风险得分概览
风险得分会在 Google 安全运营的各个环节中使用。这些得分的定义和功能因您使用的功能而异。
风险分析功能可通过企业版和企业 Plus 版许可获得,也可作为 Google SecOps SIEM 独立许可的插件使用。
风险分析中的实体
本部分定义了风险分析信息中心中显示的实体、风险和发现结果的概念。
实体:环境中资产或用户的上下文表示。与实体关联的所有事件都会提供与实体风险程度相关的背景信息。如需了解详情,请参阅逻辑对象:事件和实体。
风险计算期:可让您更改信息中心的时间范围,以便查看不同时间段的数据。例如,您可以使用较短的时间范围来发现暴力破解登录尝试,也可以设置较长的时间范围来检查长期的恶意活动。
标准化:标准化得分设为 1-1000 之间,以区分在风险信号窗口期内没有检测到的实体与有检测到的实体。
标准化趋势:自上一个时间段以来标准化实体风险得分的变化情况。
基本:基本得分是通过对实体在风险窗口期内的所有发现结果(提醒和检测)的风险得分进行加权求和而得出的。如果权重值为 1,则权重不会产生影响。如需了解详情,请参阅实体风险信号。
基准变化:自上一个窗口期以来基本实体风险得分的变化。
在窗口期内首次/最后出现的时间:与实体在风险窗口期内首次或最后出现在发现结果(提醒或检测)中的时间对应的时间戳。
风险分析中的发现结果
实体配置文件页面上使用了以下术语(点击“实体”表格中的某个实体即可在实体配置文件页面中打开该实体)。
发现结果:在风险信号窗口期的相应时间段内,包含此实体的发现结果(提醒和检测)数量。
严重级别:严重级别由来源在发现结果创建时设置。
优先级:优先级由来源在发现结果创建时设置。
风险得分:风险得分由来源在发现结果创建时设置。如果未设置风险得分,系统会使用默认的提醒和检测风险得分。提醒的默认风险得分为 40。检测的默认风险得分为 15。
风险得分计算
每个实体的风险信号计算基于发现的风险信号,并会根据您可以指定的一组参数和 Google Security Operations 控制的一组参数进行修改。如需访问您可以控制的参数,请前往导航栏,然后依次点击设置 > 实体风险信号:
已解决提醒系数:如果安全分析师将提醒标记为“已解决”,系统会将其与此浮点修饰符相乘。范围为 0-1。默认值为 1。
默认检测风险得分:在规则引擎中为检测指定风险得分。范围为 0-1000。默认值为 15。
Google 安全运营团队指定了以下参数:
使用 TTL 修改风险得分:基本实体风险得分会按时间范围的放大系数进行修改。
无 TTL 的风险得分修改:检测风险得分会使用乘数进行修改。
以下是用于计算风险评分和标准化风险评分的公式:
风险得分计算:(基本实体风险得分)=(发现结果的最高风险得分)+(加权值 * [发现结果的其余风险得分总和])
标准化风险得分:系统会对所有实体的基准实体风险得分进行标准化处理。基本实体风险得分采用最小-最大标准化方法,范围为 1-1,000。不包括风险评分为 0 的实体。
示例:风险评分计算
以下是计算实体风险检测得分的完整流程:
- 输入:检测结果会按指标分组。
- (可选)已解决提醒系数:如果检测风险得分针对的是已解决的提醒,则该得分会乘以已解决提醒系数。
- (可选)默认风险得分修改:如果未在规则中明确设置,系统会应用默认检测风险得分。您可以在实体风险得分设置中更改默认的提醒或非提醒检测风险得分。
- 风险得分计算:将权重因子乘以所有检测(最高检测风险得分除外)的总和,然后将结果加到最高检测风险得分。此值表示原始实体风险信号。
- 修改权重:系统会将原始实体风险得分乘以修改权重。除非设置了 TTL,否则此修改是一次性操作。此值为基本实体风险得分。
- 监控列表权重:如果实体属于某个监控列表,系统会将监控列表权重添加到检测风险得分中。
- 标准化风险得分:系统会使用最小-最大标准化方法对所有实体的基准实体风险得分进行标准化。
风险得分设置
在实体风险得分页面中,您可以定义如何计算实体、提醒和检测的风险得分。您可以对实体风险得分的计算应用权重,并设置默认的提醒和检测风险得分。更改仅适用于新的提醒和检测,并且最长可能需要 30 分钟才能生效。
实体风险得分权重:权重用于定义提醒和检测风险得分在实体风险得分计算中的权重。权重是一个介于 0 到 1 之间的值。基本实体风险得分的公式定义如下:
基本实体风险得分 = (发现结果的最高风险得分)+(加权值 *(发现结果的其余风险得分总和))
提醒的默认风险得分:在设置页面中指定默认提醒风险得分。默认值为 40。您可以在规则中修改各个提醒风险信号。这些设置会替换在设置页面中配置的所有默认设置。
检测的默认风险得分:在设置页面中指定默认检测风险得分。默认值为 15。您可以在规则中修改各个检测风险得分。这些设置会替换在设置页面中配置的所有默认设置。