Vista geral das estatísticas de risco

Compatível com:

A análise de riscos é usada para identificar comportamentos invulgares e compreender o potencial risco que as entidades representam para a sua empresa. Em sistemas que usam RBAC de dados, apenas os utilizadores com âmbito global podem aceder às estatísticas de risco. O painel de controlo do Risk Analytics consiste numa secção de análise comportamental, que apresenta entidades de acordo com as pontuações de risco das entidades do Google Security Operations, e numa secção de lista de observação, que apresenta entidades de acordo com os cálculos de risco empresariais internos.

As pontuações de risco são usadas em toda a Google SecOps. A definição e a função destas classificações variam consoante a funcionalidade que está a usar.

A análise de riscos está disponível com licenças do Enterprise e Enterprise Plus ou como suplemento de uma licença autónoma do SIEM do Google SecOps.

Entidades, risco e conclusões na análise de riscos

Esta secção define os conceitos de entidades, risco e conclusões, tal como são apresentados no painel de controlo do Risk Analytics.

  • Entidades: representação contextual de um recurso ou um utilizador no seu ambiente. Todos os eventos associados a entidades fornecem contexto sobre o nível de risco da entidade. Para mais informações, consulte Objetos lógicos: evento e entidade.

  • Janela de cálculo de risco: permite-lhe alterar o intervalo de tempo do painel de controlo, o que lhe permite analisar os dados em diferentes períodos. Por exemplo, pode descobrir tentativas de início de sessão por força bruta usando o período mais curto ou examinar a atividade maliciosa a longo prazo definindo o período mais longo.

  • Normalizado: as classificações normalizadas são definidas entre 1 e 1000 para distinguir as entidades sem classificações das entidades que têm deteções no período de risco.

  • Tendência normalizada: alteração na pontuação de risco da entidade normalizada desde o período anterior.

  • Base: as pontuações base são calculadas adicionando as pontuações de risco nas descobertas (alertas e deteções) de uma entidade durante o período de risco com ponderação aplicada.

    A ponderação define a forma como as classificações de risco de alertas e deteções contribuem para os cálculos da classificação de risco de entidades. A ponderação pode ter um valor entre 0 e 1.
    Se o valor da ponderação for 1, a ponderação não tem impacto. Todos os outros valores são percentagens (por exemplo, 0,5 é igual a 50%). O valor de ponderação predefinido é 0,2 e pode ser alterado nas Definições. Para mais informações, consulte o artigo Ponderação da pontuação de risco da entidade.

  • Alteração base: alteração na pontuação de risco da entidade base desde a janela anterior.

  • Primeira/última visualização na janela: data/hora correspondente ao momento em que a entidade foi vista pela primeira ou última vez numa descoberta (alerta ou deteção) para o período especificado na janela de risco.

Resultados na análise de riscos

Os seguintes termos são usados na página Resultados (clique numa entidade na tabela de entidades para a abrir na página Resultados).

  • Resultados: número de resultados (alertas e deteções) que incluem esta entidade para o período no intervalo de risco.

  • Gravidade: a gravidade é definida pela origem quando é criada uma descoberta.

  • Prioridade: a prioridade é definida pela origem quando é criada uma descoberta.

  • Pontuação de risco: as pontuações de risco são definidas pela origem quando é criado um resultado. Se as pontuações de risco não estiverem definidas, é usada a pontuação de risco predefinida para alertas e deteções. A pontuação de risco predefinida para alertas é 40. A pontuação de risco predefinida para deteções é 15.

Cálculo da pontuação de risco

O cálculo da pontuação de risco para cada entidade baseia-se na pontuação de risco das descobertas e é modificado com base num conjunto de parâmetros que pode especificar e num conjunto de parâmetros controlados pelas operações de segurança da Google. Pode controlar os parâmetros acedendo à barra de navegação e clicando em Definições > Pontuações de risco das entidades:

  • Coeficiente de alerta fechado: se os analistas de segurança marcarem um alerta como fechado, este é multiplicado por este modificador de vírgula flutuante. O intervalo é 0-1. O valor predefinido é 1.

  • Pontuação de risco de deteção predefinida: especifique a pontuação de risco para deteções no motor de regras. O intervalo é de 0 a 1000. O valor predefinido é 15.

Os seguintes parâmetros são especificados pela Google SecOps:

  • Modificação da pontuação de risco com TTL: a pontuação de risco da entidade base é modificada por um fator de multiplicação para o intervalo de tempo.

  • Modificação da pontuação de risco sem TTL: a pontuação de risco de deteção é modificada com um fator multiplicador.

Seguem-se as fórmulas usadas para calcular a pontuação de risco e a pontuação de risco normalizada:

  • Cálculo da pontuação de risco: (pontuação de risco da entidade base) = (pontuação de risco máxima para a descoberta) + (ponderação * (soma das pontuações de risco restantes para as descobertas))

  • Classificação de risco normalizada: as classificações de risco das entidades base são normalizadas em todas as entidades. A pontuação de risco da entidade base usa a normalização min-max e varia entre 1 e 1000. As entidades com risco zero não estão incluídas.

Exemplo: cálculo da classificação de risco

A descrição seguinte descreve a sequência completa de como uma pontuação de deteção de risco é calculada para uma entidade:

  1. Entrada: as deteções são agrupadas por indicador.
  2. (Opcional) Coeficiente de alerta fechado: se a classificação de risco de deteção for para um alerta fechado, a classificação é multiplicada pelo coeficiente de alerta fechado.
  3. (Opcional) Modificação da pontuação de risco predefinida Se não estiver definida explicitamente numa regra, é aplicada a pontuação de risco de deteção predefinida. As pontuações de risco de deteção de alertas predefinidas ou sem alertas podem ser alteradas nas definições de pontuações de risco de entidades.
  4. Cálculo da classificação de risco: o fator de ponderação é multiplicado pela soma de todas as deteções (exceto a classificação de risco de deteção máxima) e, em seguida, adicionado à classificação de risco de deteção máxima. Este valor representa a pontuação de risco da entidade não processada.
  5. Ponderação da modificação: a pontuação de risco da entidade não processada é multiplicada pela ponderação da modificação. Esta modificação é uma operação única, a menos que seja definido um TTL. Este valor é a pontuação de risco da entidade base.
  6. Peso da lista de observação: se uma entidade fizer parte de uma lista de observação, o peso da lista de observação é adicionado à pontuação de risco de deteção.
  7. Pontuação de risco normalizada: a pontuação de risco da entidade base é normalizada em todas as entidades através da normalização min-max.

Definições da pontuação de risco

A página Classificações de risco de entidades permite-lhe definir como as classificações de risco são calculadas para entidades, alertas e deteções. Pode aplicar ponderação aos cálculos da classificação de risco das entidades e definir classificações de risco de deteção e alerta predefinidas. As alterações aplicam-se apenas a novos alertas e deteções, e podem demorar até 30 minutos a entrar em vigor.

  • Ponderação da classificação de risco da entidade: a ponderação define como as classificações de risco de deteção e alerta são incluídas nos cálculos da classificação de risco da entidade. A ponderação é um valor de 0 a 1. A fórmula para a pontuação de risco da entidade base é definida da seguinte forma:

    Pontuação de risco da entidade base = (Pontuação de risco máxima para a descoberta) + (Ponderação * (Soma das pontuações de risco restantes para as descobertas))

  • Pontuações de risco predefinidas para alertas: especifique a pontuação de risco de alerta predefinida na página Definições. A predefinição é 40. Pode modificar as pontuações de risco de alertas individuais nas próprias regras. Estas substituem todas as predefinições configuradas na página Definições.

  • Pontuações de risco predefinidas para deteções: especifique a pontuação de risco de deteção predefinida na página Definições. A predefinição é 15. Pode modificar as pontuações de risco de deteção individuais nas próprias regras. Estas definições substituem todas as predefinições configuradas na página Definições.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.