リスク分析に関するよくある質問

リスク分析とは

リスク分析ダッシュボードは、企業内のエンティティによって引き起こされる異常な動作と潜在的なリスクを特定するのに役立ちます。行動分析とウォッチリストの 2 つのメイン セクションで構成されています。

リスク分析にアクセスできるユーザー

リスク分析にアクセスできるのは、関連する権限を持つユーザーのみです。組織でデータ RBAC を使用している場合は、リスク分析にアクセスするためにグローバル スコープが必要です。

行動分析とは

[Behavioral Analytics] セクションには、Google Security Operations のエンティティ リスクスコアに基づいてエンティティが一覧表示されます。[Summary Metrics] セクションには、Google SecOps エンティティのリスク モデリングに基づいてリスクの高いエンティティの概要が表示され、リスクスコアが最も高い最大 10,000 個のエンティティが追跡されます。[エンティティ] テーブルは、エンティティのリスクの経時的な追跡と調査のコンテキストの提供により、リスクスコアを補完します。

リスク計算ウィンドウの仕組み

[Risk Calculation Window] では、ダッシュボードの期間を変更して、さまざまな期間のデータを分析できます。24 時間などの短い期間は、ブルート フォース ログイン試行などのイベントの検出に役立ちます。一方、7 日間などの長い期間は、長期的な悪意のあるアクティビティの調査に役立ちます。

過去のリスクスコアを表示できますか？

はい。特定の日時を選択すると、過去のリスクスコアを表示できます。選択した 24 時間または 7 日間の期間について計算されたリスクが表示されます。

正規化されたリスクスコアとは

正規化されたスコアは 1～1,000 の範囲で設定され、検出されたエンティティと検出されていないエンティティを区別します。

ベース リスクスコアとは

基本スコアは、重み付けが適用されたリスク時間枠内でエンティティの検出結果（アラートと検出）全体のリスクスコアを加算して計算されます。

リスクスコアに重み付けはどのように適用されますか？

リスクスコアの重み付けでは、アラートと検出のリスクスコアがエンティティ リスクスコアの計算にどのように影響するかを定義します。値の範囲は 0～1 です。重み付けが 1 の場合、リスクスコアに影響はありません。デフォルトの重み付け値は 0.2 です。この値は [設定] で変更できます。

基本エンティティ リスクスコアはどのように計算されますか？

基本エンティティ リスクスコアの計算式は、（検出の最大リスクスコア）+（重み付け ×（検出の残りのリスクスコアの合計））です。

アラートと検出のデフォルトのリスクスコアとは

アラートのデフォルトのリスクスコアは 40、検出のデフォルトのリスクスコアは 15 です。これらのデフォルトは、[設定] またはルール内で変更できます。

終了アラート係数とは何ですか？

セキュリティ アナリストがアラートを [終了] としてマークすると、そのリスクスコアには 0～1 の係数が乗算されます。

TTL ありと TTL なしでのリスクスコアの変更の仕組み

基本エンティティ リスクスコアは時間範囲の乗数で変更され、検出リスクスコアは乗数で変更されます。これらの要素は Google SecOps によって指定されます。

正規化されたリスクスコアはどのように計算されますか？

基本エンティティ リスクスコアは、最小～最大の正規化を使用して正規化され、1～1,000 の範囲になります。リスクスコアが 0 のエンティティは除外されます。

エンティティ分析ページとは

[エンティティ] テーブルでエンティティ名をクリックすると、[エンティティ分析] ページに移動します。このページには、[イベント範囲] ウィンドウ、[検出結果のタイムライン]、[検出結果の詳細] テーブルが表示されます。[イベント範囲] ウィンドウでは、最大 90 日間のフィルタリングが可能です。

リスク分析の活用例を教えてください。

リスク分析を使用すると、データ ダウンロード量の増加、不審なログイン試行の失敗回数、マルウェアの可能性を示すダイアログ メッセージを特定できます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。