Übersicht über Risikoanalysen

Unterstützt in:

Mit Risk Analytics lassen sich ungewöhnliche Verhaltensweisen erkennen und das potenzielle Risiko ermitteln, das Einheiten für Ihr Unternehmen darstellen. In Systemen, in denen die rollenbasierte Zugriffssteuerung (RBAC) für Daten verwendet wird, können nur Nutzer mit globalem Bereich auf Risikoanalysen zugreifen. Das Dashboard „Risikoanalyse“ besteht aus dem Bereich „Verhaltensanalyse“, in dem Entitäten anhand der Risikobewertungen von Google Security Operations Entities aufgeführt werden, und dem Bereich „Beobachtungsliste“, in dem Entitäten anhand interner Unternehmensrisikoberechnungen aufgeführt werden.

Risikobewertungen werden in Google SecOps verwendet. Die Definition und Funktion dieser Werte variieren je nachdem, welche Funktion Sie verwenden.

Risk Analytics ist mit Enterprise- und Enterprise Plus-Lizenzen oder als Add-on für eine eigenständige Google SecOps SIEM-Lizenz verfügbar.

Einheiten, Risiken und Ergebnisse in Risk Analytics

In diesem Abschnitt werden die Konzepte von Entitäten, Risiko und Ergebnissen definiert, wie sie im Dashboard für Risikoanalysen dargestellt werden.

  • Entitäten: Kontextbezogene Darstellung eines Assets oder Nutzers in Ihrer Umgebung. Alle Ereignisse, die mit Entitäten verknüpft sind, liefern Kontext dazu, wie riskant die Entität ist. Weitere Informationen finden Sie unter Logische Objekte: Ereignis und Entität.

  • Zeitfenster für die Risikoberechnung: Hier können Sie den Zeitraum für das Dashboard ändern und Daten für verschiedene Zeiträume ansehen. So können Sie beispielsweise Brute-Force-Anmeldeversuche aufdecken, indem Sie das kürzere Zeitfenster verwenden, oder längerfristige schädliche Aktivitäten erkennen, indem Sie das längere Zeitfenster festlegen.

  • Normalisiert: Normalisierte Werte werden zwischen 1 und 1.000 festgelegt, um die Entitäten ohne Werte von den Entitäten mit erkannten Risiken im Risikofenster zu unterscheiden.

  • Normalisierter Trend: Änderung der normalisierten Risikobewertung für die Entität seit dem vorherigen Fenster.

  • Basis: Basisbewertungen werden berechnet, indem die Risikobewertungen für Ergebnisse (Benachrichtigungen und Erkennungen) für eine Entität während des Risikofensters addiert werden, wobei eine Gewichtung angewendet wird.

    Die Gewichtung definiert, wie Risikobewertungen für Benachrichtigungen und Erkennungen zur Berechnung von Risikobewertungen für Entitäten beitragen. Die Gewichtung kann einen Wert zwischen 0 und 1 annehmen.
    Wenn der Gewichtungswert 1 ist, hat die Gewichtung keine Auswirkungen. Alle anderen Werte sind Prozentsätze (z. B. entspricht 0,5 50%). Der Standardwert für die Gewichtung ist 0,2 und kann in den Einstellungen geändert werden. Weitere Informationen finden Sie unter Gewichtung von Entitätsrisikobewertungen.

  • Basisänderung: Änderung der Basisrisikobewertung für die Entität seit dem vorherigen Fenster.

  • Zuerst/zuletzt im Fenster gefunden: Zeitstempel, der angibt, wann die Entität zum ersten oder letzten Mal in einem Ergebnis (Benachrichtigung oder Erkennung) für den im Risikofenster angegebenen Zeitraum gefunden wurde.

Ergebnisse in Risikoanalysen

Die folgenden Begriffe werden auf der Seite „Ergebnisse“ verwendet. Klicken Sie in der Tabelle „Entitäten“ auf eine Entität, um sie auf der Seite „Ergebnisse“ zu öffnen.

  • Ergebnisse: Anzahl der Ergebnisse (Benachrichtigungen und Erkennungen), in denen diese Entität für den Zeitraum im Risikofenster vorkommt.

  • Schweregrad: Der Schweregrad wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.

  • Priorität: Die Priorität wird von der Quelle festgelegt, wenn ein Ergebnis erstellt wird.

  • Risikobewertung: Risikobewertungen werden von der Quelle festgelegt, wenn ein Ergebnis erstellt wird. Wenn die Risikobewertungen nicht festgelegt sind, wird die Standardrisikobewertung für Benachrichtigungen und Erkennungen verwendet. Die Standardrisikobewertung für Benachrichtigungen ist 40. Die Standardrisikobewertung für Erkennungen ist 15.

Berechnung der Risikobewertung

Die Berechnung des Risikowerts für jede Einheit basiert auf dem Risikowert der Ergebnisse und wird anhand einer Reihe von Parametern, die Sie angeben können, und einer Reihe von Parametern, die von Google SecOps gesteuert werden, angepasst. Die Parameter, die Sie steuern können, sind über die Navigationsleiste unter Einstellungen > Risikobewertungen für Rechtssubjekte verfügbar:

  • Koeffizient für geschlossene Benachrichtigungen: Wenn die Sicherheitsanalysten eine Benachrichtigung als geschlossen markieren, wird sie mit diesem Gleitkomma-Modifikator multipliziert. Der Bereich liegt zwischen 0 und 1. Der Standardwert ist 1.

  • Standardrisikobewertung für Erkennungen: Geben Sie die Risikobewertung für Erkennungen in der Regel-Engine an. Der Bereich liegt zwischen 0 und 1.000. Der Standardwert ist 15.

Die folgenden Parameter werden von Google SecOps angegeben:

  • Änderung der Risikobewertung mit TTL: Die Basisrisikobewertung für Entitäten wird durch einen Multiplikationsfaktor für den Zeitraum geändert.

  • Änderung der Risikobewertung ohne TTL: Die Risikobewertung für die Erkennung wird mit einem Multiplikationsfaktor geändert.

Die folgenden Formeln werden zur Berechnung des Risikowerts und des normalisierten Risikowerts verwendet:

  • Berechnung des Risikowerts: (Risikowert für Basisentität) = (Maximaler Risikowert für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikowerte für die Ergebnisse))

  • Normalisierter Risikowert: Risikowerte für Basisentitäten werden für alle Entitäten normalisiert. Für den Risikowert für Basisentitäten wird die Min-Max-Normalisierung verwendet. Er liegt zwischen 1 und 1.000. Entitäten mit dem Risiko „0“ sind nicht enthalten.

Beispiel: Berechnung der Risikobewertung

Im Folgenden wird die vollständige Sequenz für die Berechnung einer Risikobewertung für eine Entität beschrieben:

  1. Eingabe: Die erkannten Elemente werden nach Indikator gruppiert.
  2. (Optional) Koeffizient für geschlossene Benachrichtigungen: Wenn die Risikobewertung für die Erkennung für eine geschlossene Benachrichtigung gilt, wird sie mit dem Koeffizienten für geschlossene Benachrichtigungen multipliziert.
  3. (Optional) Standardänderung der Risikobewertung: Wenn sie nicht explizit in einer Regel festgelegt ist, wird die Standardrisikobewertung für Erkennungen angewendet. Standardrisikobewertungen für Erkennungen mit oder ohne Benachrichtigungen können in den Einstellungen für Risikobewertungen für Entitäten geändert werden.
  4. Berechnung des Risikowerts: Der Gewichtungsfaktor wird mit der Summe aller Erkennungen (mit Ausnahme des maximalen Risikowerts für die Erkennung) multipliziert und dann zum maximalen Risikowert für die Erkennung addiert. Dieser Wert stellt den Rohwert für das Risiko der Einheit dar.
  5. Gewichtung der Änderung: Die Rohrisikobewertung für Entitäten wird mit der Gewichtung der Änderung multipliziert. Diese Änderung ist ein einmaliger Vorgang, sofern keine TTL festgelegt ist. Dieser Wert ist der Risikowert für die Basisentität.
  6. Gewichtung der Beobachtungsliste: Wenn eine Entität Teil einer Beobachtungsliste ist, wird die Gewichtung der Beobachtungsliste der Risikobewertung für die Erkennung hinzugefügt.
  7. Normalisierter Risikowert: Der Risikowert für die Basisentität wird mithilfe der Min-Max-Normalisierung für alle Entitäten normalisiert.

Einstellungen für Risikobewertungen

Auf der Seite Risikobewertungen für Entitäten können Sie definieren, wie Risikobewertungen für Entitäten, Benachrichtigungen und Erkennungen berechnet werden. Sie können eine Gewichtung auf Berechnungen von Risikobewertungen für Entitäten anwenden und Standardrisikobewertungen für Benachrichtigungen und Erkennungen festlegen. Änderungen gelten nur für neue Benachrichtigungen und Erkennungen. Es kann bis zu 30 Minuten dauern, bis sie wirksam werden.

  • Gewichtung der Risikobewertung für Entitäten: Die Gewichtung definiert, wie Risikobewertungen für Benachrichtigungen und Erkennungen in die Berechnungen der Risikobewertung für Entitäten einfließen. Die Gewichtung ist ein Wert zwischen 0 und 1. Die Formel für den Risikowert für Basisentitäten ist so definiert:

    Risikowert für Basisentität = (Maximale Risikobewertung für das Ergebnis) + (Gewichtung × (Summe der verbleibenden Risikobewertungen für die Ergebnisse))

  • Standardrisikobewertungen für Benachrichtigungen: Geben Sie die Standardrisikobewertung für Benachrichtigungen auf der Seite Einstellungen an. Der Standardwert ist 40. Sie können einzelne Risikobewertungen für Benachrichtigungen in den Regeln selbst ändern. Sie überschreiben alle Standardeinstellungen, die auf der Seite Einstellungen konfiguriert sind.

  • Standardrisikobewertungen für Erkennungen: Legen Sie auf der Seite Einstellungen die Standardrisikobewertung für Erkennungen fest. Der Standardwert ist 15. Sie können einzelne Werte für das Erkennungsrisiko in den Regeln selbst ändern. Sie überschreiben alle Standardeinstellungen, die auf der Seite Einstellungen konfiguriert sind.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten