Häufig gestellte Fragen zu Risikoanalysen
Was sind Risikoanalysen?
Mit dem Dashboard für Risikoanalysen können Sie ungewöhnliches Verhalten und potenzielle Risiken erkennen, die von Entitäten in einem Unternehmen ausgehen. Er besteht aus zwei Hauptbereichen: Verhaltensanalyse und Beobachtungslisten.
Wer kann auf Risikoanalysen zugreifen?
Nur Nutzer mit den entsprechenden Berechtigungen können auf Risk Analytics zugreifen. Wenn Ihre Organisation rollenbasierte Zugriffssteuerung für Daten verwendet, benötigen Sie den globalen Bereich, um auf Risikoanalysen zuzugreifen.
Was sind Verhaltensanalysen?
Im Bereich „Verhaltensanalyse“ werden Entitäten anhand ihrer Risikobewertungen für Entitäten in Google Security Operations aufgeführt. Er enthält einen Abschnitt mit Zusammenfassungsmesswerten, der eine Übersicht über riskante Einheiten basierend auf der Google SecOps-Risikomodellierung für Einheiten bietet und bis zu 10.000 Einheiten mit den höchsten Risikobewertungen verfolgt. Die Tabelle „Entitäten“ ergänzt die Risikobewertung, indem sie das Entitätenrisiko im Zeitverlauf verfolgt und Kontext für Untersuchungen bietet.
Wie funktioniert das Risikoberechnungsfenster?
Mit dem Zeitraum für die Risikoberechnung können Nutzer den Zeitraum für das Dashboard ändern und Daten über verschiedene Zeiträume hinweg analysieren. Kürzere Zeiträume wie 24 Stunden helfen, Ereignisse wie Brute-Force-Anmeldeversuche aufzudecken, während längere Zeiträume wie 7 Tage bei der Untersuchung langfristiger schädlicher Aktivitäten hilfreich sind.
Kann ich mir frühere Risikobewertungen ansehen?
Ja. Sie können historische Risikobewertungen aufrufen, indem Sie ein bestimmtes Datum und eine bestimmte Uhrzeit auswählen. Daraufhin werden die Risiken angezeigt, die für das ausgewählte 24‑Stunden- oder 7‑Tage-Fenster berechnet wurden.
Was ist ein normalisierter Risikowert?
Normalisierte Werte werden zwischen 1 und 1.000 festgelegt,um Entitäten mit erkannten Verstößen von solchen ohne erkannte Verstöße zu unterscheiden.
Was sind Basisrisikowerte?
Die Basisbewertungen werden berechnet, indem die Risikobewertungen für alle Ergebnisse (Benachrichtigungen und Erkennungen) für eine Entität während des Risikofensters addiert werden, wobei eine Gewichtung angewendet wird.
Wie wird die Gewichtung auf Risikobewertungen angewendet?
Mit der Gewichtung der Risikobewertung wird festgelegt, wie Risikobewertungen für Benachrichtigungen und Erkennungen zur Berechnung der Risikobewertung für Entitäten beitragen. Die Werte reichen von 0
bis 1
. Eine Gewichtung von 1
hat keine Auswirkungen auf die Risikobewertung. Der Standardwert für die Gewichtung ist 0.2
und kann in den Einstellungen geändert werden.
Wie wird der Risikowert für Basisentitäten berechnet?
Die Formel für den Risikowert für Basisentitäten lautet: (Maximaler Risikowert für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse)).
Was sind die Standardrisikobewertungen für Benachrichtigungen und Erkennungen?
Die Standardrisikobewertung für Benachrichtigungen ist 40 und für Erkennungen 15. Sie können diese Standardeinstellungen in den Einstellungen oder in Regeln ändern.
Was ist der Koeffizient für geschlossene Benachrichtigungen?
Wenn ein Sicherheitsanalyst eine Benachrichtigung als geschlossen markiert, wird ihr Risikowert mit einem Koeffizienten zwischen 0 und 1 multipliziert .
Wie funktionieren Änderungen am Risikowert mit und ohne TTL?
Die Basisrisikobewertung für Entitäten wird durch einen Multiplikationsfaktor für den Zeitraum und die Risikobewertung für Erkennungen durch einen Multiplikationsfaktor angepasst. Diese Faktoren werden von Google SecOps angegeben.
Wie werden normalisierte Risikobewertungen berechnet?
Die Basisentitätsrisikobewertungen werden mit der Min-Max-Normalisierung normalisiert und liegen zwischen 1 und 1.000. Entitäten mit einer Risikobewertung von 0 werden ausgeschlossen.
Was ist die Seite „Entitätsanalysen“?
Wenn Sie in der Tabelle „Entitäten“ auf einen Entitätsnamen klicken, gelangen Sie zur Seite Entitätenanalyse. Dort sehen Sie ein Zeitfenster für Ereignisse, eine Zeitachse für Ergebnisse und eine detaillierte Ergebnistabelle. Im Fenster „Ereignisbereich“ können Sie bis zu 90 Tage filtern.
Was sind einige Beispiele für die Verwendung von Risk Analytics?
Mit Risk Analytics können Sie hohe Daten-Downloadvolumen, verdächtige Anzahlen fehlgeschlagener Anmeldeversuche oder Dialogfelder erkennen, die auf Malware hinweisen.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten