A análise de risco é usada para identificar comportamentos incomuns e entender o risco potencial que as entidades representam para sua empresa. Em sistemas que usam RBAC de dados, apenas usuários com escopo global podem acessar a análise de risco. O painel de análise de risco consiste em uma seção de análise comportamental, que lista entidades de acordo com as pontuações de risco de entidades do Google Security Operations, e uma seção de lista de observação, que lista entidades de acordo com cálculos internos de risco empresarial.
As pontuações de risco são usadas em todo o Google SecOps. A definição e a função dessas pontuações variam de acordo com o recurso usado.
A análise de risco está disponível com as licenças Enterprise e Enterprise Plus ou como um complemento de uma licença independente do Google SecOps SIEM.
Entidades, risco e descobertas na análise de risco
Esta seção define os conceitos de entidades, risco e descobertas apresentados no painel de análise de risco.
Entidades: representação contextual de um recurso ou usuário no seu ambiente. Todos os eventos associados a entidades fornecem contexto sobre o nível de risco da entidade. Para mais informações, consulte Objetos lógicos: evento e entidade.
Janela de cálculo de risco: permite mudar o período do painel para analisar dados em diferentes períodos.
Por exemplo, é possível descobrir tentativas de login por força bruta usando a janela de tempo mais curta ou examinar atividades maliciosas de longo prazo definindo a janela de tempo mais longa.
Normalizada: as pontuações normalizadas são definidas entre 1 e 1.000 para distinguir as entidades sem pontuações daquelas que têm detecções na janela de risco.
Tendência normalizada: mudança na pontuação de risco normalizada da entidade desde a janela anterior.
Básica: as pontuações básicas são calculadas somando as pontuações de risco em descobertas (alertas e detecções) de uma entidade durante a janela de risco com ponderação aplicada.
A ponderação define como as pontuações de risco de alerta e detecção contribuem para os cálculos da pontuação de risco da entidade. A ponderação pode ter um valor de 0 a 1.
Se o valor de ponderação for 1, a ponderação não terá impacto. Todos os outros valores são porcentagens (por exemplo, 0,5 é igual a 50%). O valor padrão de ponderação é 0,2 e pode ser alterado em "Configurações". Para mais informações, consulte Ponderação da pontuação de risco da entidade.
Mudança na base: mudança na pontuação de risco da entidade básica desde a janela anterior.
Primeira/última vez na janela: carimbo de data/hora correspondente a quando a entidade foi vista pela primeira ou última vez em uma descoberta (alerta ou detecção) no período especificado na janela de risco.
Descobertas na análise de risco
Os termos a seguir são usados na página "Descobertas". Clique em uma entidade na tabela para abrir a página.
Descobertas: número de descobertas (alertas e detecções) que incluem essa entidade no período da janela de risco.
Gravidade: a gravidade é definida pela origem quando uma descoberta é criada.
Prioridade: definida pela origem quando uma descoberta é criada.
Pontuação de risco: as pontuações de risco são definidas pela origem quando uma descoberta é criada.
Se as pontuações de risco não forem definidas, será usada a pontuação padrão para alertas e detecções. A pontuação de risco padrão para alertas é 40. A pontuação de risco padrão para detecções é 15.
.
Cálculo da pontuação de risco
O cálculo da pontuação de risco para cada entidade se baseia na pontuação de risco dos
resultados e é modificado com base em um conjunto de parâmetros que você pode especificar e em um conjunto
de parâmetros controlados pelo Google SecOps. Para acessar os parâmetros que você pode controlar, vá até a barra de navegação e clique em Configurações > Pontuações de risco da entidade:
Coeficiente de alerta fechado: se os analistas de segurança marcarem um alerta como
fechado, ele será multiplicado por esse modificador de ponto flutuante. O intervalo é de 0 a 1. O valor padrão é 1.
Pontuação de risco padrão da detecção: especifique a pontuação de risco para detecções no mecanismo de regras. O intervalo é de 0 a 1.000. O valor padrão é 15.
Os seguintes parâmetros são especificados pelo Google SecOps:
Modificação da pontuação de risco com TTL: a pontuação de risco básica da entidade é modificada por um fator de multiplicação para o período.
Modificação da pontuação de risco sem TTL: a pontuação de risco de detecção é modificada com um fator de multiplicação.
Estas são as fórmulas usadas para calcular a pontuação de risco e a pontuação de risco normalizada:
Cálculo da pontuação de risco: (pontuação de risco básica da entidade) = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))
Pontuação de risco normalizada: as pontuações de risco básicas da entidade são normalizadas em todas as entidades. A pontuação de risco básica da entidade usa a normalização min-max e varia de 1 a 1.000. Entidades com risco zero não estão incluídas.
Exemplo: cálculo da pontuação de risco
A seguir, descrevemos a sequência completa de como uma pontuação de detecção de risco é calculada para uma entidade:
Entrada: as detecções são agrupadas por indicador.
(Opcional) Coeficiente de alerta fechado: se a pontuação de risco de detecção for de um alerta fechado, ela será multiplicada pelo coeficiente de alerta fechado.
(Opcional) Modificação da pontuação de risco padrão: se não estiver definida explicitamente em uma regra, a pontuação de risco de detecção padrão será aplicada. As pontuações de risco de detecção padrão com ou sem alertas podem ser mudadas nas configurações de pontuações de risco da entidade.
Cálculo da pontuação de risco: o fator de ponderação é multiplicado pela soma de todas as detecções (exceto a pontuação de risco máxima de detecção) e adicionado à pontuação de risco máxima de detecção. Esse valor representa a pontuação de risco da entidade bruta.
Ponderação da modificação: a pontuação de risco bruta da entidade é multiplicada pela ponderação da modificação. Essa modificação é uma operação única, a menos que um TTL seja definido. Esse valor é a pontuação de risco básica da entidade.
Ponderação da lista de interesses: se uma entidade fizer parte de uma lista de interesses, a ponderação dela será adicionada à pontuação de risco de detecção.
Pontuação de risco normalizada: a pontuação de risco básica da entidade é normalizada em todas as entidades usando a normalização min-max.
Configurações da pontuação de risco
Na página Pontuações de risco da entidade, você define como as pontuações de risco são calculadas para entidades, alertas e detecções. Você pode usar a ponderação nos cálculos da pontuação de risco da entidade e definir o alerta e a detecção padrão dessas pontuações. As mudanças vão valer somente para detecções e alertas novos e podem levar até 30 minutos para serem aplicadas.
Ponderação da pontuação de risco da entidade: a ponderação define como as pontuações de risco de alerta e detecção são incluídas nos cálculos da pontuação de risco da entidade. A ponderação é um valor de 0 a 1. A fórmula da pontuação de risco básica da entidade é definida da seguinte maneira:
Pontuação de risco básica da entidade = (pontuação de risco máxima da descoberta) + (ponderação * (soma das pontuações de risco restantes das descobertas))
Pontuações de risco padrão para alertas: especifique a pontuação de risco padrão do alerta na página Configurações. O padrão é 40. É possível modificar as pontuações de risco de alertas individuais nas próprias regras. Elas substituem os padrões configurados na página Configurações.
Pontuações de risco padrão para detecções: especifique a pontuação de risco padrão da detecção na página Configurações. O padrão é 15. É possível modificar as pontuações de risco de detecção individuais nas próprias regras. Elas substituem os padrões
configurados na página Configurações.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eRisk Analytics identifies unusual behavior and potential risks posed by entities within an enterprise, utilizing Google SecOps Entities risk scores and internal enterprise risk calculations.\u003c/p\u003e\n"],["\u003cp\u003eRisk scores, ranging from 1-1000 after normalization, are calculated based on findings (alerts and detections) and can be influenced by weighting, which is a configurable factor that determines how findings contribute to the overall risk score.\u003c/p\u003e\n"],["\u003cp\u003eThe Risk Analytics dashboard displays entities in a Behavioral Analytics section based on Google SecOps risk scores, and in a Watchlist section based on internal risk calculations.\u003c/p\u003e\n"],["\u003cp\u003eUsers can customize risk score calculations through settings like closed alert coefficient, default detection risk score, and entity risk score weighting, allowing for tailored risk assessments.\u003c/p\u003e\n"],["\u003cp\u003eThe final entity risk score is calculated in a sequence of steps, which includes the score of detections, modification using TTL, and normalization across all the entities.\u003c/p\u003e\n"]]],[],null,["# Overview of Risk analytics\n==========================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nRisk Analytics is used to identify unusual behavior and understand the potential\nrisk that entities pose to your enterprise. On systems that use data RBAC, only\nusers with global scope can access risk analytics. The Risk Analytics dashboard\nconsists of a Behavioral Analytics section, which lists entities according to\nGoogle Security Operations Entities risk scores and a Watchlist section, which\nlists entities according to internal enterprise risk calculations.\n\nRisk scores are used throughout Google SecOps. The definition and\nfunction of these scores vary depending on which feature you are using.\n\nRisk Analytics is available with Enterprise and Enterprise Plus licenses, or as\nan add-on to a Google SecOps SIEM standalone license.\n\nEntities, risk, and findings in Risk Analytics\n----------------------------------------------\n\nThis section defines the concepts of entities, risk, and findings as they are\npresented on the [Risk Analytics\ndashboard](/chronicle/docs/detection/risk-analytics-dashboard).\n\n- **Entities** : Contextual representation of an asset or user in your\n environment. All the events associated with entities provide context about\n how risky the entity is. For more information, see [Logical objects: Event\n and\n Entity](/chronicle/docs/event-processing/udm-overview#logical_objects_event_and_entity).\n\n- **Risk calculation window**: Lets you change the timeframe for the\n dashboard, enabling you to look at data through different periods of time.\n For example, you can uncover brute force login attempts by using the shorter\n time window or examine long-term malicious activity by setting the longer\n time window.\n\n- **Normalized**: Normalized scores are set between 1-1000 to distinguish the\n entities without scores from the entities that do have detections within the\n risk window.\n\n- **Normalized trend**: Change in the normalized entity risk score since the\n previous window.\n\n- **Base**: Base scores are calculated by adding the risk scores across\n findings (alerts and detections) for an entity during the risk window with\n weighting applied.\n\n Weighting defines how alert and detection risk scores\n contribute to entity risk score calculations. Weighting can take a value from 0-1. \n\n If the weighting value is 1, weighting won't have an impact. All other\n values are percentages (for example, .5 equals 50%). The default weighting\n value is .2 and can be changed in Settings. For more information, see [Entity risk\n score weighting](/chronicle/docs/detection/risk-analytics-dashboard#score-weighting).\n- **Base change**: Change in the base entity risk score since the previous\n window.\n\n- **First/last seen in window**: Timestamp corresponding to when the entity\n was first or last seen in a finding (alert or detection) for the time period\n specified in the risk window.\n\nFindings in Risk Analytics\n--------------------------\n\nThe following terms are used on the Findings page (click an entity in the\nentities table to open it in the Findings page).\n\n- **Findings**: Number of findings (alerts and detections) that include this\n entity for the time period in the risk window.\n\n- **Severity**: Severity is set by the source when a finding is created.\n\n- **Priority**: Priority is set by the source when a finding is created.\n\n- **Risk Score**: Risk scores are set by the source when a finding is created.\n If the risk scores are not set, the default risk score for alerts and\n detections is used. The default risk score for alerts is 40. The default\n risk score for detections is 15.\n\n| **Note:** When the risk score for alerts is 0, the Findings page displays a risk score of 0, and the normalized risk score for the related entity is 1. When the risk score for detections is 0, the entity is not displayed in the [Entities table](/chronicle/docs/detection/risk-analytics-dashboard#entity_count_risk_score_and_entities_table)\n\nRisk score calculation\n----------------------\n\nThe risk score calculation for each entity is based on the risk score of\nfindings and is modified based on a set of parameters you can specify and a set\nof parameters controlled by Google SecOps. The parameters you can control\nare accessible by going to the navigation bar and clicking **Settings \\\u003e Entity\nrisk scores**:\n\n- **Closed alert coefficient**: If the security analysts marks an alert as\n closed, it is multiplied with this floating point modifier. The range is\n 0-1. The default value is 1.\n\n- **Default detection risk score**: Specify the risk score for detections in\n the rules engine. The range is 0-1000. The default value is 15.\n\nThe following parameters are specified by Google SecOps:\n\n- **Risk score modification with TTL**: Base entity risk score is modified by\n a multiplying factor for the time range.\n\n- **Risk score modification without TTL**: Detection risk score is modified\n with a multiplying factor.\n\nThe following are the formulas used for calculating the risk score and\nnormalized risk score:\n\n- **Risk score calculation**: (Base entity risk score) = (Maximum risk score\n for the finding) + (Weighting \\* (Sum of the remaining risk scores for the\n findings))\n\n- **Normalized risk score**: Base entity risk scores are normalized across all\n entities. The base entity risk score uses min-max normalization and ranges\n from 1-1000. Entities with zero risk are not included.\n\nExample: risk score calculation\n-------------------------------\n\nThe following describes the full sequence for how a risk detection score is\ncalculated for an entity:\n\n1. **Input**: The detections are grouped by indicator.\n2. **(Optional) Closed alert coefficient**: If the detection risk score is for a closed alert, the score is multiplied by the closed alert coefficient.\n3. **(Optional) Default Risk Score modification** If it isn't explicitly set in a rule, the default detection risk score is applied. Default alerting or non-alerting detection risk scores can be changed in the entity risk scores settings.\n4. **Risk score calculation**: The weighting factor is multiplied to the sum of all detections (except for the maximum detection risk score) and then added to the maximum detection risk score. This value represents the raw entity risk score.\n5. **Modification weight**: The raw entity risk score is multiplied with the modification weight. This modification is a one-time operation, unless a TTL is set. This value is the base entity risk score.\n6. **Watchlist weight**: If an entity is part of a watchlist, the watchlist weight is added to the detection risk score.\n7. **Normalized risk score**: The base entity risk score is normalized across all entities using min-max normalization.\n\nRisk score settings\n-------------------\n\nThe **Entity risk scores** page lets you define how risk scores are calculated\nfor entities, alerts, and detections. You can apply weighting to entity risk\nscore calculations and set default alert and detection risk scores. Changes only\napply to new alerts and detections and can take up to 30 minutes to take effect.\n\n- **Entity risk score weighting**: Weighting defines how alert and detection\n risk scores are factored in entity risk score calculations. Weighting is a\n value from 0 to 1. The formula for the base entity risk score is defined as\n follows:\n\n Base entity risk score = (Maximum risk score for the finding) + (Weighting \\*\n (Sum of the remaining risk scores for the findings))\n- **Default risk scores for Alerts** : Specify the default alert risk score in\n the **Settings** page. The default is 40. You can modify individual alert\n risk scores in the rules themselves. These override any defaults configured\n in the **Settings** page.\n\n- **Default risk scores for Detections** : Specify the default detection risk\n score in the **Settings** page. The default is 15. You can modify individual\n detection risk scores in the rules themselves. These override any defaults\n configured in the **Settings** page.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
