风险分析常见问题解答

什么是风险分析？

“风险分析”信息中心可帮助您识别企业内实体的异常行为和潜在风险。它包含两个主要部分：行为分析和监控列表。

哪些人可以访问风险分析？

只有拥有相关权限的用户才能访问风险分析。如果贵组织使用数据 RBAC，您需要具有全局范围才能访问风险分析。

什么是行为分析？

“行为分析”部分会根据实体的 Google Security Operations 实体风险得分列出实体。它包含“摘要指标”部分，可根据 Google SecOps 实体风险建模提供风险实体的顶级视图，并跟踪风险得分最高的前 10,000 个实体。“实体”表会跟踪实体风险随时间的变化，从而补充风险得分，并为调查提供背景信息。

风险计算窗口如何运作？

借助风险计算窗口，用户可以更改信息中心的时间范围，从而分析不同时间段的数据。较短的时间范围（例如 24 小时）有助于发现暴力破解登录尝试等事件，而较长的时间范围（例如 7 天）有助于检查长期恶意活动。

我可以查看历史风险评分吗？

可以。您可以选择特定日期和时间来查看历史风险得分，系统会显示所选 24 小时或 7 天窗口期内计算出的风险。

什么是标准化风险得分？

归一化得分介于 1 到 1,000 之间，用于区分检测到实体的实体和未检测到实体的实体。

什么是基本风险得分？

基本得分的计算方式为：将风险窗口期内实体的所有发现结果（提醒和检测）的风险得分相加，并应用权重。

如何将权重应用于风险得分？

风险得分权重用于定义提醒和检测风险得分对实体风险得分计算的贡献程度，取值范围为 0 到 1，其中权重为 1 时对风险得分没有影响。默认加权值为 0.2，可在设置中修改。

基本实体风险得分是如何计算的？

基本实体风险得分的计算公式为：（发现结果的最高风险得分）+（权重 * [发现结果的其余风险得分总和]）。

提醒和检测的默认风险得分是多少？

提醒的默认风险得分为 40，检测的默认风险得分为 15。您可以在设置中或在规则内修改这些默认值。

什么是“已解决提醒系数”？

如果安全分析师将某个提醒标记为已解决，则该提醒的风险得分会乘以一个介于 0 到 1 之间的系数。

风险得分修改（有 TTL 和无 TTL）的工作方式

基本实体风险得分会根据时间范围乘以一个放大系数，检测风险得分也会乘以一个放大系数。这些因素由 Google SecOps 指定。

标准化风险得分是如何计算的？

基本实体风险得分使用最小-最大标准化方法进行标准化，范围为 1 到 1,000。风险得分为 0 的实体将被排除。

什么是“实体分析”页面？

点击“实体”表格中的实体名称会转到实体分析页面，其中会显示“事件范围”窗口、“发现结果时间轴”和详细的“发现结果”表格。“活动范围”窗口允许过滤最多 90 天的数据。

风险分析有哪些使用示例？

您可以使用风险分析来识别高数据下载量、可疑的登录失败次数或可能表明存在恶意软件的对话框消息。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。