风险分析概览

支持的语言:

风险分析用于识别异常行为,并了解实体对企业的潜在风险。在采用数据 RBAC 的系统中,只有具有全局范围的用户才能访问风险分析。“风险分析”信息中心包含“行为分析”部分(根据 Google Security Operations 实体的风险得分列出实体)和“监控名单”部分(根据内部企业风险计算结果列出实体)。

风险得分会用于整个 Google SecOps。这些得分的定义和功能因您使用的功能而异。

风险分析功能适用于企业版和企业 Plus 版许可,也可作为 Google SecOps SIEM 独立版许可的加购项提供。

风险分析中的实体、风险和发现结果

本部分定义了实体、风险和发现结果的概念,这些概念会显示在风险分析信息中心内。

  • 实体:环境中资源或用户的上下文表示形式。与实体关联的所有事件都会提供有关实体风险程度的背景信息。如需了解详情,请参阅逻辑对象:事件和实体

  • 风险计算窗口:可让您更改信息中心的时间范围,以便查看不同时间段的数据。 例如,您可以使用较短的时间窗口发现暴力破解登录尝试,也可以通过设置较长的时间窗口来检查长期恶意活动。

  • 已归一化:已归一化的得分介于 1 到 1,000 之间,用于区分没有得分的实体与在风险窗口期内有检测结果的实体。

  • 标准化趋势:自上一个窗口期以来,标准化实体风险得分的变化情况。

  • 基本:基本得分的计算方式为:将风险窗口期内实体的发现结果(提醒和检测)的风险得分相加,并应用权重。

    权重用于定义提醒和检测风险得分对实体风险得分计算的贡献程度。权重值介于 0 到 1 之间。
    如果权重值为 1,则加权不会产生影响。所有其他值均为百分比(例如,0.5 等于 50%)。默认加权值为 .2,可在“设置”中更改。如需了解详情,请参阅实体风险得分权重

  • 基本变化:自上一个窗口期以来,基本实体风险得分的变化。

  • 在窗口期内首次/最后出现的时间:相应时间戳表示实体在风险窗口期内首次或最后在发现结果(提醒或检测)中出现的时间。

风险分析中的发现结果

“发现结果”页面上使用了以下术语(点击实体表格中的实体可在“发现结果”页面中打开相应实体)。

  • 发现结果:在风险窗口期内,包含此实体的发现结果(提醒和检测)数量。

  • 严重程度:严重程度由来源在发现结果创建时设置。

  • 优先级:优先级由来源在发现结果创建时设置。

  • 风险得分:风险得分由来源在发现结果创建时设置。如果未设置风险得分,系统会使用提醒和检测的默认风险得分。提醒的默认风险得分为 40。检测的默认风险得分为 15。

风险得分计算

每个实体的风险得分计算基于发现的风险得分,并根据一组您可以指定的参数和一组由 Google SecOps 控制的参数进行修改。如需访问可控制的参数,请前往导航栏,然后依次点击设置 > 实体的风险得分

  • 已解决提醒系数:如果安全分析师将提醒标记为“已解决”,则该提醒的风险得分会乘以此浮点调节系数。范围为 0-1。默认值为 1。

  • 默认检测风险得分:指定规则引擎中检测的风险得分。范围为 0-1000。默认值为 15。

以下参数由 Google SecOps 指定:

  • 具有 TTL 的风险得分修改:基本实体风险得分会根据时间范围通过放大系数进行修改。

  • 无 TTL 的风险得分修改:检测风险得分通过乘法系数进行修改。

以下是用于计算风险评分和归一化风险评分的公式:

  • 风险得分计算:(基本实体风险得分)=(发现结果的最高风险得分)+(权重*(发现结果的其余风险得分总和))

  • 标准化风险得分:基本实体风险得分已针对所有实体进行标准化处理。基本实体风险得分采用最小-最大标准化方法,范围为 1-1000。不包括风险为零的实体。

示例:风险得分计算

以下内容介绍了如何计算实体的风险检测得分的完整序列:

  1. 输入:检测结果按指示器分组。
  2. (可选)已解决提醒系数:如果检测风险得分是针对已解决的提醒,则该得分会乘以已解决提醒系数。
  3. (可选)默认风险得分修改 如果未在规则中明确设置,则应用默认检测风险得分。您可以在实体风险得分设置中更改默认的提醒或非提醒检测风险得分。
  4. 风险得分计算:将加权系数乘以所有检测结果(最高检测风险得分除外)的总和,然后将其与最高检测风险得分相加。此值表示原始实体风险得分。
  5. 修改权重:原始实体风险得分会乘以修改权重。除非设置了 TTL,否则此修改是一次性操作。此值为基本实体风险得分。
  6. 监控列表权重:如果实体属于监控列表,则监控列表权重会添加到检测风险得分中。
  7. 标准化风险得分:使用最小-最大标准化方法对所有实体的基本实体风险得分进行标准化处理。

风险得分设置

您可以在实体风险得分页面上定义如何计算实体、提醒和检测的风险得分。您可以对实体风险得分的计算应用权重,并设置默认的提醒和检测风险得分。更改仅适用于新的提醒和检测,并且最长可能需要 30 分钟才能生效。

  • 实体风险得分权重:权重用于定义在计算实体风险得分时,如何纳入提醒和检测风险得分。权重是一个介于 0 到 1 之间的值。基本实体风险得分的公式定义如下:

    基本实体风险得分 =(发现结果的最高风险得分)+(权重 * [其余发现结果的风险得分总和])

  • 提醒的默认风险得分:在设置页面中指定默认提醒风险得分。默认值为 40。您可以在规则本身中修改各个提醒的风险得分。这些设置会替换设置页面中配置的所有默认设置。

  • 检测的默认风险得分:在设置页面中指定默认检测风险得分。默认值为 15。您可以在规则本身中修改各个检测风险得分。这些设置会替换设置页面中配置的所有默认设置。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。