

实体表格中,有多个与实体风险得分相关的列:
实体名称 实体的名称。
实体类型 实体类型(资产或用户)。
标准化 标准化得分是跨多个实体计算得出的,通过最小-最大标准化方法将得分缩放至 0 至 1, 000 之间。
标准化变化 自上一个风险计算窗口期以来,标准化实体风险得分的变化情况。
标准化趋势 与上一个风险窗口期相比,标准化风险得分的百分比变化是增加还是减少。
基本 基本实体风险得分等于发现结果的最高风险得分加上加权值乘以其余发现结果的风险得分总和。

加权值默认为 .2,可在“设置”中进行更改。
基本变化 自上一个风险计算窗口期以来,基本实体风险得分的变化情况。
基本趋势 与上一个风险窗口期相比,基本风险得分的百分比变化是增加还是减少。
发现结果数量 在风险计算窗口期内,包含此实体的发现结果(提醒和检测)数量。
在窗口期内首次出现的时间 在风险计算窗口期内,该实体首次在发现结果(提醒或检测)中出现时的时间戳。
在窗口期内最后出现的时间 在风险计算窗口期内,该实体最后在发现结果(提醒或检测)中出现时的时间戳。

调整风险计算窗口

实体带来的计算风险会因检查的时间段而异。更改右上角的风险计算窗口期设置(选择 24 小时窗口期 7 天窗口期)会更改此处显示的计算风险得分。您可能需要根据要查找的攻击类型更改此设置。例如,将风险计算窗口设置为 24 小时,可以更明显地发现暴力攻击。时间范围越长,就越能发现长期攻击。实体风险得分会因所选风险计算窗口期而异。

系统每天会多次重新计算 24 小时和 7 天回溯期内的实体风险得分,计算依据是相应回溯期内生成的发现结果。风险信息中心会显示最近计算的风险评分。您还可以通过在“风险计算窗口期”设置旁边的日期选择器中选择特定日期和时间来查看历史风险得分。系统会显示在所选日期和时间结束的 24 小时或 7 天窗口期内计算出的实体风险。

使用快速过滤条件缩小搜索范围

借助快速过滤条件,您可以缩小搜索范围,仅显示与您的特定需求相关的结果。

如需在风险分析信息中心内使用“快速过滤条件”,请按以下步骤操作:

  1. 点击实体表格上方的 filter_alt 。系统随即会显示过滤条件窗口。
  2. 选择其中一列:
    • 发现结果数量
    • 标准化实体风险得分
    • 标准化实体风险趋势
    • 类型
  3. 选择仅显示过滤掉
  4. 选择一个值(您可以选择多个值来扩大范围):
    • 发现的数量:值介于 0 到大于 1000 之间。
    • 标准化实体风险得分:介于 0 到 1000 之间的值。
    • 标准化实体风险趋势:百分比,从低于 -99% 到高于 199%。
    • 类型:选择资产用户
  5. (可选)如需添加其他过滤条件,请点击添加过滤条件,然后从第 2 步开始重复此流程。
  6. 完成过滤器的配置后,点击应用

例如,如果您选择标准化实体风险趋势,然后选择仅显示并勾选>199%,则系统只会显示标准化实体风险变化大于 199% 的实体。

使用实体页面调查实体

如需调查实体,请按以下步骤操作:

  1. 滚动浏览实体名称列,或使用搜索栏查找实体。
  2. 点击要调查的实体。

系统随即会打开实体页面。在此页面上,您可以仅查看与相应实体关联的发现结果。顶部的发现结果时间轴图表会跟踪实体风险得分和发现结果随时间的变化情况。此图表由预先计算的指标构成,以折线图格式显示,用于显示随时间变化的趋势。 异常值在折线图中显示为尖峰。图表下方是发现结果表格,其中显示了所选实体关联的事件和活动。

右下角有一个可收起的查看实体详情面板,其中包含所选实体的关键详情摘要。如需详细检查所选实体,请点击查看实体详情,以在资产视图或用户视图中查看实体,具体取决于实体是资产还是用户。如需了解详情,请参阅调查资产实体调查用户

使用实体分析功能调查实体

实体分析可为 SOC 分析师和威胁搜寻者提供实体行为的详细视图,包括实体的基准配置文件、异常情况和情境丰富信息。

在实体页面中,在发现结果时间轴上选择最长为 90 天的时间范围,然后点击查看所选内容的分析数据。这会打开一个边栏,其中显示所选时间范围内与相应实体相关联的分析数据。每项分析都会显示相应时间范围内的所有分析值的汇总。检测到分析结果后,分析结果会包含相关提醒和检测结果的列表,您可以点击查看更多,打开相应的提醒检测结果视图,以便进一步检查。如需了解详情,请参阅调查提醒

系统会提供以下实体分析:

  • 提醒事件名称数量
  • 身份验证尝试成功
  • 身份验证尝试失败
  • 身份验证尝试总次数
  • DNS 出站字节数
  • DNS 查询失败
  • DNS 查询成功次数
  • DNS 查询总数
  • 文件执行成功
  • 文件执行失败
  • 文件执行总数
  • HTTP 查询成功
  • HTTP 查询失败
  • HTTP 查询总数
  • 网络入站字节数
  • 网络出站字节数
  • 网络字节总数
  • Workspace 身份验证尝试总次数
  • Workspace 电子邮件发送总数
  • 工作区网络出站字节数
  • 工作区网络字节总数
  • 工作区总更改操作数
  • 工作区总下载操作次数

修改实体风险得分

当外部信息或事件影响实体的真实风险时,您可以更新实体的风险得分。

例如,您可以暂时降低刚刚完成红队演练(例如渗透测试)的员工的风险评分,这样分析师就不必浪费时间来调查该员工的风险为何会增加。您还可以暂时提高涉及诉讼案件的员工的风险评分。

  1. 风险分析页面上的实体表格中,将鼠标指针悬停在相应行的最右侧列上。您可能需要向右滚动显示屏。点击 more_vert

    ,然后选择更新实体风险得分

  2. 更新实体风险得分对话框中,为以下各项配置值:

    • 乘法系数:可让您使用 0.0 到 100.0 的乘法系数来提高或降低实体的风险得分。例如,如果您发现了有关某个实体的新证据,表明该实体的风险是之前的两倍,请将乘数更新为 50,以反映该实体的真实风险系数。
    • 时间段:应用乘法系数的时间段。您可以选择立即或介于 1 天 14 天之间的天数。 如果您选择现在,放大系数将在当前风险计算窗口期内应用于实体风险得分。只有现有提醒和检测会纳入计算。 当所选时间段结束时,对实体风险得分的更新即会停止,风险得分会恢复正常。
    • 原因:可让您为其他用户提供有关此更新原因的更多背景信息。您可以从以下选项中进行选择:新证据风险得分不正确风险配置文件已更改合规性要求或其他。

如果您尝试进行已完成的更改(例如,您想将实体的乘数更新为 25%,但另一位团队成员已完成该更改),系统会显示一个对话框,告知您该更改已完成,其中包含有关更改者和更改时间的信息。

在实体详情中查看风险得分更新

您可以在实体资料页面中查看实体的所有风险得分更新。

  1. 点击要查看其风险得分更新历史记录的实体,以打开实体资料页面。
  2. 事件时间轴图表中,每次有人更改实体的风险评分时,系统都会以白色文本显示风险评分修改标签。
  3. 将指针悬停在相应文字上,即可显示一个对话框,其中包含更改的日期、用户和原因。

监控列表

通过监控列表页面,您可以监控整个企业中的特定实体。

  1. 在左侧导航栏中,点击检测
  2. 检测中,点击风险分析
  3. 点击观看列表标签页。

添加观看列表

如需向您的 Google Security Operations 账号添加关注列表,请完成以下步骤。您最多可以配置 200 个关注列表。

  1. 点击创建关注列表
  2. 指定监控列表名称
  3. (可选)指定说明
  4. (可选)指定介于 0 到 100 之间的放大系数。默认值为 1。
  5. (可选)按照将实体添加到关注列表部分中的说明,在窗口右侧指定实体。您可以在此处添加以下实体类型:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. 点击创建关注列表

固定监控列表

  1. 点击修改显示
  2. 点击要固定到顶部的关注列表旁边的复选框。
  3. 点击保存

取消固定监控列表

  1. 观看列表信息中心内,选择要取消固定的观看列表,然后选择 more_vert
  2. 点击从显示中移除

修改监控列表

  1. 自选股信息中心内,选择要修改的自选股,然后点击 more_vert 图标。
  2. 点击修改关注列表

删除监控列表

  1. 监控列表信息中心内,选择要删除的监控列表,然后点击 more_vert
  2. 点击删除观看列表

将实体添加到观看列表

如需将实体添加到关注列表,请使用以下任一格式逐行指定实体名称、类型和(可选)命名空间。

  • NAMETYPE

  • NAME,TYPE,NAMESPACE

    TYPE 可以是下列选项之一:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    只能为以下广告资源实体类型指定 NAMESPACE

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

例如:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

此示例表示添加到关注列表中的两个实体,即 chronicle 命名空间下的资产 IP 地址 205.148.5.0 和主机名 website.com。一个监控列表中最多可以包含 10,000 个实体。

从关注列表中移除实体

如需从监控列表中移除实体,请移除表示要移除的实体的行,然后点击保存

更改风险得分设置

您可以在实体风险得分页面中定义如何计算实体、提醒和检测的风险得分。您可以在此页面上根据搜索的独特需求调整风险计算方式。

您可以在实体风险得分页面中更新以下三个字段:

如需更改上述任何设置,请按以下步骤操作:

  1. 在导航栏中,依次选择设置 > 实体的风险得分
  2. 相应地更新风险得分。
  3. 点击保存。返回到主风险分析页面后,您会在屏幕顶部看到一条消息,确认实体风险评分已发生变化。
  4. (可选)如需重新设置上述任一值,请点击相应值右侧的重置

更新只会应用于新的提醒和检测。所做更改最长可能需要 30 分钟才能生效。

实体风险得分权重

权重用于定义提醒和检测风险得分对实体风险得分计算的贡献程度。权重是一个介于 0 到 1 之间的值,默认值为 0.2。

以下示例展示了不同的数字如何影响实体风险得分的计算:

  • 实体风险得分权重 0。原始风险得分是相应实体的所有检测中的最高检测风险得分。
  • 实体风险得分权重 1。原始风险得分是实体的所有检测风险得分的总和。
  • 实体风险得分权重 0.5。风险得分会为实体的最高风险得分检测结果赋予完整权重,为所有其他检测结果赋予一半权重。

检测的默认风险得分

借助检测的默认风险得分,您可以为检测风险得分分配一个默认值。检测风险得分用于计算实体风险得分。检测的风险得分在编写规则时定义。如果规则中未定义风险得分,则使用默认值。默认分数为 15,风险得分范围为 0-100。

提醒的默认风险得分

检测的默认风险得分类似,此字段可让您为提醒风险得分分配默认值。如果规则中没有定义风险得分,则使用默认值 40。风险得分范围为 0-1000。

如需了解如何在规则中定义风险得分,请参阅结果部分语法

已解决提醒系数

已解决提醒系数用于修改分析师标记为“已解决”的提醒的风险得分。它是一个介于 0 到 1(含 0 和 1)之间的浮点修饰数。默认值为 1.0,表示所有未处理和已关闭的提醒都保留其原始得分。如果已关闭的提醒系数的值为 0.0,则所有已关闭的提醒的风险得分均为 0,并且不会再增加整体实体的风险得分。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。