Analisis Risiko digunakan untuk mengidentifikasi perilaku yang tidak biasa dan memahami potensi risiko yang ditimbulkan entitas terhadap perusahaan Anda. Pada sistem yang menggunakan RBAC data, hanya
pengguna dengan cakupan global yang dapat mengakses analisis risiko. Dasbor Analisis Risiko terdiri dari bagian Analisis Perilaku, yang mencantumkan entitas menurut skor risiko Entitas Google Security Operations dan bagian Daftar Pengamatan, yang mencantumkan entitas menurut perhitungan risiko perusahaan internal.
Skor risiko digunakan di seluruh Google SecOps. Definisi dan fungsi skor ini bervariasi, bergantung pada fitur yang Anda gunakan.
Analisis Risiko tersedia dengan lisensi Enterprise dan Enterprise Plus, atau sebagai add-on untuk lisensi mandiri Google SecOps SIEM.
Entitas, risiko, dan temuan di Analytics Risiko
Bagian ini mendefinisikan konsep entity, risiko, dan temuan sebagaimana ditampilkan di dasbor Analisis Risiko.
Entitas: Representasi kontekstual aset atau pengguna di lingkungan Anda. Semua peristiwa yang terkait dengan entity memberikan konteks tentang seberapa berisikonya entity tersebut. Untuk mengetahui informasi selengkapnya, lihat Objek logis: Peristiwa dan Entity.
Periode penghitungan risiko: Memungkinkan Anda mengubah jangka waktu untuk
dasbor, sehingga Anda dapat melihat data selama jangka waktu yang berbeda.
Misalnya, Anda dapat mengungkap upaya login brute force dengan menggunakan jangka waktu yang lebih pendek atau memeriksa aktivitas berbahaya jangka panjang dengan menetapkan jangka waktu yang lebih panjang.
Dinormalisasi: Skor yang dinormalisasi ditetapkan antara 1-1000 untuk membedakan entity tanpa skor dari entity yang memiliki deteksi dalam periode risiko.
Tren yang dinormalisasi: Perubahan skor risiko entity yang dinormalisasi sejak periode sebelumnya.
Dasar: Skor dasar dihitung dengan menambahkan skor risiko di seluruh
temuan (pemberitahuan dan deteksi) untuk entity selama periode risiko dengan
penerapan pembobotan.
Pembobotan menentukan bagaimana skor risiko pemberitahuan dan deteksi berkontribusi pada penghitungan skor risiko entity. Pembobotan dapat mengambil nilai dari 0-1.
Jika nilai pembobotan adalah 1, pembobotan tidak akan berdampak. Semua nilai lainnya adalah persentase (misalnya, 0,5 sama dengan 50%). Nilai pembobotan default adalah 0,2 dan dapat diubah di Setelan. Untuk mengetahui informasi selengkapnya, lihat Pembobotan skor risiko entitas.
Perubahan dasar: Perubahan skor risiko entity dasar sejak periode sebelumnya.
Pertama/terakhir terlihat dalam periode: Stempel waktu yang sesuai dengan saat entity pertama atau terakhir kali terlihat dalam temuan (pemberitahuan atau deteksi) untuk jangka waktu yang ditentukan dalam periode risiko.
Temuan di Analisis Risiko
Istilah berikut digunakan di halaman Temuan (klik entitas dalam tabel entitas untuk membukanya di halaman Temuan).
Temuan: Jumlah temuan (pemberitahuan dan deteksi) yang menyertakan entity ini selama jangka waktu di periode risiko.
Keparahan: Tingkat keparahan ditetapkan menurut sumber saat temuan dibuat.
Prioritas: Prioritas ditetapkan menurut sumber saat temuan dibuat.
Skor Risiko: Skor risiko ditetapkan oleh sumber saat temuan dibuat.
Jika skor risiko tidak ditetapkan, skor risiko default untuk pemberitahuan dan deteksi akan digunakan. Skor risiko default untuk pemberitahuan adalah 40. Skor risiko
default untuk deteksi adalah 15.
Penghitungan skor risiko
Penghitungan skor risiko untuk setiap entitas didasarkan pada skor risiko temuan dan diubah berdasarkan serangkaian parameter yang dapat Anda tentukan dan serangkaian parameter yang dikontrol oleh Google SecOps. Parameter yang dapat Anda kontrol
dapat diakses dengan membuka menu navigasi dan mengklik Setelan > Skor risiko entitas:
Koefisien pemberitahuan tertutup: Jika analis keamanan menandai pemberitahuan sebagai tertutup, pemberitahuan tersebut akan dikalikan dengan pengubah floating point ini. Rentangnya adalah
0-1. Nilai default adalah 1.
Skor risiko deteksi default: Tentukan skor risiko untuk deteksi di
mesin aturan. Rentangnya adalah 0-1000. Nilai defaultnya adalah 15.
Parameter berikut ditentukan oleh Google SecOps:
Modifikasi skor risiko dengan TTL: Skor risiko entity dasar dimodifikasi dengan
faktor pengali untuk rentang waktu.
Modifikasi skor risiko tanpa TTL: Skor risiko deteksi dimodifikasi
dengan faktor perkalian.
Berikut adalah formula yang digunakan untuk menghitung skor risiko dan skor risiko yang dinormalisasi:
Penghitungan skor risiko: (Skor risiko entity dasar) = (Skor risiko maksimum untuk temuan) + (Pembobotan * (Jumlah skor risiko yang tersisa untuk temuan))
Skor risiko yang dinormalisasi: Skor risiko entity dasar dinormalisasi di semua entity. Skor risiko entitas dasar menggunakan normalisasi min-maks dan memiliki rentang
dari 1-1000. Entitas dengan risiko nol tidak disertakan.
Contoh: penghitungan skor risiko
Berikut ini menjelaskan urutan lengkap cara penghitungan skor deteksi risiko untuk entitas:
Input: Deteksi dikelompokkan menurut indikator.
(Opsional) Koefisien pemberitahuan tertutup: Jika skor risiko deteksi adalah untuk
pemberitahuan tertutup, skor dikalikan dengan koefisien pemberitahuan tertutup.
(Opsional) Modifikasi Skor Risiko default Jika tidak ditetapkan secara eksplisit dalam aturan, skor risiko deteksi default akan diterapkan. Skor risiko deteksi default untuk pemberitahuan atau
tanpa pemberitahuan dapat diubah di setelan skor risiko entity.
Penghitungan skor risiko: Faktor pembobotan dikalikan dengan jumlah
semua deteksi (kecuali skor risiko deteksi maksimum), lalu ditambahkan
ke skor risiko deteksi maksimum. Nilai ini merepresentasikan skor risiko
entitas mentah.
Bobot modifikasi: Skor risiko entity mentah dikalikan dengan
bobot modifikasi. Perubahan ini adalah operasi satu kali, kecuali jika TTL
ditetapkan. Nilai ini adalah skor risiko entity dasar.
Bobot daftar pantauan: Jika entitas adalah bagian dari daftar pantauan, bobot daftar pantauan ditambahkan ke skor risiko deteksi.
Skor risiko yang dinormalisasi: Skor risiko entity dasar dinormalisasi di semua entity menggunakan normalisasi min-maks.
Setelan skor risiko
Halaman Skor risiko entity memungkinkan Anda menentukan cara penghitungan skor risiko untuk entity, pemberitahuan, dan deteksi. Anda dapat menerapkan pembobotan pada penghitungan skor risiko entity dan menetapkan skor risiko pemberitahuan dan deteksi default. Perubahan hanya berlaku untuk pemberitahuan dan deteksi baru, dan dapat memakan waktu hingga 30 menit hingga diterapkan.
Pembobotan skor risiko entity: Pembobotan menentukan cara skor risiko pemberitahuan dan deteksi diperhitungkan dalam penghitungan skor risiko entity. Bobot adalah nilai dari 0 hingga 1. Rumus untuk skor risiko entity dasar didefinisikan sebagai
berikut:
Skor risiko entity dasar = (Skor risiko maksimum untuk temuan) + (Pembobotan *
(Jumlah skor risiko yang tersisa untuk temuan))
Skor risiko default untuk Pemberitahuan: Tentukan skor risiko pemberitahuan default di halaman Setelan. Defaultnya adalah 40. Anda dapat mengubah skor risiko
setiap pemberitahuan dalam aturan itu sendiri. Setelan ini menggantikan default yang dikonfigurasi di halaman Setelan.
Skor risiko default untuk Deteksi: Tentukan skor risiko deteksi default di halaman Setelan. Defaultnya adalah 15. Anda dapat mengubah skor risiko deteksi individual
dalam aturan itu sendiri. Setelan ini menggantikan default apa pun yang dikonfigurasi di halaman Setelan.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-08-21 UTC."],[[["\u003cp\u003eRisk Analytics identifies unusual behavior and potential risks posed by entities within an enterprise, utilizing Google SecOps Entities risk scores and internal enterprise risk calculations.\u003c/p\u003e\n"],["\u003cp\u003eRisk scores, ranging from 1-1000 after normalization, are calculated based on findings (alerts and detections) and can be influenced by weighting, which is a configurable factor that determines how findings contribute to the overall risk score.\u003c/p\u003e\n"],["\u003cp\u003eThe Risk Analytics dashboard displays entities in a Behavioral Analytics section based on Google SecOps risk scores, and in a Watchlist section based on internal risk calculations.\u003c/p\u003e\n"],["\u003cp\u003eUsers can customize risk score calculations through settings like closed alert coefficient, default detection risk score, and entity risk score weighting, allowing for tailored risk assessments.\u003c/p\u003e\n"],["\u003cp\u003eThe final entity risk score is calculated in a sequence of steps, which includes the score of detections, modification using TTL, and normalization across all the entities.\u003c/p\u003e\n"]]],[],null,["# Overview of Risk analytics\n==========================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nRisk Analytics is used to identify unusual behavior and understand the potential\nrisk that entities pose to your enterprise. On systems that use data RBAC, only\nusers with global scope can access risk analytics. The Risk Analytics dashboard\nconsists of a Behavioral Analytics section, which lists entities according to\nGoogle Security Operations Entities risk scores and a Watchlist section, which\nlists entities according to internal enterprise risk calculations.\n\nRisk scores are used throughout Google SecOps. The definition and\nfunction of these scores vary depending on which feature you are using.\n\nRisk Analytics is available with Enterprise and Enterprise Plus licenses, or as\nan add-on to a Google SecOps SIEM standalone license.\n\nEntities, risk, and findings in Risk Analytics\n----------------------------------------------\n\nThis section defines the concepts of entities, risk, and findings as they are\npresented on the [Risk Analytics\ndashboard](/chronicle/docs/detection/risk-analytics-dashboard).\n\n- **Entities** : Contextual representation of an asset or user in your\n environment. All the events associated with entities provide context about\n how risky the entity is. For more information, see [Logical objects: Event\n and\n Entity](/chronicle/docs/event-processing/udm-overview#logical_objects_event_and_entity).\n\n- **Risk calculation window**: Lets you change the timeframe for the\n dashboard, enabling you to look at data through different periods of time.\n For example, you can uncover brute force login attempts by using the shorter\n time window or examine long-term malicious activity by setting the longer\n time window.\n\n- **Normalized**: Normalized scores are set between 1-1000 to distinguish the\n entities without scores from the entities that do have detections within the\n risk window.\n\n- **Normalized trend**: Change in the normalized entity risk score since the\n previous window.\n\n- **Base**: Base scores are calculated by adding the risk scores across\n findings (alerts and detections) for an entity during the risk window with\n weighting applied.\n\n Weighting defines how alert and detection risk scores\n contribute to entity risk score calculations. Weighting can take a value from 0-1. \n\n If the weighting value is 1, weighting won't have an impact. All other\n values are percentages (for example, .5 equals 50%). The default weighting\n value is .2 and can be changed in Settings. For more information, see [Entity risk\n score weighting](/chronicle/docs/detection/risk-analytics-dashboard#score-weighting).\n- **Base change**: Change in the base entity risk score since the previous\n window.\n\n- **First/last seen in window**: Timestamp corresponding to when the entity\n was first or last seen in a finding (alert or detection) for the time period\n specified in the risk window.\n\nFindings in Risk Analytics\n--------------------------\n\nThe following terms are used on the Findings page (click an entity in the\nentities table to open it in the Findings page).\n\n- **Findings**: Number of findings (alerts and detections) that include this\n entity for the time period in the risk window.\n\n- **Severity**: Severity is set by the source when a finding is created.\n\n- **Priority**: Priority is set by the source when a finding is created.\n\n- **Risk Score**: Risk scores are set by the source when a finding is created.\n If the risk scores are not set, the default risk score for alerts and\n detections is used. The default risk score for alerts is 40. The default\n risk score for detections is 15.\n\n| **Note:** When the risk score for alerts is 0, the Findings page displays a risk score of 0, and the normalized risk score for the related entity is 1. When the risk score for detections is 0, the entity is not displayed in the [Entities table](/chronicle/docs/detection/risk-analytics-dashboard#entity_count_risk_score_and_entities_table)\n\nRisk score calculation\n----------------------\n\nThe risk score calculation for each entity is based on the risk score of\nfindings and is modified based on a set of parameters you can specify and a set\nof parameters controlled by Google SecOps. The parameters you can control\nare accessible by going to the navigation bar and clicking **Settings \\\u003e Entity\nrisk scores**:\n\n- **Closed alert coefficient**: If the security analysts marks an alert as\n closed, it is multiplied with this floating point modifier. The range is\n 0-1. The default value is 1.\n\n- **Default detection risk score**: Specify the risk score for detections in\n the rules engine. The range is 0-1000. The default value is 15.\n\nThe following parameters are specified by Google SecOps:\n\n- **Risk score modification with TTL**: Base entity risk score is modified by\n a multiplying factor for the time range.\n\n- **Risk score modification without TTL**: Detection risk score is modified\n with a multiplying factor.\n\nThe following are the formulas used for calculating the risk score and\nnormalized risk score:\n\n- **Risk score calculation**: (Base entity risk score) = (Maximum risk score\n for the finding) + (Weighting \\* (Sum of the remaining risk scores for the\n findings))\n\n- **Normalized risk score**: Base entity risk scores are normalized across all\n entities. The base entity risk score uses min-max normalization and ranges\n from 1-1000. Entities with zero risk are not included.\n\nExample: risk score calculation\n-------------------------------\n\nThe following describes the full sequence for how a risk detection score is\ncalculated for an entity:\n\n1. **Input**: The detections are grouped by indicator.\n2. **(Optional) Closed alert coefficient**: If the detection risk score is for a closed alert, the score is multiplied by the closed alert coefficient.\n3. **(Optional) Default Risk Score modification** If it isn't explicitly set in a rule, the default detection risk score is applied. Default alerting or non-alerting detection risk scores can be changed in the entity risk scores settings.\n4. **Risk score calculation**: The weighting factor is multiplied to the sum of all detections (except for the maximum detection risk score) and then added to the maximum detection risk score. This value represents the raw entity risk score.\n5. **Modification weight**: The raw entity risk score is multiplied with the modification weight. This modification is a one-time operation, unless a TTL is set. This value is the base entity risk score.\n6. **Watchlist weight**: If an entity is part of a watchlist, the watchlist weight is added to the detection risk score.\n7. **Normalized risk score**: The base entity risk score is normalized across all entities using min-max normalization.\n\nRisk score settings\n-------------------\n\nThe **Entity risk scores** page lets you define how risk scores are calculated\nfor entities, alerts, and detections. You can apply weighting to entity risk\nscore calculations and set default alert and detection risk scores. Changes only\napply to new alerts and detections and can take up to 30 minutes to take effect.\n\n- **Entity risk score weighting**: Weighting defines how alert and detection\n risk scores are factored in entity risk score calculations. Weighting is a\n value from 0 to 1. The formula for the base entity risk score is defined as\n follows:\n\n Base entity risk score = (Maximum risk score for the finding) + (Weighting \\*\n (Sum of the remaining risk scores for the findings))\n- **Default risk scores for Alerts** : Specify the default alert risk score in\n the **Settings** page. The default is 40. You can modify individual alert\n risk scores in the rules themselves. These override any defaults configured\n in the **Settings** page.\n\n- **Default risk scores for Detections** : Specify the default detection risk\n score in the **Settings** page. The default is 15. You can modify individual\n detection risk scores in the rules themselves. These override any defaults\n configured in the **Settings** page.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
