Panoramica di Analisi dei rischi

Supportato in:

Risk Analytics viene utilizzato per identificare comportamenti insoliti e comprendere il potenziale rischio che le entità rappresentano per la tua azienda. Nei sistemi che utilizzano il controllo degli accessi basato sui ruoli (RBAC) dei dati, solo gli utenti con ambito globale possono accedere all'analisi del rischio. La dashboard Risk Analytics è composta da una sezione Behavioral Analytics, che elenca le entità in base ai punteggi di rischio delle entità di Google Security Operations, e da una sezione Watchlist, che elenca le entità in base ai calcoli interni del rischio aziendale.

I punteggi di rischio vengono utilizzati in Google SecOps. La definizione e la funzione di questi punteggi variano a seconda della funzionalità che utilizzi.

Risk Analytics è disponibile con le licenze Enterprise ed Enterprise Plus o come componente aggiuntivo di una licenza autonoma Google SecOps SIEM.

Entità, rischi e risultati in Risk Analytics

Questa sezione definisce i concetti di entità, rischio e risultati così come vengono presentati nella dashboard Risk Analytics.

  • Entità: rappresentazione contestuale di una risorsa o di un utente nel tuo ambiente. Tutti gli eventi associati alle entità forniscono un contesto sul livello di rischio dell'entità. Per saperne di più, consulta Oggetti logici: Evento ed Entità.

  • Finestra di calcolo del rischio: consente di modificare il periodo di tempo per la dashboard, in modo da esaminare i dati in periodi di tempo diversi. Ad esempio, puoi scoprire i tentativi di accesso con attacco di forza bruta utilizzando un intervallo di tempo più breve o esaminare attività dannose a lungo termine impostando un intervallo di tempo più lungo.

  • Normalizzato: i punteggi normalizzati sono impostati tra 1 e 1000 per distinguere le entità senza punteggi da quelle che hanno rilevamenti all'interno della finestra di rischio.

  • Tendenza normalizzata: variazione del punteggio di rischio dell'entità normalizzato rispetto alla finestra precedente.

  • Base: i punteggi di base vengono calcolati sommando i punteggi di rischio dei risultati (avvisi e rilevamenti) per un'entità durante la finestra di rischio con ponderazione applicata.

    La ponderazione definisce il modo in cui i punteggi di rischio di avvisi e rilevamenti contribuiscono ai calcoli del punteggio di rischio dell'entità. La ponderazione può assumere un valore compreso tra 0 e 1.
    Se il valore di ponderazione è 1, la ponderazione non avrà alcun impatto. Tutti gli altri valori sono percentuali (ad esempio, 0,5 corrisponde al 50%). Il valore di ponderazione predefinito è 0,2 e può essere modificato in Impostazioni. Per saperne di più, consulta Ponderazione del punteggio di rischio dell'entità.

  • Variazione di base: variazione del punteggio di rischio dell'entità di base rispetto alla finestra precedente.

  • Prima/ultima apparizione nella finestra: timestamp corrispondente al momento in cui l'entità è stata vista per la prima o l'ultima volta in un risultato (avviso o rilevamento) per il periodo di tempo specificato nella finestra di rischio.

Risultati in Analisi dei rischi

I seguenti termini vengono utilizzati nella pagina Risultati (fai clic su un'entità nella tabella delle entità per aprirla nella pagina Risultati).

  • Risultati: numero di risultati (avvisi e rilevamenti) che includono questa entità per il periodo di tempo nella finestra di rischio.

  • Gravità: la gravità è determinata dalla sorgente quando viene creato un risultato.

  • Priorità: la priorità è determinata dalla sorgente quando viene creato un risultato.

  • Punteggio di rischio: i punteggi di rischio sono determinati dalla sorgente quando viene creato un risultato. Se i punteggi di rischio non sono impostati, viene utilizzato il punteggio di rischio predefinito per gli avvisi e i rilevamenti. Il punteggio di rischio predefinito per gli avvisi è 40. Il punteggio di rischio predefinito per i rilevamenti è 15.

Calcolo del punteggio di rischio

Il calcolo del punteggio di rischio per ogni entità si basa sul punteggio di rischio dei risultati e viene modificato in base a un insieme di parametri che puoi specificare e a un insieme di parametri controllati da Google SecOps. I parametri che puoi controllare sono accessibili andando alla barra di navigazione e facendo clic su Impostazioni > Punteggi di rischio entità:

  • Coefficiente di avviso chiuso: se gli analisti della sicurezza contrassegnano un avviso come chiuso, questo viene moltiplicato per questo modificatore con virgola mobile. L'intervallo è 0-1. Il valore predefinito è 1.

  • Punteggio di rischio dei rilevamenti predefinito: specifica il punteggio di rischio per i rilevamenti nel motore delle regole. L'intervallo è 0-1000. Il valore predefinito è 15.

I seguenti parametri sono specificati da Google SecOps:

  • Modifica del punteggio di rischio con TTL: il punteggio di rischio di base dell'entità viene modificato da un fattore di moltiplicazione per l'intervallo di tempo.

  • Modifica del punteggio di rischio senza TTL: il punteggio di rischio dei rilevamenti viene modificato con un fattore di moltiplicazione.

Di seguito sono riportate le formule utilizzate per calcolare il punteggio di rischio e il punteggio di rischio normalizzato:

  • Calcolo del punteggio di rischio: (punteggio di rischio di base dell'entità) = (punteggio di rischio massimo per il risultato) + (ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))

  • Punteggio di rischio normalizzato: i punteggi di rischio di base dell'entità vengono normalizzati in tutte le entità. Il punteggio di rischio di base dell'entità utilizza la normalizzazione min-max e varia da 1 a 1000. Le entità con rischio pari a zero non sono incluse.

Esempio: calcolo del punteggio di rischio

Di seguito viene descritta la sequenza completa di calcolo di un punteggio di rilevamento del rischio per un'entità:

  1. Input: i rilevamenti sono raggruppati per indicatore.
  2. (Facoltativo) Coefficiente di avviso chiuso: se il punteggio di rischio del rilevamento riguarda un avviso chiuso, il punteggio viene moltiplicato per il coefficiente di avviso chiuso.
  3. (Facoltativo) Modifica del punteggio di rischio predefinito Se non è impostato esplicitamente in una regola, viene applicato il punteggio di rischio dei rilevamenti predefinito. I punteggi di rischio dei rilevamenti predefiniti con o senza avvisi possono essere modificati nelle impostazioni dei punteggi di rischio delle entità.
  4. Calcolo del punteggio di rischio: il fattore di ponderazione viene moltiplicato per la somma di tutti i rilevamenti (ad eccezione del punteggio di rischio di rilevamento massimo) e poi aggiunto al punteggio di rischio di rilevamento massimo. Questo valore rappresenta il punteggio di rischio dell'entità non elaborata.
  5. Ponderazione della modifica: il punteggio di rischio dell'entità non elaborato viene moltiplicato per la ponderazione della modifica. Questa modifica è un'operazione una tantum, a meno che non sia impostato un TTL. Questo valore è il punteggio di rischio di base dell'entità.
  6. Ponderazione della lista di controllo: se un'entità fa parte di una lista di controllo, la ponderazione della lista di controllo viene aggiunta al punteggio di rischio di rilevamento.
  7. Punteggio di rischio normalizzato: il punteggio di rischio di base dell'entità viene normalizzato in tutte le entità utilizzando la normalizzazione min-max.

Impostazioni del punteggio di rischio

La pagina Punteggi di rischio delle entità ti consente di definire la modalità di calcolo dei punteggi di rischio per entità, avvisi e rilevamenti. Puoi applicare la ponderazione ai calcoli del punteggio di rischio dell'entità e impostare punteggi di rischio di avvisi e rilevamenti predefiniti. Le modifiche si applicano solo ai nuovi avvisi e rilevamenti e possono richiedere fino a 30 minuti per essere applicate.

  • Ponderazione del punteggio di rischio dell'entità: la ponderazione definisce il modo in cui i punteggi di rischio di avvisi e rilevamenti vengono presi in considerazione nei calcoli del punteggio di rischio dell'entità. La ponderazione è un valore compreso tra 0 e 1. La formula per il punteggio di rischio di base dell'entità è definita come segue:

    Punteggio di rischio di base dell'entità = (punteggio di rischio massimo per il risultato) + (ponderazione * (somma dei punteggi di rischio rimanenti per i risultati))

  • Punteggi di rischio predefiniti per gli avvisi: specifica il punteggio di rischio degli avvisi predefinito nella pagina Impostazioni. Il valore predefinito è 40. Puoi modificare i singoli punteggi di rischio degli avvisi nelle regole stesse. Queste impostazioni sostituiscono quelle predefinite configurate nella pagina Impostazioni.

  • Punteggi di rischio predefiniti per i rilevamenti: specifica il punteggio di rischio predefinito nella pagina Impostazioni. Il valore predefinito è 15. Puoi modificare i singoli punteggi di rischio di rilevamento nelle regole stesse. Queste impostazioni hanno la priorità su qualsiasi impostazione predefinita configurata nella pagina Impostazioni.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.