風險分析總覽

支援的國家/地區:

風險分析用於找出異常行為,並瞭解實體對企業造成的潛在風險。在採用資料 RBAC 的系統中,只有具備全域範圍的使用者可以存取風險分析。風險分析資訊主頁包含「行為分析」部分,會根據 Google Security Operations 實體風險分數列出實體,以及「監控清單」部分,會根據內部企業風險計算列出實體。

風險分數會用於整個 Google SecOps。這些分數的定義和功能會因使用的功能而異。

風險分析功能適用於 Enterprise 和 Enterprise Plus 授權,或可做為 Google SecOps SIEM 獨立授權的加購方案。

風險分析中的實體、風險和發現

本節定義實體、風險和發現項目的概念,這些概念會顯示在風險分析資訊主頁上。

  • 實體:環境中資產或使用者的情境表示法。與實體相關聯的所有事件都會提供實體風險程度的背景資訊。詳情請參閱「邏輯物件:事件和實體」。

  • 風險計算時間範圍:可變更資訊主頁的時間範圍,以便查看不同時期的資料。舉例來說,您可以透過較短的時間範圍找出蠻力登入嘗試,或是設定較長的時間範圍,檢查長期惡意活動。

  • 正規化:正規化分數介於 1 到 1000 之間,可區分沒有分數的實體,以及在風險期間內偵測到活動的實體。

  • 正規化趨勢:正規化實體風險分數自上一個期間以來的變化。

  • 基本:基本分數的計算方式為:將風險期間內實體發現項目 (警告和偵測項目) 的風險分數加總,並套用權重。

    權重會定義警告和偵測項目風險分數在實體風險分數計算中的影響。權重值介於 0 到 1 之間。
    如果權重值為 1,權重不會有任何影響。其他值皆為百分比 (例如 .5 等於 50%)。預設權重值為 .2,您可以在「設定」中變更這個數字。詳情請參閱實體風險評分權重

  • 基本變化:基本實體風險分數自上一個期間以來的變化。

  • 期間內首次/最後一次出現:時間戳記,對應於實體在風險期間內,首次或最後一次出現在發現項目 (警告或偵測項目) 的時間。

風險分析中的發現項目

以下是「發現」頁面中使用的術語 (按一下實體表格中的實體,即可在「發現」頁面中開啟)。

  • 發現項目:在風險計算期間,含有這個實體的發現項目 (警告和偵測項目) 數量。

  • 嚴重性:發現項目建立時,會依據來源設定嚴重性。

  • 優先順序:發現項目建立時,會依據來源設定優先順序。

  • 風險分數:發現項目建立時,會依據來源設定風險分數。 如果未設定風險分數,系統會使用快訊和偵測項目的預設風險分數。系統會將警告的預設風險分數設為 40 分。偵測項目的預設風險分數為 15。

風險分數計算

系統會根據調查結果的風險分數計算每個實體的風險分數,並根據您可指定的一組參數和 Google SecOps 控制的一組參數進行調整。如要控管參數,請前往導覽列,然後依序點選「設定」>「實體風險評分」

  • 已結案快訊係數:如果安全分析師將快訊標示為已結案,系統會將快訊的風險分數乘以這個浮點數調整值。範圍為 0 到 1。預設值為 1。

  • 預設偵測項目風險分數:在規則引擎中指定偵測項目的風險分數。範圍為 0 到 1000。預設值為 15。

Google SecOps 會指定下列參數:

  • 使用 TTL 修改風險分數:基本實體風險分數會根據時間範圍的乘數進行修改。

  • 沒有 TTL 的風險分數修改:偵測項目風險分數會以乘數修改。

以下是計算風險分數和標準化風險分數的公式:

  • 風險分數計算:(基本實體風險分數) = (發現項目的風險分數上限) + (權重 * (剩餘發現項目的風險分數總和))

  • 正規化風險分數:所有實體的基本實體風險分數都會經過正規化。基本實體風險分數會使用最小值與最大值正規化法,範圍落在 1 到 1000。不含風險為零的實體。

範例:風險分數計算

以下說明實體的風險偵測分數完整計算順序:

  1. 輸入:偵測結果會依指標分組。
  2. (選用) 已結案警告係數:如果偵測項目風險分數是針對已結案的警告,系統會將分數乘以已結案警告係數。
  3. (選用) 修改預設風險分數:如果規則中未明確設定,系統會套用預設偵測風險分數。您可以在實體風險分數設定中,變更預設的警告或非警告偵測項目風險分數。
  4. 風險分數計算:將權重因子乘以所有偵測項目的總和 (最高偵測風險分數除外),然後加到最高偵測風險分數。這個值代表實體的原始風險分數。
  5. 修改權重:原始實體風險分數會乘以修改權重。除非設定 TTL,否則這項修改作業只會執行一次。這個值是基本實體風險分數。
  6. 觀察清單權重:如果實體屬於觀察清單,系統會將觀察清單權重加到偵測風險分數。
  7. 正規化風險分數:使用最小值與最大值正規化法,將所有實體的基本實體風險分數正規化。

風險分數設定

您可以在「實體風險分數」頁面中,定義實體、快訊和偵測項目的風險分數計算方式。您可以為計算出的實體風險分數加權,並設定預設快訊和偵測項目風險分數。變更只會套用至新的快訊和偵測項目,最多可能需要 30 分鐘才會生效。

  • 實體風險分數權重:權重會定義在計算實體風險分數時,如何納入快訊和偵測項目的風險分數。權重是介於 0 到 1 的值。基本實體風險分數的公式定義如下:

    基本實體風險分數 = (發現項目的風險分數上限) + (權重 * (剩餘發現項目的風險分數總和))

  • 警告的預設風險分數:在「設定」頁面中指定預設警告風險分數。預設值為 40。您可以在規則中修改個別快訊的風險分數。這些設定會覆寫「設定」頁面中設定的所有預設值。

  • 偵測項目的預設風險分數:在「設定」頁面中指定預設偵測項目風險分數。預設值為 15。您可以在規則中修改個別偵測風險分數。這些設定會覆寫「設定」頁面中設定的所有預設值。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。