Cette page a été traduite par l'API Cloud Translation.

Guide de démarrage rapide de Risk Analytics

Compatible avec :

Google SecOps SIEM

Découvrez comment utiliser le tableau de bord "Analyse des risques" pour identifier les comportements inhabituels et comprendre le risque potentiel que représentent les entités pour votre entreprise. Sur les systèmes qui utilisent le contrôle des accès basé sur les rôles (RBAC), seuls les utilisateurs disposant d'un champ d'application global peuvent accéder aux analyses des risques. Pour en savoir plus, consultez Rôles utilisateur.

Le tableau de bord "Analyse des risques" se compose des sections suivantes :

Analyse comportementale : liste les entités en fonction des scores de risque des entités Google Security Operations.
Liste de surveillance : liste les entités en fonction des calculs de risque internes de l'entreprise.

Une période de calcul du risque en haut à droite modifie le score de risque calculé affiché dans le tableau de bord "Analyse des risques". Vous pouvez modifier ce paramètre en fonction du type d'attaque que vous recherchez. Par exemple, les attaques par force brute sont plus visibles si vous définissez la période de calcul du risque sur 24 heures. Pour afficher les attaques à long terme, définissez la période de calcul du risque sur 7 jours.

Pour afficher les scores de risque historiques, sélectionnez une date et une heure spécifiques dans le sélecteur de dates à côté de Période de calcul du risque. Affiche les risques liés aux entités calculés pour la période de 24 heures ou de sept jours se terminant à la date et à l'heure choisies.

Avant de commencer

Pour accéder au tableau de bord "Analyse des risques", procédez comme suit :

Dans la barre de navigation, cliquez sur Détection.
Dans Détection, cliquez sur Analyse des risques.

Analyse comportementale

L'analyse comportementale comprend les éléments suivants :

La page Analyse comportementale se compose des éléments suivants :

Section Métriques récapitulatives : vue de premier niveau d'un tableau de bord d'analyse des risques qui vous permet d'examiner les entités à risque en fonction de la modélisation des risques des entités Google SecOps. Vous pouvez suivre jusqu'à 10 000 entités.
Entités : tableau qui complète le score de risque existant utilisé pour suivre le risque d'une entité au fil du temps, en tant que métrique pour les cas d'utilisation de la détection et en tant que contexte d'investigation. Également appelées métriques de risque d'entité, une entité est une représentation contextuelle des éléments de votre environnement. Les comptes utilisateur, les serveurs, les ordinateurs portables ou les téléphones sont des exemples d'entités. Vous pouvez afficher le détail de chaque entité en cliquant sur son nom. Vous êtes alors redirigé vers la page Entity Analytics (Analytics sur les entités).

Pour en savoir plus sur les entités, consultez Objets logiques : événement et entité. Pour en savoir plus sur le calcul des scores de risque, consultez Calcul du score de risque.

Analyse des entités

La page Données analytiques sur les entités se compose d'une fenêtre Période de l'événement en haut à droite, d'une section Chronologie des résultats et d'un tableau Résultats détaillé.

Sélectionnez une période pour analyser les risques.

Dans la fenêtre Période de l'événement, sélectionnez une période de 90 jours maximum ("Les 3 derniers mois").
Pour Sélection, cliquez sur Afficher les données analytiques pour la sélection. Une barre latérale s'ouvre et affiche les données analytiques associées à cette entité au cours de la période sélectionnée. Chaque analyse affiche un agrégat de toutes les valeurs d'analyse au cours de la période.
Cliquez sur Afficher plus pour ouvrir la vue "Alertes" ou "Détections" correspondante. Lorsqu'une analyse est détectée, elle inclut une liste d'alertes et de détections associées qui peuvent être examinées plus en détail.

Pour en savoir plus, consultez Examiner une alerte.

Cas d'utilisation

Voici quelques cas d'utilisation du tableau de bord "Analyse des risques".

Cas d'utilisation 1 : Volume de téléchargements élevé

Un volume de données téléchargées élevé présente un risque de fuite d'informations confidentielles. Google SecOps calcule des scores de risque élevés pour les entités ayant des volumes de téléchargement élevés.

Cas d'utilisation 2 : Nombre suspect de tentatives de connexion ayant échoué

Un nombre suspect de tentatives de connexion infructueuses indique qu'un pirate informatique ou un logiciel malveillant tente d'accéder à un compte utilisateur. L'équipe Google SecOps calculera des scores de risque élevé pour les entités ayant un nombre suspect de tentatives de connexion infructueuses. Toutefois, si cela est fait en interne, dans le cadre d'un test d'intrusion, vous pouvez modifier le score de risque de l'entité.

Cas d'utilisation 3 : message de boîte de dialogue se faisant passer pour Google

Un message de boîte de dialogue se faisant passer pour Google et demandant de mettre à jour le navigateur Chrome tente d'accéder aux comptes utilisateur. Google SecOps calcule des scores de risque élevés pour les entités où ces messages de boîte de dialogue sont détectés dans le code.

Étapes suivantes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.