Esta página foi traduzida pela API Cloud Translation.

Perguntas frequentes sobre análise de risco

Compatível com:

Google SecOps SIEM

O que é análise de dados de risco?

O painel de análise de risco ajuda a identificar comportamentos incomuns e possíveis riscos representados por entidades em uma empresa. Ele consiste em duas seções principais: análise comportamental e listas de observação.

Quem pode acessar a análise de risco?

Somente usuários com os privilégios relevantes podem acessar a análise de risco. Se a sua organização usa RBAC de dados, você precisa ter escopo global para acessar a análise de risco.

O que é análise comportamental?

A seção "Análise comportamental" lista as entidades com base nas pontuações de risco de entidade do Google Security Operations. Ela inclui uma seção "Métricas de resumo", que oferece uma visão geral das entidades de risco com base na modelagem de risco de entidade do Google SecOps, e rastreia até 10.000 entidades com as pontuações de risco mais altas. A tabela "Entidades" complementa a pontuação de risco ao rastrear o risco de uma entidade ao longo do tempo e fornece contexto para investigações.

Como funciona a janela de cálculo de risco?

A janela de cálculo de risco permite que os usuários mudem o período do painel, possibilitando a análise de dados em diferentes períodos. Períodos mais curtos, como 24 horas, ajudam a descobrir eventos como tentativas de login por força bruta, enquanto períodos mais longos, como 7 dias, ajudam a examinar atividades maliciosas de longo prazo.

Posso consultar pontuações de risco históricas?

Sim, é possível conferir as pontuações de risco históricas selecionando uma data e hora específicas, que mostram os riscos calculados para a janela de 24 horas ou 7 dias selecionada.

O que é uma pontuação de risco normalizada?

As pontuações normalizadas são definidas entre 1 e 1.000 para distinguir entidades com detecções daquelas sem.

O que são pontuações de risco básicas?

As pontuações básicas são calculadas adicionando as pontuações de risco em descobertas (alertas e detecções) para uma entidade durante a janela de risco, com ponderação aplicada.

Como a ponderação é aplicada às pontuações de risco?

A ponderação da pontuação de risco define como as pontuações de risco de alerta e detecção contribuem para os cálculos da pontuação de risco da entidade, com valores que variam de 0 a 1. Uma ponderação de 1 não tem impacto na pontuação de risco. O valor de ponderação padrão é 0.2 e pode ser modificado em Configurações.

Como a pontuação de risco básica da entidade é calculada?

A fórmula da pontuação de risco básica da entidade é: (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas)).

Quais são as pontuações de risco padrão para alertas e detecções?

A pontuação de risco padrão para alertas é 40 e para detecções é 15. É possível modificar esses padrões em Configurações ou nas regras.

O que é o coeficiente de alerta fechado?

Se um analista de segurança marcar um alerta como fechado, a pontuação de risco será multiplicada por um coeficiente que varia de 0 a 1 .

Como funcionam as modificações da pontuação de risco com e sem TTL?

A pontuação de risco básica da entidade é modificada por um fator de multiplicação para o período, e a pontuação de risco de detecção é modificada com um fator de multiplicação. Esses fatores são especificados pela Google SecOps.

Como as pontuações de risco normalizadas são calculadas?

As pontuações de risco da entidade básica são normalizadas usando a normalização mínimo-máximo e variam de 1 a 1.000. Entidades com pontuação de risco 0 são excluídas.

O que é a página "Análise de entidades"?

Ao clicar no nome de uma entidade na tabela "Entidades", você acessa a página Análise de entidades, que mostra uma janela de período de eventos, uma linha do tempo de descobertas e uma tabela detalhada de descobertas. A janela "Período do evento" permite filtrar até 90 dias.

Quais são alguns exemplos de como a análise de risco pode ser usada?

Use a análise de risco para identificar grandes volumes de downloads de dados, números suspeitos de tentativas de login com falha ou mensagens de caixa de diálogo que podem indicar malware.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.