風險分析常見問題

什麼是風險分析？

風險分析資訊主頁可協助您找出企業中實體的異常行為和潛在風險。主要分為兩個部分：行為分析和監控清單。

誰可以存取風險分析？

只有具備相關權限的使用者才能存取風險分析。如果貴機構使用資料 RBAC，您必須具備全域範圍，才能存取風險分析。

什麼是行為分析？

「行為分析」部分會根據 Google Security Operations 實體風險分數列出實體。這份報表包含「摘要指標」部分，可根據 Google SecOps 實體風險模型，提供高風險實體的高階檢視畫面，並追蹤最多 10,000 個風險評分最高的實體。「實體」表格會追蹤實體風險隨時間的變化，並提供調查背景資訊，與風險分數相輔相成。

風險計算時間範圍的運作方式

使用者可以透過「風險計算時間範圍」變更資訊主頁的時間範圍，分析不同時間範圍的資料。較短的時間範圍 (例如 24 小時) 有助於找出蠻力登入嘗試等事件，而較長的時間範圍 (例如 7 天) 則有助於檢查長期惡意活動。

可以查看歷來風險評分嗎？

可以，選取特定日期和時間即可查看過往的風險分數， 系統會顯示所選 24 小時或 7 天期間的風險計算結果。

什麼是正規化風險分數？

標準化分數介於 1 到 1,000 之間，可區分偵測到實體的項目和未偵測到的項目。

什麼是基本風險分數？

計算基本分數時，會將風險期間內實體發現項目 (警告和偵測項目) 的風險分數加總，並套用權重。

風險分數的權重如何套用？

風險分數權重： 定義警告和偵測項目風險分數對實體風險分數計算的影響，值介於 0 到 1 之間，權重為 1 時不會影響風險分數。預設權重值為 0.2，您可以在「設定」中修改。

基本實體風險分數的計算方式

基本實體風險分數的公式為：(發現項目的最高風險分數) + (權重 * (剩餘發現項目的風險分數總和))。

警告和偵測項目的預設風險分數為何？

警告的預設風險分數為 40，偵測項目的預設風險分數則為 15。您可以在「設定」或規則中修改這些預設值。

什麼是已結案警告係數？

如果安全分析師將快訊標示為「已結案」，系統會將快訊的風險分數乘以 0 到 1 之間的係數。

如何修改風險評分 (有存留時間和沒有存留時間)？

系統會根據時間範圍的乘數調整基本實體風險分數，並根據乘數調整偵測風險分數。這些因素由 Google SecOps 指定。

正規化風險分數的計算方式為何？

基本實體風險分數會使用最小值與最大值正規化法進行正規化，範圍介於 1 到 1,000。系統會排除風險分數為 0 的實體。

什麼是實體分析頁面？

按一下「實體」表格中的實體名稱，即可前往「實體 Analytics」頁面， 該頁面會顯示「事件範圍」視窗、「發現事項時間軸」和詳細的「發現事項」表格。「事件範圍」視窗最多可篩選 90 天的資料。

風險分析有哪些用途？

您可以使用風險分析功能，找出大量資料下載、登入失敗次數異常，或是可能表示有惡意軟體的對話方塊訊息。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。