Cette page a été traduite par l'API Cloud Translation.

Questions fréquentes sur l'analyse des risques

Compatible avec :

Google SecOps SIEM

Qu'est-ce que l'analyse des risques ?

Le tableau de bord "Analyse des risques" vous aide à identifier les comportements inhabituels et les risques potentiels posés par les entités au sein d'une entreprise. Il se compose de deux sections principales : "Analyse du comportement" et Listes de surveillance.

Qui peut accéder à l'analyse des risques ?

Seuls les utilisateurs disposant des droits appropriés peuvent accéder à Risk Analytics. Si votre organisation utilise le RBAC des données, vous devez disposer d'un champ d'application global pour accéder aux analyses des risques.

Qu'est-ce que l'analyse comportementale ?

La section "Analyse comportementale" liste les entités en fonction de leurs scores de risque d'entité Google Security Operations. Elle inclut une section "Métriques récapitulatives" qui offre une vue globale des entités à risque en fonction de la modélisation des risques des entités Google SecOps. Elle permet de suivre jusqu'à 10 000 entités présentant les scores de risque les plus élevés. Le tableau "Entités" complète le score de risque en suivant le risque d'une entité au fil du temps et fournit un contexte pour les investigations.

Comment fonctionne la période de calcul du risque ?

La période de calcul du risque permet aux utilisateurs de modifier le calendrier du tableau de bord, ce qui permet d'analyser les données sur différentes périodes. Les périodes plus courtes, comme 24 heures, permettent de détecter des événements tels que les tentatives de connexion par force brute, tandis que les périodes plus longues, comme 7 jours, aident à examiner les activités malveillantes à long terme.

Puis-je consulter les scores de risque historiques ?

Oui, vous pouvez afficher les scores de risque historiques en sélectionnant une date et une heure spécifiques. Les risques calculés pour la période de 24 heures ou de 7 jours sélectionnée s'affichent alors.

Qu'est-ce qu'un score de risque normalisé ?

Les scores normalisés sont définis entre 1 et 1 000 pour distinguer les entités avec détections de celles sans détection.

Que sont les scores de risque de base ?

Les scores de base sont calculés en additionnant les scores de risque des résultats (alertes et détections) pour une entité au cours de la période de risque, avec une pondération appliquée.

Comment la pondération est-elle appliquée aux scores de risque ?

La pondération du score de risque définit la contribution des scores de risque des alertes et des détections aux calculs du score de risque des entités. Les valeurs sont comprises entre 0 et 1, où une pondération de 1 n'a aucun impact sur le score de risque. La valeur de pondération par défaut est 0.2. Vous pouvez la modifier dans Paramètres.

Comment le score de risque de base de l'entité est-il calculé ?

La formule du score de risque de base de l'entité est la suivante : (score de risque maximal pour le résultat) + (pondération * (somme des scores de risque restants pour les résultats)).

Que sont les scores de risque par défaut pour les alertes et les détections ?

Le score de risque par défaut pour les alertes est de 40 et celui pour les détections est de 15. Vous pouvez modifier ces valeurs par défaut dans les paramètres ou dans les règles.

Qu'est-ce que le coefficient d'alerte clôturée ?

Si un analyste de la sécurité marque une alerte comme clôturée, son score de risque est multiplié par un coefficient compris entre 0 et 1 .

Comment fonctionnent les modifications du score de risque avec et sans TTL ?

Le score de risque de base de l'entité est modifié par un facteur de multiplication pour la période, et le score de risque de détection est modifié par un facteur de multiplication. Ces facteurs sont spécifiés par Google SecOps.

Comment les scores de risque normalisés sont-ils calculés ?

Les scores de risque de base des entités sont normalisés à l'aide de la normalisation min-max et sont compris entre 1 et 1 000. Les entités dont le score de risque est de 0 sont exclues.

Qu'est-ce que la page "Analyse des entités" ?

Si vous cliquez sur le nom d'une entité dans le tableau "Entités", vous êtes redirigé vers la page Analytics des entités, qui affiche une fenêtre "Période de l'événement", une chronologie des résultats et un tableau détaillé des résultats. La fenêtre "Période de l'événement" permet de filtrer les données sur une période de 90 jours maximum.

Quels sont quelques exemples d'utilisation de l'analyse des risques ?

Vous pouvez utiliser Risk Analytics pour identifier les volumes de téléchargement de données élevés, le nombre suspect de tentatives de connexion infructueuses ou les messages de boîte de dialogue pouvant indiquer la présence de logiciels malveillants.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.