Visão geral da análise de risco
A análise de risco é usada para identificar comportamentos incomuns e entender o risco potencial que as entidades representam para sua empresa. Em sistemas que usam RBAC de dados, apenas usuários com escopo global podem acessar a análise de risco. O painel de análise de risco consiste em uma seção de análise comportamental, que lista entidades de acordo com as pontuações de risco de entidades do Google Security Operations, e uma seção de lista de observação, que lista entidades de acordo com cálculos internos de risco empresarial.
As pontuações de risco são usadas em todo o Google SecOps. A definição e a função dessas pontuações variam de acordo com o recurso usado.
A análise de risco está disponível com as licenças Enterprise e Enterprise Plus ou como um complemento de uma licença independente do Google SecOps SIEM.
Entidades, risco e descobertas na análise de risco
Esta seção define os conceitos de entidades, risco e descobertas apresentados no painel de análise de risco.
Entidades: representação contextual de um recurso ou usuário no seu ambiente. Todos os eventos associados a entidades fornecem contexto sobre o nível de risco da entidade. Para mais informações, consulte Objetos lógicos: evento e entidade.
Janela de cálculo de risco: permite mudar o período do painel para analisar dados em diferentes períodos. Por exemplo, é possível descobrir tentativas de login por força bruta usando a janela de tempo mais curta ou examinar atividades maliciosas de longo prazo definindo a janela de tempo mais longa.
Normalizada: as pontuações normalizadas são definidas entre 1 e 1.000 para distinguir as entidades sem pontuações daquelas que têm detecções na janela de risco.
Tendência normalizada: mudança na pontuação de risco normalizada da entidade desde a janela anterior.
Básica: as pontuações básicas são calculadas somando as pontuações de risco em descobertas (alertas e detecções) de uma entidade durante a janela de risco com ponderação aplicada.
A ponderação define como as pontuações de risco de alerta e detecção contribuem para os cálculos da pontuação de risco da entidade. A ponderação pode ter um valor de 0 a 1.
Se o valor de ponderação for 1, a ponderação não terá impacto. Todos os outros valores são porcentagens (por exemplo, 0,5 é igual a 50%). O valor padrão de ponderação é 0,2 e pode ser alterado em "Configurações". Para mais informações, consulte Ponderação da pontuação de risco da entidade.Mudança na base: mudança na pontuação de risco da entidade básica desde a janela anterior.
Primeira/última vez na janela: carimbo de data/hora correspondente a quando a entidade foi vista pela primeira ou última vez em uma descoberta (alerta ou detecção) no período especificado na janela de risco.
Descobertas na análise de risco
Os termos a seguir são usados na página "Descobertas". Clique em uma entidade na tabela para abrir a página.
Descobertas: número de descobertas (alertas e detecções) que incluem essa entidade no período da janela de risco.
Gravidade: a gravidade é definida pela origem quando uma descoberta é criada.
Prioridade: definida pela origem quando uma descoberta é criada.
Pontuação de risco: as pontuações de risco são definidas pela origem quando uma descoberta é criada. Se as pontuações de risco não forem definidas, será usada a pontuação padrão para alertas e detecções. A pontuação de risco padrão para alertas é 40. A pontuação de risco padrão para detecções é 15.
Cálculo da pontuação de risco
O cálculo da pontuação de risco para cada entidade se baseia na pontuação de risco dos resultados e é modificado com base em um conjunto de parâmetros que você pode especificar e em um conjunto de parâmetros controlados pelo Google SecOps. Para acessar os parâmetros que você pode controlar, vá até a barra de navegação e clique em Configurações > Pontuações de risco da entidade:
Coeficiente de alerta fechado: se os analistas de segurança marcarem um alerta como fechado, ele será multiplicado por esse modificador de ponto flutuante. O intervalo é de 0 a 1. O valor padrão é 1.
Pontuação de risco padrão da detecção: especifique a pontuação de risco para detecções no mecanismo de regras. O intervalo é de 0 a 1.000. O valor padrão é 15.
Os seguintes parâmetros são especificados pelo Google SecOps:
Modificação da pontuação de risco com TTL: a pontuação de risco básica da entidade é modificada por um fator de multiplicação para o período.
Modificação da pontuação de risco sem TTL: a pontuação de risco de detecção é modificada com um fator de multiplicação.
Estas são as fórmulas usadas para calcular a pontuação de risco e a pontuação de risco normalizada:
Cálculo da pontuação de risco: (pontuação de risco básica da entidade) = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))
Pontuação de risco normalizada: as pontuações de risco básicas da entidade são normalizadas em todas as entidades. A pontuação de risco básica da entidade usa a normalização min-max e varia de 1 a 1.000. Entidades com risco zero não estão incluídas.
Exemplo: cálculo da pontuação de risco
A seguir, descrevemos a sequência completa de como uma pontuação de detecção de risco é calculada para uma entidade:
- Entrada: as detecções são agrupadas por indicador.
- (Opcional) Coeficiente de alerta fechado: se a pontuação de risco de detecção for de um alerta fechado, ela será multiplicada pelo coeficiente de alerta fechado.
- (Opcional) Modificação da pontuação de risco padrão: se não estiver definida explicitamente em uma regra, a pontuação de risco de detecção padrão será aplicada. As pontuações de risco de detecção padrão com ou sem alertas podem ser mudadas nas configurações de pontuações de risco da entidade.
- Cálculo da pontuação de risco: o fator de ponderação é multiplicado pela soma de todas as detecções (exceto a pontuação de risco máxima de detecção) e adicionado à pontuação de risco máxima de detecção. Esse valor representa a pontuação de risco da entidade bruta.
- Ponderação da modificação: a pontuação de risco bruta da entidade é multiplicada pela ponderação da modificação. Essa modificação é uma operação única, a menos que um TTL seja definido. Esse valor é a pontuação de risco básica da entidade.
- Ponderação da lista de interesses: se uma entidade fizer parte de uma lista de interesses, a ponderação dela será adicionada à pontuação de risco de detecção.
- Pontuação de risco normalizada: a pontuação de risco básica da entidade é normalizada em todas as entidades usando a normalização min-max.
Configurações da pontuação de risco
Na página Pontuações de risco da entidade, você define como as pontuações de risco são calculadas para entidades, alertas e detecções. Você pode usar a ponderação nos cálculos da pontuação de risco da entidade e definir o alerta e a detecção padrão dessas pontuações. As mudanças vão valer somente para detecções e alertas novos e podem levar até 30 minutos para serem aplicadas.
Ponderação da pontuação de risco da entidade: a ponderação define como as pontuações de risco de alerta e detecção são incluídas nos cálculos da pontuação de risco da entidade. A ponderação é um valor de 0 a 1. A fórmula da pontuação de risco básica da entidade é definida da seguinte maneira:
Pontuação de risco básica da entidade = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))
Pontuações de risco padrão para alertas: especifique a pontuação de risco padrão do alerta na página Configurações. O padrão é 40. É possível modificar as pontuações de risco de alertas individuais nas próprias regras. Elas substituem os padrões configurados na página Configurações.
Pontuações de risco padrão para detecções: especifique a pontuação de risco padrão da detecção na página Configurações. O padrão é 15. É possível modificar as pontuações de risco de detecção individuais nas próprias regras. Elas substituem os padrões configurados na página Configurações.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.