Questa pagina è stata tradotta dall'API Cloud Translation.

Domande frequenti sull'analisi dei rischi

Supportato in:

Google secops SIEM

Che cos'è l'analisi del rischio?

La dashboard Analisi del rischio ti aiuta a identificare comportamenti insoliti e potenziali rischi posti dalle entità all'interno di un'azienda. Si compone di due sezioni principali: Analisi comportamentale e Watchlist.

Chi può accedere ad Analisi del rischio?

Solo gli utenti con i privilegi pertinenti possono accedere a Risk Analytics. Se la tua organizzazione utilizza il controllo dell'accesso basato sui ruoli per i dati, devi disporre dell'ambito globale per accedere all'analisi del rischio.

Che cos'è l'analisi comportamentale?

La sezione Analisi comportamentale elenca le entità in base ai loro punteggi di rischio delle entità di Google Security Operations. Include una sezione Metriche riepilogative, che fornisce una visione di primo livello delle entità a rischio in base alla modellazione del rischio delle entità di Google SecOps e monitora fino a 10.000 entità con i punteggi di rischio più elevati. La tabella Entità integra il punteggio di rischio monitorando il rischio di un'entità nel tempo e fornisce il contesto per le indagini.

Come funziona la finestra di calcolo del rischio?

La finestra di calcolo del rischio consente agli utenti di modificare il periodo di tempo della dashboard, consentendo l'analisi dei dati in periodi diversi. Periodi di tempo più brevi, ad esempio 24 ore, aiutano a scoprire eventi come i tentativi di accesso con attacco di forza bruta, mentre periodi di tempo più lunghi, ad esempio 7 giorni, aiutano a esaminare attività dannose a lungo termine.

Posso visualizzare i punteggi di rischio storici?

Sì, puoi visualizzare i punteggi di rischio storici selezionando una data e un'ora specifiche, che mostrano i rischi calcolati per la finestra di 24 ore o 7 giorni selezionata.

Che cos'è un punteggio di rischio normalizzato?

I punteggi normalizzati sono compresi tra 1 e 1000 per distinguere le entità con rilevamenti da quelle senza.

Che cosa sono i punteggi di rischio di base?

I punteggi di base vengono calcolati sommando i punteggi di rischio dei risultati (avvisi e rilevamenti) per un'entità durante la finestra di rischio, con la ponderazione applicata.

Come viene applicata la ponderazione ai punteggi di rischio?

La ponderazione del punteggio di rischio definisce il modo in cui i punteggi di rischio di avvisi e rilevamenti contribuiscono ai calcoli del punteggio di rischio dell'entità, con valori compresi tra 0 e 1, dove una ponderazione di 1 non ha alcun impatto sul punteggio di rischio. Il valore di ponderazione predefinito è 0.2 e può essere modificato in Impostazioni.

Come viene calcolato il punteggio di rischio dell'entità di base?

La formula per il punteggio di rischio di base dell'entità è: (Punteggio di rischio massimo per il risultato) + (Ponderazione * (Somma dei punteggi di rischio per i risultati rimanenti)).

Quali sono i punteggi di rischio predefiniti per avvisi e rilevamenti?

Il punteggio di rischio predefinito per gli avvisi è 40 e per i rilevamenti è 15. Puoi modificare questi valori predefiniti nelle Impostazioni o all'interno delle regole.

Che cos'è il coefficiente di avviso chiuso?

Se un analista della sicurezza contrassegna un avviso come chiuso, il suo punteggio di rischio viene moltiplicato per un coefficiente compreso tra 0 e 1 .

Come funzionano le modifiche al punteggio di rischio con e senza TTL?

Il punteggio di rischio di base dell'entità viene modificato da un fattore di moltiplicazione per l'intervallo di tempo, mentre il punteggio di rischio dei rilevamenti viene modificato con un fattore di moltiplicazione. Questi fattori sono specificati da Google SecOps.

Come vengono calcolati i punteggi di rischio normalizzati?

I punteggi di rischio di base dell'entità vengono normalizzati utilizzando la normalizzazione min-max e l'intervallo da 1 a 1000. Le entità con un punteggio di rischio pari a 0 vengono escluse.

Che cos'è la pagina Analisi delle entità?

Se fai clic sul nome di un'entità nella tabella Entità, viene visualizzata la pagina Analisi delle entità, che mostra una finestra Intervallo di eventi, una cronologia dei risultati e una tabella dettagliata dei risultati. La finestra Intervallo eventi consente di filtrare fino a 90 giorni.

Quali sono alcuni esempi di utilizzo di Risk Analytics?

Puoi utilizzare Risk Analytics per identificare volumi elevati di download di dati, numeri sospetti di tentativi di accesso non riusciti o messaggi di dialogo che potrebbero indicare la presenza di malware.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.