Présentation du score de risque

Compatible avec:

Les scores de risque sont utilisés dans l'ensemble des opérations de sécurité Google. La définition et la fonction de ces scores varient en fonction de la fonctionnalité que vous utilisez.

L'analyse des risques est disponible avec les licences Enterprise et Enterprise Plus, ou en tant que module complémentaire d'une licence autonome Google SecOps SIEM.

Entités dans l'analyse des risques

Cette section définit les concepts d'entité, de risque et de résultats tels qu'ils sont présentés dans le tableau de bord d'analyse des risques.

  • Entités: représentation contextuelle d'un élément ou d'un utilisateur dans votre environnement. Tous les événements associés aux entités fournissent du contexte sur le niveau de risque de l'entité. Pour en savoir plus, consultez Objets logiques: événement et entité.

  • Période de calcul du risque: permet de modifier la période du tableau de bord afin d'examiner les données sur différentes périodes. Par exemple, vous pouvez identifier les tentatives de connexion par force brute en utilisant la période la plus courte ou examiner les activités malveillantes à long terme en définissant la période la plus longue.

  • Normalisé: les scores normalisés sont compris entre 1 et 1 000 pour distinguer les entités sans score des entités qui ont des détections au cours de la période de risque.

  • Tendance normalisée: variation du score de risque normalisé de l'entité depuis la période précédente.

  • Base: les scores de base sont calculés en ajoutant les scores de risque pour tous les résultats (alertes et détections) d'une entité pendant la période de calcul du risque, avec une pondération appliquée. Si la valeur de pondération est 1, la pondération n'a aucun impact. Pour en savoir plus, consultez la section Score de risque des entités.

  • Variation de base: variation du score de risque de base de l'entité depuis la période précédente.

  • Première/dernière apparition pendant la période: code temporel correspondant au moment où l'entité est apparue pour la première ou la dernière fois dans un résultat (alerte ou détection) pour la période spécifiée dans la période de risque.

Résultats de l'analyse des risques

Les termes suivants sont utilisés sur la page de profil de l'entité (cliquez sur une entité dans le tableau des entités pour l'ouvrir sur la page de profil de l'entité).

  • Résultat: nombre de résultats (alertes et détections) incluant cette entité pour la période de la période de calcul du risque.

  • Gravité: la gravité est définie par la source lors de la création d'un résultat.

  • Priorité: la priorité est définie par la source lors de la création d'un résultat.

  • Score de risque: les scores de risque sont définis par la source lors de la création d'un résultat. Si les scores de risque ne sont pas définis, le score de risque par défaut pour les alertes et les détections est utilisé. Le score de risque par défaut des alertes est de 40. Le score de risque par défaut des détections est de 15.

Calcul du score de risque

Le calcul du score de risque pour chaque entité est basé sur le score de risque des résultats et est modifié en fonction d'un ensemble de paramètres que vous pouvez spécifier et d'un ensemble de paramètres contrôlés par Google Security Operations. Pour accéder aux paramètres que vous pouvez contrôler, accédez à la barre de navigation, puis cliquez sur Settings > Entity risk scores (Paramètres > Scores de risque des entités) :

  • Coefficient d'alerte clôturée: si les analystes de sécurité marquent une alerte comme clôturée, elle est multipliée par ce modificateur à virgule flottante. La plage est comprise entre 0 et 1. La valeur par défaut est de 1.

  • Score de risque des détections par défaut: spécifiez le score de risque des détections dans le moteur de règles. La plage est comprise entre 0 et 1 000. La valeur par défaut est 15.

Les paramètres suivants sont spécifiés par Google Security Operations:

  • Modification du score de risque avec TTL: le score de risque de base de l'entité est modifié par un facteur de multiplication pour la période.

  • Modification du score de risque sans TTL: le score de risque de détection est modifié à l'aide d'un facteur multiplicateur.

Voici les formules utilisées pour calculer le score de risque et le score de risque normalisé:

  • Calcul du score de risque: (score de risque de base de l'entité) = (score de risque maximal pour le résultat) + (pondération * (somme des scores de risque restants pour les résultats))

  • Score de risque normalisé: les scores de risque de base des entités sont normalisés pour toutes les entités. Le score de risque de base de l'entité utilise la normalisation min-max et varie de 1 à 1 000. Les entités sans risque ne sont pas incluses.

Exemple: calcul du score de risque

Voici la séquence complète de calcul d'un score de détection de risque pour une entité:

  1. Données: les détections sont regroupées par indicateur.
  2. (Facultatif) Coefficient d'alerte clôturée: si le score de risque de détection concerne une alerte clôturée, il est multiplié par le coefficient d'alerte clôturée.
  3. (Facultatif) Modification du score de risque par défaut Si ce n'est pas explicitement défini dans une règle, le score de risque de détection par défaut est appliqué. Vous pouvez modifier les scores de risque des détections avec ou sans alerte par défaut dans les paramètres des scores de risque des entités.
  4. Calcul du score de risque: le facteur de pondération est multiplié par la somme de toutes les détections (à l'exception du score de risque de détection maximal), puis ajouté au score de risque de détection maximal. Cette valeur représente le score de risque brut de l'entité.
  5. Pondération de modification: le score de risque brut de l'entité est multiplié par la pondération de modification. Cette modification est une opération ponctuelle, sauf si un TTL est défini. Cette valeur correspond au score de risque de base de l'entité.
  6. Pondération de la liste de surveillance: si une entité fait partie d'une liste de surveillance, la pondération de la liste de surveillance est ajoutée au score de risque de détection.
  7. Score de risque normalisé: le score de risque de base de l'entité est normalisé pour toutes les entités à l'aide de la normalisation min-max.

Paramètres du score de risque

La page Scores de risque des entités vous permet de définir comment les scores de risque sont calculés pour les entités, les alertes et les détections. Vous pouvez appliquer une pondération aux calculs du score de risque des entités, et définir des scores de risque par défaut pour les alertes et les détections. Les modifications ne s'appliquent qu'aux nouvelles alertes et détections. Cela peut prendre jusqu'à 30 minutes.

  • Pondération du score de risque des entités: la pondération définit la façon dont les scores de risque des alertes et des détections sont pris en compte dans le calcul du score de risque des entités. Le pondération est une valeur comprise entre 0 et 1. La formule du score de risque de base de l'entité est définie comme suit:

    Score de risque de base de l'entité = (score de risque maximal pour le résultat) + (pondération * (somme des scores de risque restants pour les résultats))

  • Scores de risque par défaut pour les alertes: spécifiez le score de risque par défaut des alertes sur la page Settings (Paramètres). La valeur par défaut est 40. Vous pouvez modifier les scores de risque des alertes individuelles dans les règles elles-mêmes. Ils remplacent les valeurs par défaut configurées sur la page Paramètres.

  • Scores de risque par défaut pour les détections: spécifiez le score de risque de détection par défaut sur la page Settings (Paramètres). La valeur par défaut est 15. Vous pouvez modifier les scores de risque de détection individuels dans les règles elles-mêmes. Ils remplacent tous les paramètres par défaut configurés sur la page Settings (Paramètres).