“风险分析”信息中心

支持的平台:

借助风险分析信息中心,您可以从风险角度查看自己的环境。直观呈现实体风险趋势有助于您识别异常行为,并了解实体对贵企业的潜在风险。

风险分析信息中心会列出存在风险的实体和风险因素详情。在使用数据 RBAC 的系统中,只有具有全局范围的用户才能访问风险分析。如需了解详情,请参阅数据 RBAC 对风险分析的影响

如需前往风险分析信息中心,请按以下步骤操作:

  1. 在导航栏中,点击检测
  2. 检测下,点击风险分析

实体数量、风险得分和实体表格

风险分析信息中心会根据所选过滤条件,仅显示企业中风险最高的前 10,000 个实体。信息中心中的所有图表和表格仅代表这组实体。

左上角的实体总数图表会显示贵组织中风险信号大于 0 的实体数量。风险信号得分为 0 的实体仍会被跟踪,但不会显示在此图表中。总数会按素材资源用户进行划分。

如需详细了解实体,请参阅逻辑对象:事件和实体。如需详细了解风险得分的计算方式,请参阅风险得分计算

实体表中,有多个与实体风险信号相关的列:
实体名称 实体的名称。
实体类型 实体类型(素材资源或用户)。
标准化 标准化得分是跨多个实体计算得出的,通过最小-最大标准化方法将得分缩放至 0 至 1, 000 之间。
标准化变化 自上一个风险计算窗口期以来,标准化实体风险得分的变化情况。
标准化趋势 与上一个风险计算窗口期相比,标准化风险得分的百分比变化幅度。
基本 基本实体风险得分等于发现结果的最高风险得分加上加权值乘以发现结果的其余风险得分总和。

加权默认为 .2,可在“设置”中进行更改。
基本变化 自上一个风险计算窗口期以来,基本实体风险得分的变化情况。
基本趋势 与上一个风险计算窗口期相比,基本风险得分的百分比变化幅度。
发现结果数量 在风险计算窗口期内,包含此实体的发现结果(提醒和检测)数量。
在窗口期内首次出现的时间 在风险计算窗口期内,该实体首次在发现结果(提醒或检测)中出现时的时间戳。
在窗口期内最后出现的时间 在风险计算窗口期内,该实体最后在发现结果(提醒或检测)中出现时的时间戳。

调整风险计算期限

实体所构成的计算风险会因所考察的时间段而异。更改右上角的风险计算窗口设置(选择 24 小时窗口 7 天窗口)会更改此处显示的计算风险得分。根据您要查找的攻击类型,您可能需要更改此设置。例如,将风险计算时间范围设置为 24 小时后,暴力破解攻击会更明显。时间范围较长时,您可以发现长期攻击。

实体风险得分会因所选风险计算窗口期而异。 实体风险得分是根据风险窗口期内生成的发现结果来计算的。

使用快捷过滤条件缩小搜索范围

借助快速过滤条件,您可以仅显示与您的具体需求相关的结果,从而缩小搜索范围。

如需在风险分析信息中心使用快速过滤条件,请按以下步骤操作:

  1. 点击 Entities 表上方的 filter_alt 。系统随即会显示过滤条件窗口。
  2. 选择其中一个列:
    • 发现结果数量
    • 标准化实体风险得分
    • 标准化实体风险趋势
    • 类型
  3. 选择仅显示滤除
  4. 选择一个值(您可以选择多个值以扩大范围):
    • 发现数量:值介于 0 到 1000 以上之间。
    • 标准化实体风险得分:值介于 0 到 1000 之间。
    • 标准化实体风险趋势:百分比介于 -99% 到 199% 之间。
    • 类型:选择素材资源用户
  5. (可选)如需添加其他过滤条件,请点击添加过滤条件,然后从第 2 步开始重复此流程。
  6. 完成过滤条件的配置后,点击应用

例如,如果您选择标准化实体风险趋势,选择仅显示,然后选中>199%,则系统只会显示标准化实体风险变化率大于 199% 的实体。

使用实体页面调查实体

如需调查实体,请按以下步骤操作:

  1. 滚动浏览实体名称列,或使用搜索栏查找实体。
  2. 点击要调查的实体。

这会打开实体页面。在该页面中,您可以仅查看与该实体相关的发现结果。顶部的发现结果时间轴图表会跟踪实体风险得分和发现结果随时间的变化。此图表由预计算的指标组成,以折线图的形式显示,以显示随时间推移的趋势。异常值在折线图上显示为尖峰。图表下方是发现结果表格,其中显示所选实体与哪些事件和活动相关联。

右下角有一个可收起的查看实体详情面板,其中包含有关所选实体的重要详细信息摘要。如需详细检查所选实体,请点击查看实体详情,以在素材资源视图或用户视图中查看实体(具体取决于实体是素材资源还是用户)。如需了解详情,请参阅调查资产实体调查用户

使用实体分析功能研究实体

实体分析可让 SOC 分析师和威胁猎手详细了解实体的行为,包括实体的基准配置文件、异常情况和情境丰富信息。

在实体页面中,选择发现结果时间轴上最长 90 天的时间范围,然后点击查看所选内容的分析。系统随即会打开一个边栏,其中会显示与所选时间范围内与此实体相关联的分析数据。每个分析都会显示相应时间范围内所有分析值的汇总。检测到问题后,分析会包含相关提醒和检测的列表。您可以点击查看更多打开相应的提醒检测视图,以进一步检查问题。如需了解详情,请参阅调查提醒

系统提供以下实体分析:

  • 提醒事件名称计数
  • 身份验证尝试成功
  • 身份验证尝试失败
  • 身份验证尝试总次数
  • 出站 DNS 字节数
  • DNS 查询失败
  • DNS 查询成功
  • DNS 查询总数
  • 文件执行成功
  • 文件执行失败
  • 文件执行次数总计
  • HTTP 查询成功
  • HTTP 查询失败
  • HTTP 查询总数
  • 网络入站字节数
  • 网络出站字节数
  • 网络字节总数
  • Workspace 身份验证尝试总次数
  • Workspace 发送的电子邮件总数
  • Workspace 网络出站字节数
  • Workspace 网络字节总数
  • Workspace 总更改操作
  • Workspace 总下载操作次数

修改实体风险得分

当外部信息或事件影响实体的真实风险时,您可以更新实体的风险得分。

例如,您可以暂时降低刚刚完成红队演练(例如渗透测试)的员工的风险评分,这样分析师就不必浪费时间调查该员工风险增加的原因。您还可以暂时提高卷入法庭诉讼的员工的风险评分。

  1. 风险分析页面的实体表格中,将鼠标指针悬停在相应行最右侧的列上。您可能需要向右滚动屏幕。点击 more_vert

    然后,选择更新实体风险得分

  2. 更新实体风险得分对话框中,为以下各项配置值:

    • 乘法系数:可让您通过乘法系数(介于 0.0 到 100.0 之间)来提高或降低实体的风险得分。例如,如果您发现了有关某个实体的新证据,使该实体的风险增加了一倍,请将放大系数更新为 50,以反映该实体的真实风险因素。
    • 时间段:应用乘数的时间段。您可以选择立即,也可以选择 1 天14 天之间的时间。 如果您选择现在,放大系数将在当前风险计算窗口期内应用于实体风险得分。只有现有提醒和检测会纳入计算。当所选时间段结束时,对实体风险得分的更新即会停止,风险得分会恢复正常。
    • 原因:让您可以为其他用户留下有关此次更新原因的更多背景信息。从以下选项中进行选择:新证据风险信号不正确风险信号已发生变化合规性要求其他

如果您尝试进行的更改已完成(例如,您想将实体的乘法系数更新为 25%,但其他团队成员已完成此更改),系统会显示一个对话框,告知您更改已完成,并包含更改的具体信息,例如更改者和更改时间。

在实体详情中查看风险得分更新

您可以在实体付款资料页面查看实体的所有风险得分更新。

  1. 点击您要查看其风险得分更新历史记录的实体,以打开实体资料页面。
  2. 事件时间轴图表中,每当有人更改实体的风险信号时,系统都会显示白色文本的风险信号修改标签。
  3. 将指针悬停在相应文本上,系统会显示一个对话框,其中包含更改日期、用户和原因。

监控列表

通过监控列表页面,您可以监控整个企业中的特定实体。

  1. 在左侧导航栏中,点击检测
  2. 检测中,点击风险分析
  3. 点击观看列表标签页。

添加观看列表

如需向 Google 安全运营账号添加观察名单,请完成以下步骤。您最多可以配置 200 个观看列表。

  1. 点击创建观看列表
  2. 指定观看列表名称
  3. (可选)指定说明
  4. (可选)指定介于 0 到 100 之间的放大系数。默认值为 1。
  5. (可选)在窗口右侧的将实体添加到观察名单部分下方指定实体。您可以在此处添加以下实体类型:
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. 点击创建观看列表

固定观看列表

  1. 点击修改显示屏
  2. 点击要固定的观看列表旁边的复选框。
  3. 点击保存

取消固定观看列表

  1. 观看列表信息中心内,选择要取消固定的观看列表,然后选择 more_vert
  2. 点击从显示屏中移除

修改监控列表

  1. 观看列表信息中心内,选择要修改的观看列表,然后点击 more_vert 图标。
  2. 点击修改观看列表

删除观看列表

  1. 观看列表信息中心,选择要删除的观看列表,然后点击 more_vert
  2. 点击删除观看列表

将实体添加到观看列表

如需将实体添加到观察名单,您可以使用以下格式之一,逐行指定实体名称、类型和(可选)命名空间。

  • NAMETYPE

  • NAMETYPENAMESPACE

    TYPE 可以是下列选项之一:

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    只能为以下资产实体类型指定 NAMESPACE

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

例如:

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

此示例表示添加到观察名单中的两个实体:chronicle 命名空间下的资产 IP 地址 205.148.5.0 和主机名 website.com。一个监控列表中最多可以包含 10,000 个实体。

从观看列表中移除实体

如需从监控列表中移除实体,请移除代表要移除的实体的线条,然后点击保存

更改风险得分设置

实体风险得分页面中,您可以定义如何计算实体、提醒和检测的风险得分。在此页面上,您可以根据搜索的具体需求,自定义风险计算方式。

实体风险得分页面中,您可以更新以下三个字段:

如要更改上述任一设置,请按以下步骤操作:

  1. 在导航栏中,依次选择设置 > 实体风险信号
  2. 相应地更新风险得分。
  3. 点击保存。返回风险分析主页面后,您会在屏幕顶部看到一条消息,确认实体风险信号已发生更改。
  4. (可选)如需重新设置其中任何值,请点击相应值右侧的重置

更新仅适用于新的提醒和检测。所做更改最长可能需要 30 分钟才能生效。

实体风险得分权重

权重定义了提醒和检测风险得分对实体风险得分计算的贡献。权重是一个介于 0 到 1 之间的值,默认值为 0.2。

以下示例说明了不同数字对实体风险得分的计算有何影响:

  • 实体风险得分权重 0。原始风险得分是实体所有检测中的最高检测风险得分。
  • 实体风险得分权重 1。原始风险得分是实体所有检测风险得分的总和。
  • 实体风险得分权重 0.5。风险得分会为实体中风险得分最高的检测分配全权重,并为所有其他检测分配一半权重。

检测的默认风险得分

借助检测的默认风险得分,您可以为检测风险得分指定默认值。检测风险得分用于计算实体风险得分。检测的风险得分在编写规则时定义。如果规则中未定义风险信号,则系统会使用默认值。默认得分为 15,风险得分范围为 0-100。

提醒的默认风险得分

检测的默认风险得分类似,您可以使用此字段为警报风险得分分配默认值。如果规则中没有定义风险得分,则使用默认值 40。风险得分范围为 0-1000。

如需了解如何在规则中定义风险得分,请参阅“结果”部分的语法

已解决提醒系数

已解决提醒系数用于对分析师标记为“已解决”的提醒的风险得分进行修改。它是一个介于 0 到 1(包括 0 和 1)之间的浮点修饰符。默认值为 1.0,表示所有已打开和已关闭的提醒均会保留其原始得分。如果已关闭提醒系数的值为 0.0,则所有已关闭提醒的风险评分均为 0,并且不会再增加整个实体的风险评分。