Présentation de l'analyse des risques

Compatible avec :

Risk Analytics permet d'identifier les comportements inhabituels et de comprendre le risque potentiel que les entités représentent pour votre entreprise. Sur les systèmes qui utilisent le RBAC des données, seuls les utilisateurs disposant d'un champ d'application global peuvent accéder aux analyses des risques. Le tableau de bord "Analyse des risques" se compose d'une section "Analyse comportementale", qui liste les entités en fonction des scores de risque des entités Google Security Operations, et d'une section "Liste de surveillance", qui liste les entités en fonction des calculs de risque internes à l'entreprise.

Les scores de risque sont utilisés dans l'ensemble de Google SecOps. La définition et la fonction de ces scores varient en fonction de la fonctionnalité que vous utilisez.

Risk Analytics est disponible avec les licences Enterprise et Enterprise Plus, ou en tant que module complémentaire à une licence autonome Google SecOps SIEM.

Entités, risques et résultats dans l'analyse des risques

Cette section définit les concepts d'entités, de risques et de résultats tels qu'ils sont présentés dans le tableau de bord "Analyse des risques".

  • Entités : représentation contextuelle d'un composant ou d'un utilisateur dans votre environnement. Tous les événements associés aux entités fournissent un contexte sur le niveau de risque de l'entité. Pour en savoir plus, consultez Objets logiques : événement et entité.

  • Période de calcul du risque : vous permet de modifier la période du tableau de bord, ce qui vous permet d'examiner les données sur différentes périodes. Par exemple, vous pouvez découvrir les tentatives de connexion par force brute en utilisant la période la plus courte ou examiner les activités malveillantes à long terme en définissant la période la plus longue.

  • Normalisé : les scores normalisés sont définis entre 1 et 1 000 pour distinguer les entités sans score de celles qui ont des détections au cours de la période à risque.

  • Tendance normalisée : variation du score de risque normalisé de l'entité depuis la période précédente.

  • Base : les scores de base sont calculés en additionnant les scores de risque des résultats (alertes et détections) pour une entité pendant la période de risque, avec une pondération appliquée.

    La pondération définit la façon dont les scores de risque des alertes et des détections contribuent aux calculs du score de risque des entités. La pondération peut prendre une valeur comprise entre 0 et 1.
    Si la valeur de pondération est définie sur 1, la pondération n'aura aucun impact. Toutes les autres valeurs sont des pourcentages (par exemple, 0,5 équivaut à 50 %). La pondération par défaut est de 0,2 et peut être modifiée dans les paramètres. Pour en savoir plus, consultez Pondération du score de risque des entités.

  • Variation de base : variation du score de risque de base de l'entité depuis la période précédente.

  • Première/dernière apparition dans la période : code temporel correspondant au moment où l'entité est apparue pour la première ou la dernière fois dans un résultat (alerte ou détection) pour la période spécifiée dans la période de risque.

Résultats dans l'analyse des risques

Les termes suivants sont utilisés sur la page "Résultats" (cliquez sur une entité dans le tableau des entités pour l'ouvrir sur la page "Résultats").

  • Résultats : nombre de résultats (alertes et détections) comprenant cette entité pour la période dans la fenêtre de risque.

  • Gravité : le niveau de gravité est défini par la source à la création d'un résultat.

  • Priorité : la priorité est définie par la source à la création d'un résultat.

  • Score de risque : les scores de risque sont définis par la source à la création d'un résultat. Si les scores de risque ne sont pas définis, le score de risque par défaut pour les alertes et les détections est utilisé. Le score de risque par défaut pour les alertes est de 40. Le score de risque par défaut pour les détections est de 15.

Calcul du score de risque

Le calcul du score de risque pour chaque entité est basé sur le score de risque des résultats. Il est modifié en fonction d'un ensemble de paramètres que vous pouvez spécifier et d'un ensemble de paramètres contrôlés par Google SecOps. Les paramètres que vous pouvez contrôler sont accessibles en accédant à la barre de navigation et en cliquant sur Paramètres > Scores de risque des entités :

  • Coefficient d'alerte clôturée : si les analystes de sécurité marquent une alerte comme clôturée, elle est multipliée par ce modificateur à virgule flottante. La plage est comprise entre 0 et 1. La valeur par défaut est de 1.

  • Score de risque des détections par défaut : spécifiez le score de risque des détections dans le moteur de règles. La plage est comprise entre 0 et 1 000. La valeur par défaut est 15.

Les paramètres suivants sont spécifiés par Google SecOps :

  • Modification du score de risque avec TTL : le score de risque de base de l'entité est modifié par un facteur de multiplication pour la période.

  • Modification du score de risque sans TTL : le score de risque de détection est modifié à l'aide d'un facteur de multiplication.

Voici les formules utilisées pour calculer le score de risque et le score de risque normalisé :

  • Calcul du score de risque : (score de risque de base de l'entité) = (score de risque maximal pour le résultat) + (pondération * (somme des scores de risque restants pour les résultats))

  • Score de risque normalisé : les scores de risque de base des entités sont normalisés pour toutes les entités. Le score de risque de base de l'entité utilise la normalisation min-max et est compris entre 1 et 1 000. Les entités présentant un risque nul ne sont pas incluses.

Exemple : calcul du score de risque

Vous trouverez ci-dessous la séquence complète de calcul du score de détection des risques pour une entité :

  1. Entrée : les détections générées par les règles sont regroupées en fonction de leurs indicateurs sous-jacents.
  2. (Facultatif) Coefficient d'alerte clôturée : si le score de risque de détection concerne une alerte clôturée, il est multiplié par le coefficient d'alerte clôturée.
  3. (Facultatif) Modification du score de risque par défaut : si le score de risque de détection n'est pas explicitement défini dans une règle, le score par défaut est appliqué. Vous pouvez modifier les scores de risque de détection par défaut avec ou sans alerte dans les paramètres des scores de risque des entités.
  4. (Facultatif) Modification des détections composites : si une entité à évaluer n'est pas explicitement définie à l'aide du mot clé $risk_entity_to_score dans une règle, le score de risque est attribué à toutes les entités de la section "Résultat" et des événements échantillonnés.
  5. Calcul du score de risque : le facteur de pondération est multiplié par la somme de toutes les détections (à l'exception du score de risque de détection maximal), puis ajouté au score de risque de détection maximal. Cette valeur représente le score de risque brut de l'entité.
  6. Pondération de la modification : le score de risque brut de l'entité est multiplié par la pondération de la modification. Cette modification est une opération ponctuelle, sauf si une durée de vie (TTL) est définie. Cette valeur correspond au score de risque de base de l'entité.
  7. Pondération de la liste de surveillance : si une entité fait partie d'une liste de surveillance, la pondération de la liste de surveillance est ajoutée au score de risque de détection.
  8. Score de risque normalisé : le score de risque de base de l'entité est normalisé pour toutes les entités à l'aide de la normalisation min-max.

Paramètres du score de risque

La page Scores de risque des entités vous permet de définir comment les scores de risque sont calculés pour les entités, les alertes et les détections. Vous pouvez appliquer une pondération aux calculs du score de risque des entités, et définir des scores de risque par défaut pour les alertes et les détections. Les modifications ne s'appliquent qu'aux nouvelles alertes et détections. Cela peut prendre jusqu'à 30 minutes.

  • Pondération du score de risque des entités : la pondération définit la façon dont les scores de risque des alertes et des détections sont pris en compte dans les calculs du score de risque des entités. La pondération est une valeur comprise entre 0 et 1. La formule du score de risque de base de l'entité est définie comme suit :

    Score de risque de base de l'entité = (score de risque maximal pour le résultat) + (pondération * (somme des scores de risque restants pour les résultats))

  • Scores de risque par défaut pour les alertes : spécifiez le score de risque par défaut des alertes sur la page Paramètres. La valeur par défaut est 40. Vous pouvez modifier les scores de risque des alertes individuelles dans les règles elles-mêmes. Ils remplacent les valeurs par défaut configurées sur la page Paramètres.

  • Scores de risque par défaut pour les détections : spécifiez le score de risque de détection par défaut sur la page Paramètres. La valeur par défaut est 15. Vous pouvez modifier les scores de risque de détection individuels dans les règles elles-mêmes. Ils remplacent tous les paramètres par défaut configurés sur la page Paramètres.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.